【続報】Amazonの「お届け予定」メールがまた大量到来——Azure悪用の送信ドメインとTencent製「偽人間確認」画面の正体

Heartland-Lab(ハートランド・ラボ)専門調査レポート
梅雨明けが待ち遠しい蒸し暑さの続くこの頃、ネット通販の利用も増える時期ではないでしょうか。今回ご紹介するのは、当サイトでも繰り返し取り上げてきたAmazonの配送通知を装う詐欺メールです。件名自体は使い古された定番パターンですが、送信インフラと誘導先の仕掛けに新しい動きが見られたため、続報としてお伝えします。
調査レポート:概要
| 件名 | [spam]【お届け予定】ご注文商品の配送状況および受取方法の確認 |
| 差出人表示名 | Amazon(詐称) |
| 送信元ドメイン | huangsfang.com |
| 送信元IP(SPF authorized) | 20.163.191.193(米国/Microsoft Azure) |
| 誘導先ドメイン | hxxps://lomyszkow[.]com/u/sylgsnbifr |
| URLクリック危険度 | ★★★★☆(偽の人間確認画面で本物らしさを演出) |
| 手口の巧妙さ | ★★★☆☆(フィルター回避用のノイズ文字列を追加) |
このメールはAmazonとは一切関係のない詐欺メールです。本文中の「配送状況を確認する」というリンクは絶対にクリックしないでください。
届いたメールの内容を、技術検証のためそのまま再現します。
お客様 ご注文いただいた商品は、2026年07月17日にお届けを予定しております。 現在、配送先および受取方法("置き配")の設定内容に不備がないか、配送状況 の確認画面より再度ご確認をお願いいたします。 また、配送担当のドライバーより、お電話(050-8092-4545)またはSMSにて、ご 連絡させていただく場合がございます。 配送業者:Amazon 配送状況を確認する ---- ※本メールは配信専用アドレスから送信されています。 ※Amazonポイントの有効期限や、最新の注文履歴についてはカスタマーサービス にお問い合わせください。

▲ 実際に届いた詐欺メールの画面です。
※メールヘッダー詳細は個人情報保護のため非掲載です。
なお、このメールの末尾には本文と無関係な英数字の羅列が付加されていました。

▲ メール本文の末尾に付加されていた、意味を持たない英数字の羅列。
これはスパムフィルターの判定精度を狂わせるためのノイズ挿入と見られる手口です。フィルターは過去の詐欺メールの文面パターンを学習して危険度を判定しますが、無関係な文字列を大量に混ぜることで「未知のパターン」と誤認させ、検出をすり抜けようとする狙いがあると考えられます。
送信ルートおよび偽装判定
ヘッダーを解析したところ、送信元として認証されたIPアドレスは次の通りでした。
Received-SPF: Pass (sender SPF authorized) client-ip=20.163.191.193; helo=huangsfang.com
正規のAmazonからのメールは「amazon.co.jp」等の公式ドメインから送信されます。今回の送信元ドメイン「huangsfang.com」はAmazonとは無関係の、攻撃者が独自に取得したと見られるドメインです。SPF認証(送信元サーバーが登録済みかどうかを確認する仕組み)自体はPassしていますが、これは攻撃者が自分で取得したドメインに自分でSPFを設定しているだけであり、Amazon社との関係を何ら証明するものではありません。
送信元IP「20.163.191.193」はMicrosoft Azure(マイクロソフト社のクラウドサービス基盤)が管理する帯域で、ホスト元の登録情報上は米国が示されました。ただしクラウド基盤は世界中にサーバーを持つため、この所在地情報がそのまま攻撃者の実在地を意味するわけではない点にご注意ください。
用語解説
SPF(エスピーエフ):「このメールは、このドメインの管理者が許可した送信元から送られた」ことを証明する仕組みです。ただし、攻撃者が自分で取得したドメインに自分でSPFを設定していれば簡単にPassしてしまうため、SPFがPassしているからといって安全とは限りません。
Microsoft Azure:マイクロソフト社が提供するクラウドサーバーサービスです。世界中の企業が正規に利用していますが、攻撃者が匿名でサーバーを借りて悪用するケースも少なくありません。
フィッシングサイト詳細解析
メール内の「配送状況を確認する」リンクをたどると、まず「サイトへの接続が安全かどうか確認しています」という画面が表示されます。緑色の盾アイコンを指定された数だけタップさせる、一見セキュリティチェックのような演出です。

▲ 「人間であることを確認」と称する偽のセキュリティチェック画面。
これは本物のセキュリティ認証ではなく、自動解析ツールによる調査を遅らせるための偽の仕掛けです。人間が手作業で操作しないと先に進めない設計にすることで、機械的な検知・調査を妨害する狙いがあると考えられます。
この確認画面が置かれているドメイン「lomyszkow.com」のDNS解決先IPは43.167.18.249でした。ip-sc.netで確認したところ、プロバイダーは「Shenzhen Tencent Computer Systems Company Limited」(Tencent Cloud)で、表示上の所在地は東京都渋谷区となっています。ただし、この事業者は中国・深圳を拠点とするクラウドサービスであり、東京の住所表記は同社が展開する東京リージョンのホスティング拠点である可能性が高く、実際の運用者の所在地を示すものではない点にご注意ください。
なお、今回の件名「【お届け予定】ご注文商品の配送状況および受取方法の確認」は、当サイトの週刊レポート(W25)でも1パターンだけで254通確認したとお伝えした、非常に息の長い定番テンプレートです。今回は送信インフラ・誘導先インフラともに新しい組み合わせが確認されたため、続報として取り上げました。
注意点と対処法
- 「配送状況を確認する」等のリンクは絶対にクリックしない。
- 配送状況を確認したい場合は、メール内のリンクではなくAmazon公式アプリやブックマークから直接アクセスする。
- 「セキュリティチェック」のような画面が急に表示されても、正規のreCAPTCHA等とは限らないことを念頭に置く。
- 身に覚えのない配送通知は、家族や周囲の高齢者にも共有し、同様のメールに注意を呼びかける。
今回のメールは、件名こそ見慣れたものでしたが、送信元にAzure、誘導先にTencent Cloud、さらにフィルター回避用のノイズ文字列と偽の人間確認画面まで組み合わせた、手数の多い作りになっていました。定番の手口だからと油断せず、リンクを開かない習慣を徹底していただければと思います。ご家族やお知り合いにも、ぜひこの記事を共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net














