【緊急解析】Amazonを装った「ローソン1,500円クーポン」詐欺メールの罠——SendGrid悪用＋偽認証でAmazonアカウントを狙う手口を公開

■ メールヘッダー解析（送信者情報）

件名：【緊急】ローソン1,500円分クーポンを受け取ってください

送信者名：“キャンペーン事務局”（偽装）

送信元アドレス：fslkdj@clancers.com（Amazonともローソンとも無関係）

送信元IP：149.72.126.143（SendGrid・米国）

SPF認証：Pass（メール配信サービスSendGridを悪用して「合格」に偽装）

DKIM署名：Pass（d=clancers.comで署名。偽ドメインでの「合格」）

受信日時：2026年6月16日 15:31:23

フィルター記録：X-FEAS-SURL: https://aokaitong.com/... (フィッシング判定)

ご覧の通り、このメールはAmazonとローソン両方を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

• 1. ■ 詐欺メール本文の再現
• 2. ■ 送信ルート及び偽装判定
• 3. ■ フィッシングサイト詳細解析

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

ローソン1,500円クーポンのご案内

Amazonをご利用いただき、誠にありがとうございます。
このたび、対象のお客さまに向けて ローソン1,500円分クーポン を進呈するご案内をお送りしています。

本メールの受信者様は該当者にあたりますので、以下より受け取り手続きを完了してください。

┌─────────────────────┐
│ 進呈内容                         │
│ ローソンクーポン（1,500円分）        │
│ 全国のローソン店舗で利用可能          │
│ 1会計1,500円以上で使用可           │
└─────────────────────┘

　　　クーポンを受け取る（※リンク無効化済み）

ご確認事項
・キャンペーン期間：2026年6月1日〜8月31日
・1会計1,500円以上の購入で使用可能
・他のクーポンとの併用不可／現金引換不可

※本メールは通知設定を有効にされたお客さまへ配信されています。返信には対応しておりません。

このメールは送信専用です。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from s.wrqvtzvf.outbound-mail.sendgrid.net (s.wrqvtzvf.outbound-mail.sendgrid.net [149.72.126.143])

【偽装判定】SendGridを悪用した認証すり抜け：
Amazonの正規メールは @amazon.co.jp ドメインから届きます。本メールの送信元は clancers.com という全く無関係のドメインです。さらに攻撃者はSendGrid（センドグリッド）という正規のメール一括配信サービス（企業が大量にメールを送るときに使う商用ツール。ニュースレターや注文確認メールなどに広く使われています）を不正に利用して送信しており、これがSPF認証（送信元が本物かどうかを確認する仕組み）とDKIM署名（メールが改ざんされていないことを確認する仕組み）を両方「合格（Pass）」にみせかけることを可能にしています。SendGridを経由しているから「安全なメール」とはならない、という点が重要です。

発信元ロケーション解析：
SendGridサーバー所在地：米国
※SendGridは世界中の企業が利用するクラウドサービスのため、送信元が「米国」であってもそれ自体は攻撃者の所在を示しません。

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

「Amazonとローソンの提携」を悪用：
実際にAmazonとローソンは提携しており、Amazonで注文した荷物をローソンで受け取るサービスなどが存在します。攻撃者はこの実在する提携関係を知った上で、「Amazonからローソンクーポンがもらえる」というシナリオを作り上げています。知識があればあるほど信じてしまいやすい、なかなか手の込んだ釣り針です。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：
hxxps://aokaitong[.]com/knda3f0zh0c6r3ucq24vngfk?fu6ilg24rkr70vf9ba3ol3t6=rsu7u48e8pkxbj9j9tuoiyfs

ドメイン：aokaitong.com（中国語で「青い開通」を意味する可能性があり、中国語圏の攻撃者グループの関与が疑われます）

サイトサーバーIP：172.67.198.237（Cloudflare CDN・実態隠蔽）
Cloudflare（クラウドフレア）のCDN（世界中にサーバーを分散配置してWebサイトを配信する仕組み）を経由させることで、詐欺サイトが実際に置かれているサーバーの本当の場所を隠しています。

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

三段構えの誘導フロー：

▼ ウイルスバスター クラウドによるフィッシング警告画面

▲ トレンドマイクロのウイルスバスターが即座に「フィッシング」と判定してブロック

▼ 偽「Amazon認証保護プログラム」画面（クローキング用の偽CAPTCHA）

▲「Amazon公式の認証保護プログラム」と称しているが、本物のAmazonとは無関係。ボット検知をかわすための偽の関門

▼ 偽Amazonサインイン画面

▲ 本物そっくりに作られたAmazonサインインページ。ここに入力した情報は攻撃者に筒抜けになる

■ 注意点と対処法

1. 「Amazon×ローソン提携」を使った話は要注意：本物の提携サービスがあるだけに信じやすいのが今回の手口の狙いです。公式キャンペーンかどうかは、メール内リンクからではなくAmazonアプリやマイページから確認してください。
2. 送信元アドレスを確認する：Amazonの正規メールは @amazon.co.jp などAmazonのドメインから届きます。@clancers.com のような全く異なるドメインからのメールは偽物です。
3. SPF・DKIMが「合格」でも油断しない：SendGridのような正規の配信サービスを不正利用すれば、メール認証は誰でも「合格」にできます。認証マークだけを信頼するのは禁物です。
4. 「Amazon公式の認証保護プログラム」は存在しない：「アクセスを確認しています」という画面が出ても、それはセキュリティツールをかわすための偽の確認画面です。「続ける」を押さずにブラウザを閉じてください。
5. 入力してしまった場合は即座にパスワード変更：Amazonのメールアドレス・パスワードを入力してしまった場合は、すぐにAmazon公式サイトからパスワードを変更し、二段階認証を設定してください。
6. Amazonのメッセージセンターで確認：本物のAmazonからのメールは、Amazonのサイトにログインした後「メッセージセンター」で必ず同じ内容が確認できます。怪しいと思ったらそちらで確認しましょう。
7. 公式注意喚起の参照：Amazon：AmazonからのEメール、電話、テキストメッセージ、またはウェブページかどうかを見分ける

■ 関連記事

当ブログでは過去にもAmazonを騙る詐欺メールを多数取り上げています。あわせてご覧ください。

Amazon 関連記事一覧

本レポートの結論

今回の詐欺メールは「AmazonとローソンのリアルなコラボをAmazonのデザインで告知する」という、非常に信じやすいシナリオを仕掛けてきます。SendGridというプロも使う配信サービスでSPF・DKIM両認証をクリアし、偽の認証画面でセキュリティツールをかわし、最後に精巧なAmazonサインイン偽画面でアカウントを丸ごと盗むという三段構えです。「Amazonからローソンのクーポンが来た」と思っても、まずは深呼吸して送信元アドレスを確認する習慣が身を守ります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。