【警告】Amazon「配送内容を確認する」は詐欺!中国の大学ネットワークとBIGLOBE踏み台を経由する多段中継の手口を解析

| 緊急性レベル | ★★★☆☆ (3/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
見た目の作り込みはシンプルですが、送信経路の隠蔽工作は当ラボが確認した中でもかなり手が込んだ部類に入ります。順を追って解析していきましょう。
※実際に届いたメールの画面です。オレンジのボタンでAmazonのデザインを模倣しています。
■ メールヘッダー解析(送信者情報)
件名:[spam] 認確の容内送配
送信者名:ソゾマア
送信元アドレス:noreply@swqt9es40s.hanlve.com
ドメインIP解析:34.186.150.180(Google LLC/Google Cloud Platform、アメリカ合衆国カリフォルニア州ロサンゼルス)
受信日時:2026年07月02日 19時10分頃
※メールヘッダー詳細は個人情報保護のため非掲載
ご覧の通り、このメールはAmazonを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
まず目を引くのが件名です。「認確の容内送配」——これは日本語として意味を成しません。実はこれ、「配送内容の確認」という正しい文章の文字を一文字ずつ入れ替えた「文字入替型ワードサラダ」という手口です。スパムフィルターは特定のキーワードの並びを検知して迷惑メールを判定しますが、文字の順番をバラバラにすることでその検知網をすり抜けようとしているのです。差出人名の「ソゾマア」も、よく見ると「アマゾン」を意識した紛らわしい表記になっており、視覚的になりすましを図っている可能性があります。
💡ここで!
「踏み台(リレー悪用)」とは
攻撃者が自分のサーバーから直接メールを送るのではなく、他人・他社の正規のメール送信サービスを間に挟んでメールを送信する手口です。踏み台にされたサービス側は無関係ですが、送信元の特定を難しくし、スパムフィルターに「信頼できる会社から来たメール」と誤認させる効果があります。今回のメールも、この手口が使われていました。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
当ラボの受信サーバーに直接着信したのは、Google Cloud Platform上のサーバー(34.186.150.180)からでした。SPF認証は「Pass」と表示されていますが、これは攻撃者が自分で取得した使い捨てドメイン「swqt9es40s.hanlve.com」に対して正しくSPF設定を行っただけのことであり、Amazon公式のメールであることの証明には一切なりません。
【偽装判定】:
正規のAmazonからのメールは「amazon.co.jp」ドメインから送信されます。本メールの送信ドメイン「hanlve.com」はAmazonとは無関係の使い捨てドメインであり、公式サーバーとは一切関係がありません。
■ さらに一段深い送信ルート(踏み台の実態):
ヘッダーをさらに詳しく解析すると、Google Cloud上のサーバーへメールを投函する前段階として、「contact255@swqt9es40s.hanlve.com」という認証済みアカウントで、BIGLOBEが提供する正規のメール送信サービスへ認証接続していた記録が見つかりました。この接続の発信元IPアドレスは210.25.12.206。ここを辿ると、中国のCERNET(教育研究機関専用ネットワーク)に割り当てられたアドレスで、北京の清華大学付近が住所として登録されています。大学等の正規アカウントが乗っ取られ、スパム送信の踏み台にされている可能性があります。
発信元ロケーション解析(直接着信元):
アメリカ合衆国カリフォルニア州ロサンゼルス(Google Cloud Platform)
Googleマップ:【位置情報を確認する】
※中国・北京(清華大学付近)の位置情報については、大学関係者への影響を考慮し、地図リンクの掲載は控えます。
送信元をロサンゼルス→北京と2段階で偽装しながらも、肝心の誘導先はまったく別の場所という、なかなか国際色豊かな構成になっています(笑)。攻撃者からすれば「見破られにくい経路」のつもりなのでしょうが、当ラボにとってはむしろ解析のしがいがある案件でした。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://chipiwis[.]com/
リンクドメイン:chipiwis.com
サイトサーバーIP:43.164.2.66(ip-sc.netで確認)
ロケーション:タイ・バンコク(運営元はTencent Cloud Computing (Beijing) Co., Ltd)
マップ:【Googleマップで表示】
【サイトの状態】:ウイルスバスターが「フィッシング」として即座にブロック。ブロックを解除してアクセスすると、PC・スマートフォンいずれの環境でも「Forbidden」とだけ表示される真っ黒なページが返ってきます。これは、当ラボのような調査者からのアクセスを意図的にはじく「クローキング」(アクセス元によって表示内容を変える仕組み)が働いている可能性があります。
※誘導先へアクセスしようとすると、このような警告画面が表示されます。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
amazon.co.jp 配送確認 配送手続きが確認待ちです 配送手続きの一部が確認待ちとして残っています。 配送手続きが確認待ちです。お届け先、受け取り方法、配送予定が確認されない場合、発送準備は中断されます。 下のボタンから配送内容を確認してください。 確認番号:DH-8879-2462 確認内容:配送手続き 確認期限:07月02日中 ご注意ください 確認されない場合、該当配送は保留されます。 下のボタンから配送内容を確認してください。 【 配送内容を確認する 】(=フィッシングサイトへのリンク。実際にはクリックできないようになっています) この案内は、確認が必要な項目のみを表示しています。表示内容を確認後、画面内の案内に沿って進めてください。
■ 注意点と対処法
- 「配送内容を確認する」ボタンは絶対にクリックしないでください。リンク先は個人情報やクレジットカード情報を盗むための偽サイトです。
- 注文状況を確認したい場合:メール内のリンクからではなく、必ずAmazon公式サイトまたは公式アプリの「メッセージセンター」からアクセスしてください。届いたメールと同じ内容がメッセージセンターになければ、それは詐欺メールです。
- 身に覚えのない配送確認メールは、そのまま削除してください。確認番号や期限を書かれても焦る必要はありません。
- 公式注意喚起の参照:Amazon公式「詐欺の見分け方」ページ
本レポートの結論
「[spam] 認確の容内送配」というAmazonを装うメールは、文字入替型ワードサラダの件名でスパムフィルターをすり抜けようとする詐欺メールです。送信経路をたどると、中国の大学ネットワークを起点にBIGLOBEの正規送信サービスを踏み台にし、さらにGoogle Cloud経由で届くという多段中継が確認されました。誘導先サイトも真っ黒な「Forbidden」ページで実態を隠しており、一筋縄ではいかない相手です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年7月3日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
















