【実録】Amazonの「A」が「Å」に――ホモグリフなりすましで返金詐欺メールが再来、3月と同一テンプレートを使い回し

HL-META: date=2026-07-19 | brand=Amazon(なりすまし/ホモグリフ攻撃) | sender_geo=日本(東京・Microsoft Azure) | site_geo=unknown(DNS失効・NXDOMAIN) | spf=pass | dkim=unknown | cloaking=unknown

【実録】Amazonの「A」が「Å」に――ホモグリフなりすましで返金詐欺メールが再来、3月と同一テンプレートを使い回し

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

Amazonを装う返金詐欺メールが再び届きましたが、今回は表示名の「Amazon」がよく見ると「Åmazon」——”A”の上に小さな丸がついた特殊文字(ホモグリフ)に置き換えられているという珍しい細工が確認されました。文面自体は、当サイトが2026年3月に解析した詐欺メールとほぼ同一です。

件名 [spam] Åmazon.co.jp返金の確認
差出人表示名 “Åmazon”(”A”がホモグリフ文字に置換)
送信元IP(Received-SPF記載) 20.48.111.227(日本・東京/Microsoft Azure)
誘導先 偽Amazon返金確認ページ(調査時点でDNS失効・アクセス不可)
緊急性レベル ★★★☆☆ (3/5) ※誘導先は調査時点で既に停止
偽装工作精度 ★★★☆☆ (3/5) ※ホモグリフ表示名は目を引くが、文面自体は3月と同一の使い回し

ご覧の通り、このメールは公式Amazonを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

届いたメールの内容を、技術検証のためそのまま再現します。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化のうえ掲載しています。


Åmazonより送信されたメールです

返金処理に関する確認のお願い

平素より Åmazon.co.jp をご利用いただき、誠にありがとうございます。

お客様のアカウントに関連する最近の注文につきまして、返金処理の申請が通常とは異なる地域または端末から行われた形跡が確認されました。Åmazonのセキュリティ基準に基づき、第三者による不正操作の可能性を排除するため、該当する返金処理を一時的に停止しております。

返金手続きの継続には、お客様ご自身による確認が必要です。以下の「返金の確認」よりサインインのうえ、内容にお間違いがないかご確認ください。ご対応が遅れますと、返金処理にさらなる時間を要する場合がございます。

[ 返金の確認 ](リンクは無効化済み)

手続き期限: 2026年7月19日 23:59

©2025 Notification Service
このメールは自動送信されています。

▲ 実際に届いた詐欺メールの画面です。

この文面、実は2026年3月に当サイトで解析した「Amazon返金処理に関する確認のお願い」という詐欺メールとほぼ同一です。「第三者による不正操作の可能性を排除するため」「ご対応が遅れますと、返金処理にさらなる時間を要する場合がございます」といった言い回しが一字一句と言っていいほど共通しており、同じテンプレートを使い回していることがうかがえます。過去の解析記事はこちらで公開しています。

用語解説

💡ここで!

ホモグリフ攻撃:見た目がよく似た別の文字(今回は”A”と”Å”)を使い、本物のブランド名や単語になりすます手口です。フィルタリングの回避や、受信者が一見して気付きにくくすることを狙っています。

NXDOMAIN:アクセスしようとしたドメイン名がDNS(ドメイン名をIPアドレスに変換する仕組み)上で見つからない状態を指します。攻撃者が短期間で使い捨てたドメインでよく見られます。

送信ルートおよび偽装判定

■ Receivedヘッダー解析(サーバー通過証明)

Received-SPF: Pass (sender SPF authorized) client-ip=20.48.111.227; helo=bbkyrw.mayiaiwo.com

【偽装判定】:
正規のAmazonからのメールは「amazon.co.jp」「amazon.com」等の公式ドメインから送信されます。本メールの送信ドメイン「mayiaiwo.com」はAmazonとは一切関係のないドメインでした。送信元IPはMicrosoft Azure(東京)に割り当てられており、クラウドサーバーを踏み台にして送信されています。

発信元インフラ:
Microsoft Azure(日本・東京)
※クラウド事業者のIPアドレスのため、実際の攻撃者の所在地とは限りません。

フィッシングサイト詳細解析

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://www.dyequh[.]com/skptck

【サイトの状態】:アクセスを試みたところDNS_PROBE_FINISHED_NXDOMAINとなり、名前解決ができませんでした。調査時点で既に使い捨てられ、アクセス不可の状態になっています。3月に解析した過去事例でもドメイン登録から数日でこうした「使い捨て」が確認されており、同様の運用サイクルの可能性があります。

▲ 誘導先URLへアクセスしたところ、ドメインが既に失効していることを示すエラーが表示されました。

※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。稼働中の別ドメインへ切り替えて同種の攻撃を継続している可能性があるため、油断はできません。

注意点と対処法

■ 注意点と対処法

  1. 表示名の文字をよく見る:「Amazon」の綴りに見慣れない記号(今回は”Å”)が混じっていないか確認してください。
  2. URLをクリックしない:「返金の確認」等のボタンは絶対にクリックしないでください。
  3. 公式アプリ・ブックマークから確認:返金状況はAmazonの公式アプリまたはブックマークした正規URLから確認してください。
  4. 公式注意喚起の参照:Amazon公式サイト:フィッシングメールの見分け方

本レポートの結論

文面は3月に確認済みのテンプレートの使い回しでしたが、表示名を「Åmazon」に変えるホモグリフなりすましという新しい小細工が加わっていました。攻撃者は文面をゼロから作り直すのではなく、送信インフラやなりすまし手法だけを少しずつ更新して使い回している実態がうかがえます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る