【警告】「置き配の設定確認」メールにご用心!14分で13通・GCP東京発・偽CAPTCHA付きAmazon偽装フィッシングの全手口を公開
🟡 緊急度:中
| 緊急性レベル | ★★★☆☆ (3/5) フィッシングサイトは現在Forbidden(アクセス拒否) |
| 偽装工作精度 | ★★★★☆ (4/5) SPF・DKIM両Pass・Zimbra悪用・ワードサラダ・偽CAPTCHA |
■ メールヘッダー解析(送信者情報)
件名:【お届け予定】ご注文商品の配送状況および受取方法の確認
送信者名:“Amazon.co.jp”
送信元アドレス:sqly@sq26.lifescin.com(Amazonとは無関係のドメイン)
受信日時:2026年6月17日 15:28
SPF:Pass(送信元IP:34.146.30.4) / DKIM:Pass(d=sq26.lifescin.com)
送信インフラ:Zimbra 9.0(mail.9538b13.gifu.jp / 5.196.227.154 ← ヨーロッパのサーバー)経由
フィッシングURL:hxxps://zbb-haixingtiyu[.]com/
偽電話番号:050-1336-1804(記載あり・本物のAmazonとは無関係)
送信パターン:15:14〜15:28の14分間に13通を確認(約1分に1通ペース)。同一内容・同一送信者による組織的な大量送信キャンペーン。
▲ 届いた詐欺メール。今日の日付「2026年06月17日」が入っており一見本物らしい。
ご覧の通り、このメールは公式サイトを装った偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
お客様、ご注文の商品について ご注文いただいた商品は、2026年06月17日にお届けを予定しております。 現在、配送先および受取方法("置き配")の設定内容に不備がないか、 配送状況の確認画面より再度ご確認をお願いいたします。 また、配送担当のドライバーより、お電話(050-1336-1804)またはSMSにて、 ご連絡させていただく場合がございます。 配送業者:Amazon 配送状況を確認する ※本メールは配信専用アドレスから送信されています。 ※Amazonポイントの有効期限や、最新の注文履歴についてはカスタマーサービスにお問い合わせください。
▲ メール本文の再現。末尾には大量のbase64文字列が隠されていたが、見た目上は一般ユーザーには見えない。
今日の日付を入れてくる「置き配詐欺」の手口
「2026年06月17日にお届け予定」と今日の日付がズバリ入っているのがこの詐欺メールの特徴です。メールを受け取ったその日の日付を自動的に差し込むことで「本当に届く予定があるのかも」と思わせる心理的な罠です。
さらに「置き配の設定内容に不備がないか確認を」という文言が巧妙です。最近Amazonでは置き配が標準になっているため、「設定を確認しないと荷物が受け取れないかも」という焦りを生み出します。実際には配送トラブルは何もなく、クリックさせることだけが目的です。
また本文に記載の電話番号「050-1336-1804」はAmazonとは無関係です。本物のAmazonカスタマーサービスに電話する場合は、公式サイトまたはアプリ内から番号を確認してください。
ワードサラダとは——スパムフィルターをだます隠し技
今回のメールのプレーンテキスト(装飾なしの文章)部分には、本文の最後に大量の意味不明な文字列が隠されていました。
sBbySpsoE7T9jKnxLmmDVkNRWTBRGHlyD6dG2NRDHYU2B5w12rDIeazFpyocbOrTI9pJmIoGPPXAJg6koM0zohFkqw6pGKczy5Ow0tFzxp0sA88SGU9xAgT78L4AMU4j9dRwtBrdKn4a6eExtR50nQiVQFG9OXMbINQ4rCkpr2JpznDrGxi9Qqqx7oiG4pRx
これはワードサラダと呼ばれる手口で、スパム(迷惑メール)フィルターを誤魔化すための「おとり文字列」です。スパムフィルターは届いたメールの文章を読んで「これは怪しいメールだ」と判断しますが、意味のない文字列をたくさん混ぜることでフィルターの判断を狂わせます。冷蔵庫の中に臭いものと一緒に別の食べ物を入れて、どれが腐っているかわからなくさせるようなものです(笑)。
送信ルート及び偽装判定
■ 送信ルート解析
※Receivedヘッダーの全文には受信者側のサーバー情報が含まれるため掲載を控えています。
送信元IP:34.146.30.4(GCP 東京リージョン / asia-northeast1)
送信ドメインIP:sq26.lifescin.com → 34.146.30.4(送信サーバーと同一IP)
送信ソフトウェア:Zimbra 9.0(ジンブラ:企業向けメールサーバーソフト)を悪用。ヘッダーに「by sq26.lifescin.com (Zimbra 9.0)」と記録されている。
中継サーバー:mail.9538b13.gifu.jp(5.196.227.154 / 逆引き:154.ip-5-196-227.eu → ヨーロッパのサーバー)
【偽装判定】:本物のAmazonからのメールは @amazon.co.jp または @amazon.com から送信されます。sq26.lifescin.com はAmazonとまったく無関係のドメインです。
発信元ロケーション(推定):日本・東京(GCP 東京リージョン)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
フィッシングサイト詳細解析——偽CAPTCHAで人間かどうかを選別
■ zbb-haixingtiyu.com の実態
フィッシングURL(伏せ字):hxxps://zbb-haixingtiyu[.]com/
ドメイン:zbb-haixingtiyu.com(「haixingtiyu(海星体育)」は中国語でスターフィッシュ・スポーツを意味する)
サイトサーバーIP:43.164.2.66(Tencent Cloud APAC)
ロケーション(推定):Tencent Cloud APACリージョン(香港・シンガポール周辺)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
【偽CAPTCHA画面】:アクセスすると「サイトへの接続が安全かどうか確認しています——5個の盾アイコンをすべてタップしてください」という画面が表示されます。これは本物のCAPTCHA(ロボット判定)ではなく、攻撃者が手作りした偽の確認画面です。「確認する」ボタンを押すと次のフィッシング画面へ誘導される仕組みになっています。
【現在の状態】:調査時点(PC・スマートフォン共通)でアクセスすると「Forbidden(アクセス禁止)」と表示され、フィッシングサイトとして機能していない状態が確認されています。
▲ 偽のCAPTCHA画面。盾アイコンを5つタップするよう促すが、これはすべて攻撃者の手作り。「確認する」を押すとフィッシング画面へ誘導される。
▲ 調査時点のアクセス結果。「Forbidden」——既に閉鎖状態。
■ 注意点と対処法
- 「今日の日付+置き配確認」メールは要注意:今日の日付が入っていても本物とは限りません。Amazonからの配送通知は必ず公式アプリまたはAmazonサイトの注文履歴で確認してください。
- メール内のリンクは踏まず、必ずAmazon公式アプリから確認する:配送状況の確認はメールのリンクからではなく、アプリの「注文履歴」から行うのが鉄則です。
- 記載の電話番号に電話しない:本文に記載の「050-1336-1804」はAmazonとは無関係の番号です。カスタマーサービスに連絡する場合はAmazon公式サイト内の「カスタマーサービスに連絡」から番号を確認してください。
- 送信元アドレスを確認する:本物のAmazonからのメールは
@amazon.co.jpまたは@amazon.comから送信されます。それ以外のドメインからのメールは偽物です。 - 公式注意喚起の参照:Amazon公式:フィッシング・なりすましメールへの対処法
■ 関連記事
当ブログではAmazonを騙る詐欺メールを多数取り上げています。あわせてご覧ください。
本レポートの結論
今日の日付・置き配・偽電話番号・ワードサラダ・偽CAPTCHAと、手口を重ねに重ねてきたAmazon偽装フィッシングメールでした。フィッシングサイト自体は調査時点で既に「Forbidden」状態ですが、このドメインが生きている限り被害リスクはゼロではありません。Amazonからの配送メールが来ても、リンクは踏まず必ず公式アプリの注文履歴から確認する——この習慣だけで今回のような詐欺はすべて防げます。周りの方にもぜひ伝えてあげてください。
調査日:2026年6月17日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
