【解析】Amazon「泡洗顔のお届け予定」は詐欺!FANCL公式を騙りSPF認証を突破した巧妙な抽選当選メールの正体

HL-META: date=2026-06-25 | brand=Amazon・FANCL(泡洗顔抽選) | sender_geo=アメリカ・カリフォルニア州ロサンゼルス(GCP) | site_geo=香港・Mong Kok | spf=pass(踏み台ドメイン) | dkim=不明 | cloaking=no

【解析】Amazon「泡洗顔のお届け予定」は詐欺!FANCL公式を騙りSPF認証を突破した巧妙な抽選当選メールの正体

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「泡洗顔のお届け予定」という、Amazonからの抽選当選を思わせるメールが届きました。FANCL公式ショップのデザインをそのまま流用し、しかもSPF認証(送信元の正当性を検証する仕組み)まで通過しているという、かなり手の込んだ作りです。調査の結果、これは正規のドメインを踏み台にしたフィッシング詐欺であることが判明しました。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★☆☆ (3/5)
偽装工作精度 ★★★★☆ (4/5)

緊急性を煽る文言が一切なく、「抽選で当たりました」という穏やかなトーンで警戒心を解いてくる点が、このメールの特徴です。FANCLの実在する商品画像をそのまま使い、見た目の説得力を高めています。まずは実際に届いたメールをご覧ください。

※実際に届いたメールの画面です。FANCL公式ショップの商品画像が使われています。

■ メールヘッダー解析(送信者情報)

件名:[spam] Amazon.co.jp

表示されている送信者名:pj. oc. nozamA

見かけ上の送信元アドレス:noreply@sp0e75dw14.thebetscout.com

受信日時:2026年6月25日 18:46頃

※メールヘッダー詳細は個人情報保護のため非掲載

表示名の「pj. oc. nozamA」は、よく見ると「Amazon. co. pj」を逆さまに並べ替えた文字列です。スパムフィルターによる単純な文字列マッチングを回避するための、古典的だけれど効果的な小細工です。

さらに注目すべきは、このメールのSPF認証結果が「Pass(認証成功)」だったことです。一見「正規のメールなのか」と思わせますが、これは送信元ドメイン「thebetscout.com」自体が認証に通っているだけであり、Amazonとは無関係の第三者ドメインです。おそらく、何らかの事情でSPF設定が緩くなった既存のドメインを、攻撃者が踏み台として利用していると考えられます。SPFが通っているからといって、内容が本物である保証には全くなりません。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

■ 送信ルート及び偽装判定

実際の送信元IPアドレス:35.236.98.31
【ip-sc.netで調査結果を見る】

ロケーション:アメリカ・カリフォルニア州ロサンゼルス
プロバイダ:Google LLC(Google Cloud Platform、hosting利用)

【偽装判定】:送信元はGoogle Cloud Platform上のサーバーです。正規のAmazonからのメールが、このような汎用クラウドサーバーや無関係な第三者ドメイン(thebetscout.com)経由で送られることは絶対にありません。なお、当社の受信フィルターでは、このメールの誘導先がこの時点で既にフィッシングサイトと判定されていました。

※ロケーション情報は調査時点(2026年6月)のものであり、攻撃者のインフラは日々変化する可能性があります。

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://weikaka.net/ (一部伏字)

リンクドメイン:weikaka.net

サイトサーバーIP:156.250.96.241
【ip-sc.netで調査結果を見る】

ロケーション:香港・九龍 Mong Kok
プロバイダ:CloudFly Net Inc(HKIDC-AS-AP)

【ドメイン登録情報(whois)】:このドメイン(weikaka.net)自体は2023年9月に取得された古いドメインで、登録者情報は氏名・組織・住所すべて非公開(Redacted for privacy)でした。現在は登録更新がされておらず、ドメイン販売サイトに転売中であることが判明しました。攻撃者が使い終えたインフラを使い捨てている様子がうかがえます。

【サイトの状態】:調査時点でアクセスすると「Forbidden(アクセス禁止)」と表示され、現在はサイト自体が機能していない状態でした。

※解析データに基づき、攻撃者は古い既存ドメインを転用し、利用後は速やかに手を引いていることが確認されています。

※実際にリンク先へアクセスした際の画面です。すでにアクセス不能になっていました。

■ 注意点と対処法

  1. URLをクリックしない:リンク先は情報を盗むための偽サイトです。「抽選で当選」という穏やかな内容でも油断しないでください。
  2. 注文確認はAmazonのメッセージセンターで:本当にAmazonからのお知らせであれば、Amazon公式サイトやアプリの「メッセージセンター」に同じ内容が表示されているはずです。メール本文だけで判断しないようにしましょう。
  3. 送信者名の見た目に騙されない:「Amazon」を逆さに並べたような表示名は、フィルター回避の典型的な手口です。
  4. 公式情報の参照:Amazon公式「Amazonを装ったフィッシング詐欺メールによる被害を防ぐ3つのポイント」

本レポートの結論

「泡洗顔のお届け予定」は、SPF認証まで通過する手の込んだ作りでしたが、送信元はGoogle Cloud上のサーバー、誘導先は香港の古いドメインという、典型的なフィッシング詐欺のインフラでした。緊急性を煽らない穏やかな文面ほど、逆に油断を誘うことを覚えておいてください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る

Amazon,詐欺メールAmazon,FANCL,SPF認証,なりすまし,ファンケル,フィッシング詐欺,当選詐欺,泡洗顔,注意喚起,詐欺メール,迷惑メール

Posted by heart