【実録】Amazonアカウント”高リスク”ロックの脅し文句は4年前と同じ文面だった──香港発の最新版フィッシングを解析

Heartland-Lab(ハートランド・ラボ)専門調査レポート
【実録】Amazonアカウント”高リスク”ロックの脅し文句は4年前と同じ文面だった──香港発の最新版フィッシングを解析
蒸し暑さが続くこの頃、梅雨明けが待ち遠しい方も多いのではないでしょうか。
湿気で気分が沈みがちなこの季節、ふと届いた一通のメールに心当たりのある方もいらっしゃるかもしれません。
今回ご紹介するのはAmazonを騙る詐欺メールですが、実はこの文面、当サイトで4年近く前に一度取り上げたものと驚くほどそっくりでした。
調査レポート:概要
| 件名 | [最終警告]Amazonから緊急のご連絡、情報を更新してください。 |
| 差出人表示名 | Amazon.co.jp(詐称) |
| 送信元ドメイン | xdthx.asia |
| 送信元IP(SPF authorized) | 150.5.142.233(香港) |
| 誘導先ドメイン | hxxps://sufain.cz718742[.]cn/U9iZM5O3/fere_html |
| 誘導先IP | 43.165.167.152(Tencent Cloud/中国・深圳) |
危険度評価
| URLクリック危険度 | ★★★★☆(セキュリティソフトが既に警告表示) |
| 心理的圧迫度(不安煽り) | ★★★★★(「24時間以内」「最終警告」の二段構え) |
| テンプレートの使い回し度 | ★★★★★(4年前と本文がほぼ同一) |
⚠️ Amazonとは一切関係のない詐欺メールです。「ご利用確認はこちら」のリンクは絶対にクリックしないでください。
届いたメールの内容
件名は「[最終警告]Amazonから緊急のご連絡、情報を更新してください。」。件名の頭に【最終警告】という強いワードを付け、本文でも「24時間以内にご確認がない場合」という期限を切ることで、読み手に考える余裕を与えない設計になっています。
Amazonアカウントのエラーまたは不完全なプロファイルにより、システムは残念ながら高リスクのアカウントに設定されており、アカウントと対応する機能の権限が部分的にロックされています。 Amazonアカウントのロック解除にご協力ください。以下のリンクを使用して、Amazon Webサイトにアクセスし、情報を更新してください。 ■ご利用確認はこちら ※24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。 このメッセージは[受信アドレス]に送信されました。 注意:本通知メール送信専用アドレスで送信しております。返信いただいても受信できませんのでご了承下さい。

受信トレイに表示されたメール本文(差出人・宛先は伏せています)
※メールヘッダー詳細は個人情報保護のため非掲載です。
■ 4年前とほぼ同一の文面
実は「Amazonから緊急のご連絡、情報を更新してください。」という文言は、当サイトが2022年9月に取り上げたAmazon詐欺メールの本文とほぼ同一です。当時の送信元インフラとは異なりますが、テキストのテンプレート自体は4年近くにわたって使い回されていることになります。詐欺師にとっては「効果が実証済みの型」であり、わざわざ文面を変える必要がないということかもしれません。同じ文言が長期間にわたり生き残り続けている事実自体が、こうした詐欺メールの一定の”成功率”を物語っているとも言えます。
送信ルートの解析
Received-SPF: pass
SPF record at xdthx.asia designates 150.5.142.233 as permitted sender
HELO: xdthx.asia
送信元IP 150.5.142.233 は香港に割り当てられている帯域でした。HELO名(送信サーバーが名乗るホスト名)も送信元ドメインと一致しており、DKIM署名(メールが改ざんされていないことを証明する電子署名の仕組み)も正しく設定されていました。つまり、技術的な認証はすべて「正常」に見える状態です。これは詐欺師が自分で取得した独自ドメイン(xdthx.asia)に対して、正しくSPF・DKIMを設定しているだけであり、Amazon社との関係を何ら証明するものではありません。「認証済みだから安全」という思い込みが最も危険なポイントです。
フィッシングサイトの現状
「ご利用確認はこちら」のリンク先は hxxps://sufain.cz718742[.]cn/U9iZM5O3/fere_html でした。アクセスを試みたところ、セキュリティソフト(ウイルスバスター クラウド)側で「このWebサイトは、安全ではない可能性があります」「脅威の種類:フィッシング」という警告が表示され、ブロックされました。警告を確認のうえ強制的にアクセスすると、「Sign-in」とだけ表示された真っ白なページに到達したとのことです。おそらくログインフォームの読み込みに失敗しているか、既にサイト側で機能が一部停止している状態と考えられます。

セキュリティソフトが検知したフィッシング警告
誘導先ドメイン cz718742.cn のDNS解決先IPは 43.165.167.152。ip-sc.netで確認したところ、プロバイダーは「Shenzhen Tencent Computer Systems Company Limited」(Tencent Cloud)でした。GeoLite2の国別データベース上ではJP(日本)と表示されますが、これはTencent Cloudでしばしば見られる誤判定パターンであり、実際のホスティング拠点は中国系クラウド事業者の管理下にあると考えるのが妥当です。
注意点と対処法
- 「高リスクアカウント」「24時間以内」といった期限付きの脅し文句が来ても、まずは深呼吸して落ち着く
- Amazonアカウントの状態を確認したい場合は、メール内のリンクではなく、公式アプリやブックマークから直接アクセスする
- セキュリティソフトが「危険なサイト」と警告した場合は、絶対に強制アクセスしない
- 同様のメールを見かけたら、フィッシング対策協議会への情報提供も検討してください
まとめ
4年近く同じ文面が使い回されているという事実は、裏を返せば「この程度の脅し文句でも一定数の人が引っかかってしまう」ことの証明でもあります。技術的な認証(SPF・DKIM)が整っていても、それは送信元ドメインの正当性を示すだけで、企業本人であることの保証にはなりません。慌てず、まず公式サイトへ直接アクセスする習慣を、この夏も改めて心がけたいところです。
Data Provided by Heartland-Lab Security Research Unit(IPロケーション情報の一部は ip-sc.net を参照)














