【必読】「お近くの受け取りスポットにお預けしました」偽Amazon不在通知メールの3段階ボット選別を暴く

■ メールヘッダー解析（送信者情報）

件名：[spam]【重要】お荷物のお届けについて：お近くの受け取りスポットへのお預かりのお知らせ

送信者詐称名：「”アマゾン” 配送センター”」

送信元アドレス（Return-Path）：noreply@q2r4t6v9.zh-tv-c7entertainment.com

SPF認証：Pass（ただしドメイン自体が詐欺師のもの）

DKIM署名：Fail（body hash did not verify）― メール本文が送信後に改ざんされた疑い

受信日時：2026年5月31日（日）18:48:20 +0900　※日曜の夕方に配信

⚠️ このメールは真っ赤な偽物です

Amazonの公式メールドメインは amazon.co.jp または amazon.com です。
本メールの送信ドメイン zh-tv-c7entertainment.com はAmazonとは一切無関係です。

目次

1. 届いた詐欺メール本文（再現）
2. 致命的なコピペミス：「Nikeでご注文」の謎
3. 送信ルート及び偽装判定
4. 3段階ボット選別フィルタの正体
5. 誘導先ドメイン解析：amazozon の罠
6. 注意点と対処法

• 1. 📧 1. 届いた詐欺メール本文（再現）
• 2. 🔎 2. 致命的なコピペミス：「Nikeでご注文」の謎
• 3. 🔍 3. 送信ルート及び偽装判定
• 4. ☠️ 4. 3段階ボット選別フィルタの正体
• 5. 🌐 5. 誘導先ドメイン解析：amazozon の罠
• 6. 🛡️ 6. 注意点と対処法

差出人：「アマゾン」配送センター <noreply@q2r4t6v9.zh-tv-c7entertainment.com>

─────────────────────────────
    amazon.co.jp
─────────────────────────────

お荷物をお近くの受け取りスポットに預けました

Amazonをご利用いただきありがとうございます。
Nikeでご注文いただいた商品について、ヤマト運輸の配送員が
ご連絡できず、お近くの受け取りスポットにお荷物をお預けしました。
お手数ですが、下記ボタンより受け取り場所をご確認ください。

　　[ 受け取り場所を確認する ]（クリック不可）

■ お受け取りに関するご案内
・受け取り期限は通常7日間
・本人確認書類をご用意ください
・24時間受け取り可能なスポットもございます

─────────────────────────────
©2026 Amazon.com, Inc. or its affiliates. All rights reserved.
送信者：アマゾンジャパン合同会社
住所：〒100-0001 東京都千代田区丸の内1-1-1（※実際の住所に置き換えてください）
─────────────────────────────

■ ブランド混在という致命的ミス

このメールにはAmazonのロゴが使われ、件名もAmazonの配送通知を装っています。ところが本文を読むと――

「Nikeでご注文いただいた商品について」

という文言が混入しています。これは攻撃者がNikeなりすましフィッシングキットのテンプレートをベースに使い回し、ブランド名の置き換えを忘れたコピペミスです。

このミスから、攻撃者グループが複数ブランドのフィッシングメールを同じ製造ラインで大量生産していることが分かります。品質より数を重視する、典型的な大量散布型詐欺の手口です。

■ Receivedヘッダー解析（メールが通ってきた経路）

【第1ホップ（発信元）】

Received: from q2r4t6v9.zh-tv-c7entertainment.com (unknown [82.70.59.15])

IPアドレス 82.70.59.15 から送信。逆引きホスト名が「unknown」であり、正規メールサーバーとして設定されていない不審な環境からの送信です。
→ 【ip-sc.netで発信元IPを確認する】

【中継ホップ（経由サーバー）】

Received: from fmail21.kagoya.net (fmail21.kagoya.net [203.142.207.220])

受信者側サーバーが受け取る直前の中継ホップ。

【最終ホップ（受信者側サーバー）】

受信者側サーバー（非公表）

【DKIM Fail の意味】

「body hash did not verify」とは、メール本文が送信後に改ざんされたことを示します。攻撃者が送信経路のどこかで内容を書き換えた疑いがあります。SPFはPassしていますが、それは「このドメイン自体が詐欺師のもの」であるため、安全の証明にはなりません。

【偽装判定】

Amazonの公式メールドメインは amazon.co.jp または amazon.com です。本メールの送信ドメイン q2r4t6v9.zh-tv-c7entertainment.com はAmazonとは一切関係のない第三者ドメインであり、「配送センター」を名乗る正当性は皆無です。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：
hxxps://amazozon[.]zh-official-fengniao[.]com/?ts=1780282652&sig=04f64b506403c0c6247b159a1ae4483222a58f7639a735d3dadf4449704aefc2

タイポスクワッティング（typosquatting）の手口：
amazon → amazozon（「z」を1文字余分に挿入）
一瞬見ただけでは本物と区別がつかないよう設計された偽ドメインです。

サブドメイン「fengniao（蜂鳥）」の意味：
「蜂鳥」は中国語でハチドリのこと。中国系の攻撃グループが使用するインフラの特徴と一致します。

URLパラメータの解析：

サイト状態：HTTP 503 サービス停止（調査時点）
攻撃者は短期間でドメインを使い捨てることが確認されています。

ドメイン確認：
→ 【ip-sc.netで誘導先ドメインを確認する】

1. URLをクリックしない：誘導先は個人情報・クレジットカード情報を盗む偽サイトです。3段階のボット選別を持つ高度な仕掛けが待っています。
2. 「Amazonから」でもドメインを確認：正規のAmazonメールは @amazon.co.jp または @amazon.com から届きます。それ以外は偽物です。
3. 荷物の状況は公式アプリで確認：メールのリンクを使わず、Amazon公式アプリまたはブックマークから直接ログインして確認してください。
4. 「ブラウザ確認」画面が出たら即閉じる：「安全な接続を確認しています」「クリックしてください」という画面は、フィッシングサイトへの誘導であることが多いです。
5. 公式注意喚起を参照：Amazon フィッシング詐欺に関するご注意

📋 本レポートの結論

Amazonの不在通知を装ったこのフィッシングメールは、本文に「Nikeでご注文」というコピペミスを残しながらも、リンク先には高度な3段階ボット選別機構を備えた矛盾した詐欺です。「ヤマト運輸が連絡できなかった」という焦らせる文面に乗せられてリンクをクリックすると、約3分かけてボット判定をくぐり抜けた先に個人情報詐取ページが待ち受けています（調査時点では閉鎖済み）。

このような手口は今後も形を変えて届き続けます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

📤 LINEグループでシェアする