【閲覧注意】Amazonプライム「自動課金失敗」詐欺メールに仕込まれた、見えない文字とCAPTCHA型クローキングの正体
| 緊急性レベル | ★★★★☆ (4/5) アカウント情報詐取+多段階クローキングによる解析回避 |
| 偽装工作精度 | ★★★★★ (5/5) SPF Pass・ゼロ幅文字混入・人間確認画面・精巧な偽ログイン画面 |
件名は「【重要】Amazonプライム:会費の自動課金に失敗しました→再登録のお願い!番号:76169364」というもので、こういった「課金失敗」を理由にした偽メールはこれまでにも何度も確認されている定番のパターンです。しかし今回のメールには、画面上で読む内容だけでは分からない、ソースコード内の仕掛けがありました。
※実際に届いたメールの画面です。一見、よくあるAmazonプライム決済失敗メールに見えます。
ご覧の通り、このメールはAmazonを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ メールのソースコードに仕込まれた「見えない文字」
メールのソースコード(HTMLの元データ)を表示すると、「プライム」「ビデオ」「Amazon」「co」「jp」といった単語の合間に、‍(ゼロ幅接合子)や(ゼロ幅スペース)という特殊な文字コードが多数挿入されていました。これらは画面上には何も表示されない「見えない文字」ですが、文章を読み上げるソフトや、迷惑メールを判定するフィルターのプログラムにとっては、単語が分断されているように認識されます。
「Amazon」という単語の中に見えない文字を挟むことで、「Amazonという単語が含まれているメールは詐欺の可能性が高い」と覚えたフィルターの目をすり抜けようとしていると考えられます。人間が目で読む分には全く違和感がない一方、機械にとっては別の文字列に見えるという、地味ながら巧妙な仕掛けです。
※メールのソースコードを表示した画面です。単語の合間にやという文字コードが多数挿入されています。
送信ルートを確認すると、このメールは国内の正規ホスティング会社カゴヤ・ジャパンのメールサーバーを中継して配信されていました。本来は法人のメール配信に使われる国内の正規サーバーが、こうした手の込んだ詐欺メールの送信経路としても利用されているのは見過ごせない実態です。
■ 送信ルート及び偽装判定
件名:【重要】Amazonプライム:会費の自動課金に失敗しました→再登録のお願い!番号:76169364
表示上の送信者:“Amazon.co.jp(自動送信メール)” kiss@kiss.mobile-c7ent.com
送信元IP:20.162.164.162
ホスティング:Microsoft Corporation(Microsoft Azure)
SPF:Pass(送信元として正規に認証されているが、これは攻撃者が契約したクラウドサーバー自体の認証が通っているにすぎない)
【偽装判定】:正規のAmazonからのメールはamazon.co.jp関連の自社サーバーから送信されます。本メールの送信ドメイン「kiss.mobile-c7ent.com」はAmazonとは一切関係がありません。
発信元ロケーション:英国・ロンドン
IP情報:ip-sc.netで確認する
Googleマップ:【位置情報を確認する】
※メールヘッダー詳細は個人情報保護のため非掲載
※リンク先に最初に表示される画面です。盾アイコンを選ばせる、本物のセキュリティチェックを装った仕掛けです。
■ フィッシングサイト詳細解析——CAPTCHA型クローキングの正体
誘導先URL(伏せ字):hxxps://04ggb[.]com/ytLrrVnL/
サイトサーバーIP:154.213.97.174(Power Line (HK) Co., Limited)
ロケーション:香港・九龍(Mong Kok)
IP情報:ip-sc.netで確認する
Googleマップ:【Googleマップで表示】
ドメイン登録:2025年7月18日登録、スウェーデンのレジストラ経由、登録者情報はWhoisプライバシー保護により非公開
【1段階目:人間確認画面】:リンクをクリックすると、まず「サイトへの接続が安全かどうか確認しています」という、本物のセキュリティチェックのような画面が表示されます。「表示された盾アイコンをすべてタップしてください」という指示に従って盾アイコンを選ぶと、次の画面に進めます。
【2段階目:偽ログイン画面】:人間確認を通過すると、Amazon公式とほぼ同一デザインの偽ログイン画面(メールアドレスまたは携帯電話番号の入力欄)が表示されます。
【セキュリティソフトの判定】:ウイルスバスター クラウドが「https://04ggb.com/api/…」へのアクセスを「安全ではない可能性があります」として即座にブロックしています。
※こうした「人間確認」を経由させる仕組みは、本来はWebサイトをボットの自動アクセスから守るための正規の技術(CAPTCHA)です。攻撃者はこれを逆手に取り、セキュリティ調査ツールや自動巡回プログラムによる検知をかいくぐるために流用しています。人間が手でタップして進まなければ偽サイトの本体が表れない仕組みになっており、機械的な調査では「何も危険なものはない」と誤判定されやすい巧妙な作りです。
※人間確認画面を通過すると表示される偽のログイン画面です。デザインは本物のAmazonとほぼ同一です。
■ 注意点と対処法
- URLをクリックしない:「お支払い設定を更新する」リンク先は情報を盗むための偽サイトです。
- 「人間確認」画面が出ても安心しない:セキュリティチェックを装った画面は、攻撃者が解析逃れのために用意した仕掛けである場合があります。
- Amazon公式アプリ・サイトで確認:支払い状況はメール内のリンクではなく、ブックマークや公式アプリから直接ログインして確認してください。
- 不審なメールはAmazonに報告:Amazon公式「不審な連絡について報告する」
- そのまま削除する:表示されている内容と裏側の仕組みが食い違っている時点で、正規のメールではありません。
本レポートの結論
Amazonプライムの会費自動課金失敗を装う今回のメールは、見た目こそよくある定番パターンですが、裏側にはソースコードへのゼロ幅文字混入と、CAPTCHA風の人間確認画面を使った多段階クローキングという、2つの手の込んだ仕掛けが施されていました。送信元は英国ロンドンのMicrosoft Azure、誘導先サーバーは香港という国際的な経路を経由しており、攻撃者が解析・検知をかいくぐるための工夫を重ねている実態がうかがえます。表示されている文面だけで「いつものパターン」と判断せず、リンクは絶対にクリックしないでください。このページを家族のLINEグループで共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖