【警告】Amazonを装ったフィッシング詐欺が急増中!偽CAPTCHAでスマホユーザーだけを狙い撃ちにする中国系クラウド利用の巧妙手口とは
ご覧の通り、このメールはAmazon.co.jpを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 詐欺メール本文の再現
↓実際に届いた詐欺メールのスクリーンショット
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。絶対にクリックしないでください。
お客様、ご注文の商品について ご注文いただいた商品は、2026年06月04日にお届けを予定しております。 現在、配送先および受取方法("置き配")の設定内容に不備がないか、配送状況の確認画面より再度ご確認をお願いいたします。 また、配送担当のドライバーより、お電話(050-4410-9010)またはSMSにて、ご連絡させていただく場合がございます。 配送業者:Amazon 【偽リンク・クリック厳禁】配送状況を確認する【偽リンク・クリック厳禁】 ※本メールは配信専用アドレスから送信されています。 ※Amazonポイントの有効期限や、最新の注文履歴についてはカスタマーサービスにお問い合わせください。
🔍 このメールに仕込まれた「ワードサラダ」を発見
このメールのテキスト版を確認したところ、本文末尾に以下のような意味不明なランダム文字列が隠し込まれていました。
myveckFpRbaQFDLVmH8vqMWQ6Hhz4PX2jzdM9njJ3StogVSgzHPtvJRHkL6m6dsdMOr9scvKGkqVd16NzA8LTeZuCzcR3cwMDeeApcgzJPCFgh06QJODUw1ASTWmdSEmMDVGEZ59loMDriTYbzfAhi0xNmaYTs9F5bgGocrDgMnof8hbkS1Y5V0MQbkWual7
これは「ワードサラダ(Word Salad)」と呼ばれるスパム回避の手口です。スパムフィルター(迷惑メール自動判定システム)は、メール本文中の「不審なキーワード」や「文章のパターン」を分析して詐欺メールかどうかを判定します。そこで攻撃者はランダムな文字列を本文に紛れ込ませることで、フィルターの判定を意図的に狂わせようとします。つまり「フィルターの目をくらますための煙幕」ということです。HTMLメール形式の場合、この文字列は受信者の画面には表示されないよう隠されていることがほとんどです。
メール本文は一見すると本物のAmazon配送通知と見分けがつきません。しかし送信元アドレスをよく見ると yfshuwu.com という、Amazonとは全く無関係のドメインが使われています。正規のAmazon.co.jpからのメールは必ず @amazon.co.jp または @amazon.com ドメインから届きます。
■ 送信ルート及び偽装判定
最古のReceivedヘッダー(メールの出発点):
Received: from sq10.yfshuwu.com (sq10.yfshuwu.com [34.84.153.134])
by 受信者側サーバー(非公表) (Postfix) with ESMTPS
Thu, 4 Jun 2026 20:21:30 +0900 (JST)
【偽装判定】:
正規のAmazon.co.jpからのメールは必ず @amazon.co.jp または @amazon.com ドメインから送信されます。本メールの送信ドメイン yfshuwu.com はAmazonの公式サーバーとは一切関係がない第三者ドメインです。
Received-SPF(送信元の正当性を確認する仕組み)が「Pass」、DKIM署名(メールの改ざんがないことを証明する仕組み)も「あり」となっていますが、これらはいずれも yfshuwu.com ドメイン自身の設定によるものです。Amazonのサーバーとして認証されているわけではありません。つまり「自分で作ったハンコを自分で押しているだけ」ということです。
発信元サーバー解析(メール送信IP:34.84.153.134):
クラウド事業者:Google Cloud Platform(GCP)アジア太平洋リージョン
推定ロケーション:日本または東アジア(Google社管理データセンター)
Googleマップ:【参考位置を確認する(概算)】
※IPジオロケーション(IPアドレスから位置を推定する技術)情報は調査時点のものです。クラウドサービスのIPは日々変化することがあり、表示される位置はデータセンターの所在地であり、攻撃者の実際の居場所とは異なります。
↓ウイルスバスター クラウドによるフィッシングサイトのブロック警告画面
「このWebサイトは、安全ではない可能性があります。脅威の種類:フィッシング」とウイルスバスター クラウドが検知・ブロックしています。URLは https://jinriluan.com/?type=verify&key=pzwerbogit と表示されており、Amazonとは全く無関係のドメインであることが確認できます。
■ フィッシングサイト詳細解析
※以下は解析目的のみで掲載しています。絶対にアクセスしないでください。
誘導先URL(伏せ字):
hxxps://jinriluan[.]com/?type=verify&key=pzwerbogit(一部伏せ字)
リンクドメイン:jinriluan.com(Amazon.co.jpの正規ドメインとは全く無関係)
サイトサーバーIP:43.130.251.37(Tencent Cloud / テンセントクラウド)
ロケーション:中国・香港またはシンガポール(Tencent Cloud管理)
Googleマップ:【香港・参考位置を確認する】
【端末別の表示切り替え・三段階の罠】:
第一段階:PC → 「Forbidden」画面(調査妨害・追い払い)
第二段階:スマホ・タブレット → 偽CAPTCHA画面(ボット・調査ツール排除)
第三段階:CAPTCHA通過後 → 偽AmazonログインページでID・パスワードを詐取
【狙われる情報】:AmazonアカウントのID(メールアドレス)・パスワード。入力した場合、Amazonアカウントへの不正ログイン・不正購入・クレジットカード情報の詐取に悪用される危険があります。
【サイトの状態】:ウイルスバスター クラウドにてフィッシングサイトとして検知・ブロック済み。引き続き各セキュリティベンダーへ報告中。
※IPジオロケーション情報は調査時点のものです。表示されるIPアドレスやロケーションは今後変更される可能性があります。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
↓PCでアクセスした場合に表示される「Forbidden」画面(調査妨害用)
↓スマートフォンでアクセスした際に表示される偽CAPTCHA画面(ボット・研究者排除用)
「サイトへの接続が安全かどうか確認しています。セキュリティ対策のため、表示された🛡をすべてタップしてください」という画面が表示されます。これは本物のCAPTCHA(ボット判定)ではなく、犯人が自作した偽の確認画面です。スマートフォンを使った人間のユーザーだけを次の詐欺画面へ誘導するためのフィルターとして機能しています。
↓偽CAPTCHA通過後に表示される偽Amazon.co.jpログイン画面
Amazonの公式ロゴ・黄色ボタン・フォントまで精巧に模倣した偽ログイン画面です。「携帯電話番号またはEメールアドレスを入力します」としてAmazonアカウントのログイン情報を入力させようとします。入力すると即座にIDとパスワードが詐欺師のサーバーへ送信され、Amazonアカウントへの不正ログイン・不正購入・クレジットカード情報の詐取に悪用されます。
⚠️ 三段階クローキングとは?―調査者を三重に振り落としてターゲットだけを罠に誘い込む手口
今回の偽サイトには、調査・研究者を徹底的に排除して一般スマホユーザーだけを罠に誘い込む「三段階クローキング」が仕掛けられていました。
【第一段階】PC判定 → Forbidden(403エラー):
PCからアクセスしてきた場合は即座に真っ黒な「Forbidden」画面を表示して追い払います。セキュリティ研究者・調査者のほとんどはPCを使うため、ここで大半の調査をブロックします。
【第二段階】偽CAPTCHA → ボット・ツール排除:
スマートフォンやタブレットからのアクセスに対しては、「盾アイコンをタップしてください」という偽のCAPTCHA(人間確認)画面を表示します。自動調査ツールや不審なアクセスをここで振り落とし、実際に手動で操作する人間のユーザーだけを次へ進める仕組みです。
【第三段階】偽AmazonログインページでID・パスワードを詐取:
二段階のフィルターを通過した「本物のスマホユーザー」だけに、精巧に作られた偽のAmazonログイン画面が表示されます。ここでIDとパスワードを入力させることが最終目的です。
この三段階の設計は「騙しやすい一般ユーザーだけを効率よく狙う」という非常に計算された手口です。しかもフィッシング本体のサーバーにはTencent Cloud(中国系クラウド)を使用しており、中国拠点の詐欺グループによる犯行の可能性が高いです。
■ 注意点と対処法
- リンクは絶対にクリックしない:「配送状況の確認」という日常的な文言で油断させるのが詐欺の常套手段です。メール内のリンクは絶対にクリックしないでください。
- Amazonメッセージセンターで真偽を確認する:本物のAmazonからのメールは必ずAmazon公式サイトの「メッセージセンター」にも同じ内容が記録されています。メールが届いたらまずメッセージセンターを確認しましょう。
確認方法:Amazon.co.jp → アカウントサービス → メッセージセンター - IDとパスワードを入力してしまった場合:すぐにAmazonの公式サイトからパスワードを変更し、Amazon公式カスタマーサービス(0120-999-373)に連絡してください。クレジットカード情報も入力した場合はカード会社にも連絡を。
- 送信元アドレスを確認する:正規のAmazonからのメールは
@amazon.co.jpまたは@amazon.comから届きます。それ以外のドメインは疑ってください。 - メールを迷惑メールとして報告・削除する:スパム報告後にAmazonへの報告メール(stop-spoofing@amazon.com)に転送すると被害防止に役立ちます。
- フィッシング対策協議会へ報告する:info@antiphishing.jp へ転送・報告にご協力ください。
- Amazon公式の注意喚起を確認する:不審なメールの見分け方(Amazon.co.jp公式)
- 被害を受けた場合は警察へ:フィッシング詐欺の被害は 警察庁サイバー犯罪相談窓口 または最寄りの警察署にご相談ください。
本レポートの結論
今回の詐欺メールは、本文末尾にワードサラダを仕込んでスパムフィルターを突破し、誘導先ではPC・調査ツール・ボットを三段階で排除した上でスマホユーザーだけを偽AmazonログインページへURLへ誘い込む、極めて高度に設計されたフィッシング詐欺です。フィッシング本体のサーバーにはTencent Cloud(中国系クラウド)が使われており、中国拠点の詐欺グループによる組織的な犯行の可能性が高いです。「配送状況の確認」という日常的な内容だからこそ油断しがちです。送信元アドレスとリンク先URLの確認、そしてAmazonのメッセージセンターで真偽を確かめる習慣が自衛の第一歩です。大切な家族が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
■ 関連記事
Amazonを装った詐欺メールに関する他の記事はこちら:
👉 Amazon関連の詐欺メール注意喚起記事一覧
調査日:2026年6月5日
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
【免責事項】本記事に掲載のIPアドレス・ジオロケーション情報は調査時点のものであり、今後変更される可能性があります。掲載内容は注意喚起を目的としたものであり、情報の完全性・正確性を保証するものではありません。本情報をもとに行動した結果について、当サイトは一切の責任を負いかねます。
