【実録】「Amazom」からの返金メールに要注意!送信者名のスペルミスに隠された巧妙なAmazon偽装フィッシングの全手口を公開
🟡 緊急度:中
| 緊急性レベル | ★★★☆☆ (3/5) フィッシングサイトは既に機能停止 |
| 偽装工作精度 | ★★★☆☆ (3/5) SPF・DKIM両Passも件名・本文が矛盾 |
■ メールヘッダー解析(送信者情報)
件名:返金手続きのお知らせ
送信者名:Amazom(※「Amazon」ではなく「Amazom」——mが一つ多い)
送信元アドレス:h6d9_v8@zh-official-28laps.com
受信日時:2026年6月16日 21:07
SPF:Pass(送信元IP:182.161.69.85) / DKIM:Pass(d=zh-official-28laps.com)
ヘッダー内の実URL(X-FEAS-SURL):https://amazonewy.shop(攻撃者の凡ミスで丸見え)
▲ 受信したフィッシングメール。件名は「返金」なのに本文は「お支払い確認」。整合性ゼロ。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
送信日: 2026年6月12日 お支払い情報のご確認 お客様各位 ご利用いただきありがとうございます。現在、ご注文に関連するお支払い情報の処理において確認が必要な状態となっております。 注文番号:D0******45 金額:9,780円 現在の支払い方法では処理が完了していない可能性があります。 お手数ですが、以下よりご確認をお願いいたします。 [アカウントサービスを確認] ※ ボタンが表示されない場合は、以下のURLをブラウザにコピーしてアクセスしてください。 https://www.amazon.co.jp/ 手続き方法: ・アカウントにログイン ・「お支払い方法」を確認 ・有効な支払い方法を設定 本メールは自動送信されています。ご不明点がある場合は公式サポートをご利用ください。 Amazon.co.jp カスタマーサービス Amazon Japan G.K. 東京都目黒区下目黒1-8-1
見破るポイント① 送信者名「Amazom」——スペルミスという証拠
タイポスクワット(typosquatting)とは、有名ブランドの名前をわずかに変えた偽のドメイン名や送信者名を使う手口です。「Amazon」→「Amazom」のように、一文字違いで本物に見せかけます。メールの一覧画面でさっと見ると気づきにくいのが狙いです。
郵便の差出人欄に「ヤマト運輸」ではなく「ヤマト運送」と書いてあっても、急いでいれば見逃してしまうのと同じ心理を利用した手口です。
確認方法:送信者名をクリック・タップして実際のメールアドレスを表示させてください。本物のAmazonからのメールは必ず @amazon.co.jp または @amazon.com で終わります。今回は zh-official-28laps.com という全く無関係のドメインからの送信です。
見破るポイント② 件名と本文の内容が一致しない
件名は「返金手続きのお知らせ」ですが、メール本文を開くと書かれているのは「お支払い情報のご確認」です。返金と支払い確認は正反対の内容であり、このメールが使い回しのテンプレートで量産されたものであることを物語っています。本物のAmazonがこのような矛盾したメールを送ることはありません。
見破るポイント③ ヘッダーに実URLが丸見え
メールのヘッダー情報(通常は非表示の技術情報)を確認すると、X-FEAS-SURL: https://amazonewy.shop というフィールドに実際の誘導先URLが丸見えになっていました。攻撃者が配信システムの設定を誤り、隠すつもりだった情報を露出させてしまったものと考えられます。本物のURLを隠してボタンに別のURLを表示するという詐欺の構造が、図らずも自ら証明される結果となっています。
送信ルート及び偽装判定
■ 送信ルート解析
※Receivedヘッダーの全文には受信者側のサーバー情報が含まれるため掲載を控えています。
送信元IP:182.161.69.85
逆引きホスト名:infoo2.zh-official-28laps.com
送信ドメイン:zh-official-28laps.com(「zh-」プレフィックスは中国系攻撃者インフラに頻出するパターン)
【偽装判定】:本物のAmazonからのメールは @amazon.co.jp または @amazon.com から送信されます。zh-official-28laps.com はAmazonとまったく無関係のドメインです。
発信元ロケーション:調査時点で詳細特定困難(中国系インフラと推定)
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
フィッシングサイト詳細解析
■ amazonewy.shop の実態
誘導先URL(伏せ字):hxxps://amazonewy[.]shop/
ドメイン:amazonewy.shop(「amazon」に無意味な文字列「ewy」を付加した偽装ドメイン)
サイトサーバーIP:172.67.128.204(Cloudflare CDN経由)
【サイトの状態】:Cloudflare(クラウドフレア)のBot対策が有効化されており、調査時点では以下の挙動を確認:
- PC(時間経過なし):Cloudflareセキュリティ検証画面 → 読み込み失敗
- PC(放置後):Cloudflare検証通過後 → バックエンドのnginxが「405 Not Allowed」を返す
- スマートフォン:Cloudflareセキュリティ検証画面 → 読み込み失敗
「405 Not Allowed」とは「このやり方ではアクセスできません」という意味のエラーで、メールのボタン経由でないと正常に動作しない設計になっていると考えられます。いずれにせよ調査時点でフィッシングサイトとして機能していないことが確認されています。
▲ PCでアクセスした際に表示されるCloudflareのBot検証画面。
▲ しばらく放置後に表示された「405 Not Allowed」エラー。バックエンドのnginxサーバーが直接アクセスを拒否している。
■ 注意点と対処法
- 送信者名だけで判断しない:「Amazon」「楽天」などの表示名は誰でも自由に設定できます。必ず表示名の横にある実際のメールアドレスを確認してください。
- 件名と本文が一致しているか確認する:「返金」と書いてあるのに本文が「支払い確認」なら、それは使い回しの詐欺テンプレートです。
- メール内のリンクは踏まない:Amazonへのアクセスは、公式アプリかブックマーク登録した公式サイトから行ってください。メール内のボタンやリンクは使わないのが鉄則です。
- Amazonメッセージセンターで確認:本物のAmazonからの重要な連絡は、Amazonアカウントにログイン後「メッセージセンター」にも同じ内容が届いています。そちらで確認するのが最も安全です。
- 公式注意喚起の参照:Amazon公式:フィッシング・なりすましメールへの対処法
本レポートの結論
「Amazom」「件名と本文の矛盾」「ヘッダーにURL丸見え」と、今回の詐欺メールは突っ込みどころが多い仕上がりでしたが、それでもSPF・DKIMの両認証をPassして届いてしまっています。技術的な偽装と内容のずさんさが同居するこの手の詐欺は、「なんとなく怪しい」と感じながらもつい確認してしまう人を狙っています。少しでも違和感を覚えたら、メールのリンクは踏まずにAmazon公式アプリから直接確認する習慣をつけてください。この記事を家族のLINEグループで共有し、「Amazonを名乗るメールには要注意」と伝えてあげてください。
調査日:2026年6月17日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
