【警告】高級ブランド偽販売と同じ犯行グループがAmazon返金詐欺にも進出——送信元ドメイン完全一致で同一犯確定
🟡 緊急度:中
| 緊急性レベル | ★★★☆☆ (3/5) 誘導先はすでに警告表示・読み込み不能の状態を確認 |
| 偽装工作精度 | ★★★★☆ (4/5) 自前ドメインにSPF/DKIMを正しく設定し、認証チェックを正面から突破してくる |
■ メールヘッダー解析(送信者情報)
件名:[spam] Amazonアカウント返金明細について
表示上の送信者名:“Amazon”
送信元アドレス:nzg7ok5g@zh-official-28laps.com
送信元IP:182.161.69.84
受信日時:2026年6月23日 02:15
SPF認証:Pass(攻撃者自身が管理するドメインのため認証は通る)
DKIM署名:あり(d=zh-official-28laps.com)
ご覧の通り、このメールはAmazonを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべてクリックできない形式にしてあります。
件名:[spam] Amazonアカウント返金明細について 送信者:"Amazon" <nzg7ok5g@zh-official-28laps.com> Amazon.co.jpをご利用いただき、誠にありがとうございます。 下記の返金明細より、お支払いいただいたクレジットカードをご確認いただき、ログインアカウントへの入金をご確認ください。 返金状況を確認 こちらから。(クリック不可) Amazon.co.jp をご利用いただきありがとうございます。 このメールアドレスは配信専用です。このメールには返信しないようお願いいたします。
本文だけ見ると、ロゴや配色はAmazonにかなり似せて作られています。しかし「返金明細より、お支払いいただいたクレジットカードをご確認いただき、ログインアカウントへの入金をご確認ください」という一文、よく読むと日本語として少しぎこちなく、何を確認させたいのかが曖昧です。本来のAmazonの返金通知であれば、返金額や対象注文番号が具体的に書かれているはずですが、本メールにはそうした具体性が一切ありません。
■ 送信ルート及び偽装判定——前回の偽ブランド記事と同一犯確定
Receivedヘッダー解析(サーバー通過証明):
※メールヘッダー詳細は個人情報保護のため非掲載
【偽装判定】:
Amazonの公式メールドメインは amazon.co.jp または amazon.com です。本メールの送信ドメイン「zh-official-28laps.com」は、これまでAmazonと一切関係がない使い捨てドメインとして運用されています。さらに重要なのは、このドメインが過去記事で報告したロレックス・シャネル・パテック フィリップの偽ブランド品販売メール(home-zh-jiuyou-vip.com、zhplay-ayxsports.comと同時に使われていたグループの1つ)と完全に同一だという点です。送信元IP「182.161.69.84」も、前回特定した「182.161.69.xx」という同一セグメント上にあります。つまり、高級ブランド品の偽販売をしていたのと同じ攻撃基盤が、標的をAmazonユーザーに切り替えて再び稼働していることが確認できました。
発信元ロケーション解析:
IPアドレス調査:【ip-sc.netで詳細を確認する】(※前回記事の時点でも具体的な地域までは特定できておらず、同一セグメントであることのみ確認済みです。ロケーション情報は変動する場合があります)
もう一つ面白いミスがあります。ヘッダーには「X-Originating-IP」として「127.73.198.132」という値が記録されていました。しかし127.から始まるIPアドレスは「ループバックアドレス」と呼ばれる、自分自身を指すための予約済みの特殊な番号帯で、インターネット上の実在する送信元には絶対になり得ません。攻撃キットのテンプレートにダミー値を入れたまま、本番の値に差し替え忘れたものと考えられます。高級ブランド偽販売からAmazon版へ看板を替える手際の良さと、こうした基本的な抜けのギャップが、このグループの「らしさ」かもしれません(笑)。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://amazonewy[.]shop/(一部伏字)
リンクドメイン:amazonewy.shop(「amazon」に文字列を付け足した使い捨てドメイン。Amazonの公式ドメインとは一切無関係)
サイトサーバーIP:104.21.2.54(Cloudflare)
IPアドレス調査:【ip-sc.netで詳細を確認する】
【サイトの状態】:Heartland-Labで確認した時点で、Cloudflareの「Suspected Phishing(フィッシングの疑い)」という警告画面が表示され、その先のボット検証ページを経由した後は「読み込みに失敗しました」という表示になり、実際のフィッシングページには到達できませんでした。これは通報を受けてCloudflare側がブロックした、あるいは攻撃者自身が証拠隠滅のために閉鎖した可能性があります。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
■ 注意点と対処法
- URLをクリックしない:リンク先は情報を盗むための偽サイトです。すでにアクセス不能になっている場合も、別の使い捨てドメインで同様のメールが再び届く可能性があります。
- 公式サイトを確認:返金状況は必ずAmazon公式アプリ、またはブックマークしたAmazon.co.jpから直接ご確認ください。
- SPF/DKIMが通っていても安心しない:今回のように攻撃者が自分のドメインを正しく設定していれば、認証チェック自体は通過します。送信元アドレスのドメイン名そのものを確認する習慣が重要です。
- 公式注意喚起の参照:Amazon「なりすましメール・詐欺にご注意ください」
本レポートの結論
「Amazonアカウント返金明細について」を名乗るこのメールは、送信元ドメイン・IPともに、過去記事で報告したロレックス・シャネル・パテック フィリップ偽ブランド品販売メールと同一の攻撃グループによるものでした。標的をAmazonユーザーに変えても、使い回している攻撃基盤は同じ——これが「同じ犯人が複数の顔を使い分けている」ことの確かな証拠です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖