【注意】「お受?取りの準備をお願いします。」Amazonを騙る詐欺メールを解析

🕵️ 詐欺メール調査レポート
| 判定 | ⚠️ 極めて危険(フィッシング詐欺) |
|---|---|
| ブランド | Amazon(アマゾン) |
| メール件名 | [spam] お受?取りの準備をお願いします。 |
| 送信者 | “アマ?ゾ?ン?サポ?ー?ト” <taste@taste.zdkteam.com> |
| 送信元IP | 20.237.144.41 (Microsoft Azure / アメリカ) |
【重要ポイント】
- 本文に不自然な「?」が散見される高度な難読化。
- PCでは404エラー、スマホでは詐欺サイトを表示する「クローキング」を実装。
- Microsoft Azure(クラウドインフラ)を悪用した送信ルート。
今回、非常に巧妙な手口を使ったAmazonを騙る詐欺メールを確認しました。一見すると文字化けのように見える「?」の多用や、接続デバイスによって表示内容を変える「クローキング」という手法が使われています。
詐欺メールの再現
[spam] お受?取りの準備をお願いします。 "アマ?ゾ?ン?サポ?ー?ト" <taste@taste.zdkteam.com> お客様 いつも大変お世話になってお?ります?。Amazonカスタマーサービスで?ございます。 配送セン?ターより、本日商品のお届け予定について通知が届いております?ので?、ご案内申し上げます。 「置き配」のご指定変?更は、配送状?況確認ページよりお手続きが可能です。なお、配送状況によりドライバーから直接お電話 (050-3131-1231) やSMSでご連絡させていただく場合がございます。配達時間帯は8時-21時を予定して?おります。 配?送業者: Ama?z?on お?問い合わせ伝?票番号?: AW081837335 [ 配?送状況? ] 商品の到着まで今し?らくお待ちくださいますようお願い申し上げます?。 この?Eメールは配信専用です。返信しないようお願いいたします。

※受信した実際の詐欺メール。不自然な「?」が目立ちます。
「配送セン?ター」…センターの場所でも迷ってるんでしょうか。また「Ama?z?on?」と、ブランド名すら疑問形で名乗る自信のなさは、まさに詐欺メールあるあるです。
送信ルートの解析
メールヘッダーを解析した結果、送信元は以下の通り特定されました。
- 送信元IP: 20.237.144.41
- ホスト: Microsoft Azure (United States)
- 認証: SPF Pass (taste.zdkteam.com)
※メールヘッダー詳細は個人情報保護のため非掲載
このメールは、マイクロソフトのクラウドサービス「Azure」のインフラを悪用して送信されています。正規のAmazonのサーバーから送信されたものではありません。
💡 ここで!用語解説
なぜ「?」が多用されているのか?(難読化)
これは、セキュリティソフトの「キーワード検知」を回避するための手口です。AIやシステムが「Amazon」や「配送」といった言葉をスキャンして詐欺を判定するのを防ぐため、文字の間にわざと記号(?)を挿入して機械の目を逸らしています。
クローキング(Cloaking)とは?
接続するデバイス(PCかスマホか)によって、表示するサイトの内容を切り替える手法です。PCでの調査を阻害しつつ、ターゲットであるスマホユーザーのみを確実に仕留める狙いがあります。
フィッシングサイトの正体
メール内のリンク先は、PCとスマホで挙動が真っ二つに分かれました。
PC接続時の挙動
PCからアクセスすると、サイト側が「これはスマホではない」と判断し、偽の「404 Not Found」を表示するか、セキュリティソフトによって即座にブロックされます。

※PCからアクセスした際に表示される偽のエラー画面。
スマホ接続時の挙動
一方、スマホからアクセスすると、本物のAmazonそっくりのフィッシングサイトへ誘導されます。最初に「人間であることの確認」として、盾のアイコンをタップさせる認証画面(ボット対策)を挟むことがあり、ユーザーの心理的な警戒心を解こうとします。

※「セキュリティ対策のため」と称して操作を要求する巧妙な入り口。
認証を抜けると、偽のログイン画面が表示されます。ここでメールアドレスやパスワードを入力してしまうと、即座に攻撃者に盗み取られ、アカウントが乗っ取られる甚大な被害に繋がります。

※本物そっくりに作られた偽のログイン画面。
注意点と対処法
- 「?」が混じった不自然な日本語は、その時点で詐欺と判断して間違いありません。
- 配送状況が気になる場合は、メール内のリンクではなく、必ずAmazon公式アプリや公式サイトの「注文履歴」から直接確認してください。
- 怪しいサイトで情報を入力してしまった場合は、至急Amazonのパスワードを変更し、登録しているクレジットカードの停止を検討してください。
この記事をSNSでシェアして、被害を防ぎましょう!
Data Provided by Heartland-Lab Security Research Unit
IP Analysis via ip-sc.net
Theme: Navy (PRIMARY: #1a1a2e / ACCENT: #cc0000)















