【本日配達手続き完⁠了はウソ!】Amazonを装う詐欺メール!添付ファイル付きの配送通知に注意!見分け方と安全な対処法

HEARTLAND-LAB SECURITY REPORT

Amazonを装う添付ファイル付きの配送通知に注意

「本日配送」という言葉で確認を急がせ、不審な添付ファイルを開かせようとするメールを確認しました。見た目が配送のお知らせに近くても、添付ファイルは開かず、メール内の案内にも従わないでください。

暑い日が続く時期は、自宅でネット通販を利用する機会も増えます。荷物を待っているタイミングで「本日配送」と書かれたメールが届くと、つい確認したくなりますが、そこを狙うのが今回のような手口です。

調査結果の概要

判定 Amazonを装った不審なメール
危険度 ★★★★★
件名 ご注文いただきました商品の本日配送についてのご案内
表示上の送信者 like@like.hbldgd8886.com
送信元IP 35.194.85.106
送信基盤 Google Cloud / Google LLC(AS396982)
主な特徴 不審な添付ファイル、ゼロ幅文字、端末による表示先の切り替え

※メールヘッダー詳細は個人情報保護のため非掲載

このメールはAmazon公式からの配送案内ではありません

確認されたメールの内容

件名:
ご注文いただきました商品の本日配送についてのご案内

送信者:
like@like.hbldgd8886.com

添付ファイル:
Amazon.c0.Jp.pxqwtz

本文:
[実際のメール本文をここへ貼り付けてください]

Amazonを装って届いたメールのスクリーンショット

今回のメールには、通常の文書や画像とは判断しにくい「Amazon.c0.Jp.pxqwtz」という名前のファイルが添付されていました。拡張子も一般的ではなく、安全性を確認できないため、当サイトでは開封・実行していません。

身に覚えのない添付ファイルは、確認のためであっても開かないことが最も安全です。

送信ルートと偽装の判定

メールの送信元として確認されたIPアドレスは35.194.85.106です。調査結果では、Google Cloud上のサーバーが利用されていました。

クラウドサービスそのものが危険という意味ではありません。正規企業も広く利用していますが、攻撃者が一時的なメール送信基盤として悪用することもあります。

また、表示された送信元ドメインはAmazonの正規ドメインではありません。Amazonを名乗りながら無関係なドメインから送られている点だけでも、強い警戒材料になります。

💡 SPFとは?

SPFは、そのメールが「そのドメインから送信してよいサーバー」から届いたかを確認する仕組みです。ただし、見知らぬドメイン側でSPFが通っていても、Amazon公式メールである証明にはなりません。大切なのは、表示名だけでなく実際の送信元ドメインを見ることです。

メール内部に大量の見えない文字

HTMLソースを確認すると、​といった「画面にはほとんど見えない文字」が大量に挿入されていました。

これは「ゼロ幅文字」と呼ばれるものです。文章の見た目を大きく変えずに、メール内部の文字列だけを分断できます。

迷惑メール対策システムが特定の言葉を検出しにくくなることを狙った可能性があります。一般の利用者が目で見て発見するのは難しい細工です。

見えない文字をせっせと詰め込む手間はかけても、送信元ドメインはAmazonとは似ても似つかないまま。攻撃者の詰めの甘さが残っています。

メールのHTMLソース内で確認された見えない文字

パソコンとスマートフォンで異なる動作

メール内で使われていたドメインを確認したところ、端末によって異なる動作が確認されました。

パソコン トップページは404エラーを表示
スマートフォン 特定のパスからYouTubeへ転送

このように、アクセスする端末などの条件によって表示先を変える手法は「クローキング」と呼ばれます。調査者やセキュリティサービスには何もないページを見せ、一般利用者だけを別ページへ誘導する目的で使われることがあります。

確認されたURLは、クリックできないよう一部を伏せています。

hxxps://hub-haixingzhibo[.]com/

hxxps://hub-haixingzhibo[.]com/DGKiQjNprA.co.jp

パソコンから確認した際の404エラー画面

今回はYouTubeへ転送されましたが、今後も同じ安全な転送先が表示される保証はありません。アクセスする日時や端末によって、偽のログイン画面や危険なファイルの配布ページへ切り替わる可能性も考えられます。

このメールが届いたときの対処法

  1. 添付ファイルを開かず、端末へ保存しない
  2. メール本文のリンクや画像を押さない
  3. 注文状況はAmazon公式アプリ、または自分で開いた公式サイトから確認する
  4. 同じメールを家族や職場の人が受け取っていないか注意を共有する
  5. 不審なメールは削除し、必要に応じてAmazonへ報告する

Amazon公式では、不審な連絡の見分け方や報告方法を案内しています。確認するときは、メール内のリンクではなく下記の公式ページを直接利用してください。

Amazon公式「詐欺目的の連絡を見分ける」

添付ファイルを開いてしまった場合

  • ファイルを実行していない場合でも、すぐに削除する
  • 実行した場合はネットワーク接続を切り、セキュリティソフトで完全スキャンする
  • Amazonのパスワードを入力した場合は、公式サイトから直ちに変更する
  • 同じパスワードを他のサービスでも使っている場合は、それらも変更する
  • カード情報を入力した場合は、カード会社へ速やかに連絡する

「何も起きていないように見える」場合でも、入力や実行をしたなら早めの対処が重要です。

まとめ

今回確認したメールは、Amazonの配送案内を装い、不審な添付ファイルを開かせようとするものでした。さらに、見えない文字による細工や、端末ごとに表示先を変える仕組みも確認されています。

配送メールが届いても、慌てて添付ファイルを開かず、注文状況は公式アプリや公式サイトから確認してください。ご家族や周囲の方にも共有していただくことで、被害防止につながります。

この記事をLINEで送る

Data Provided by Heartland-Lab Security Research Unit

IP・ネットワーク情報は提供された調査結果および公開情報をもとに整理しています。

ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る