【発見】Amazon詐欺とアダルト誘導は同じ工場製?送信アドレスの法則が一致
| 緊急性レベル | ★★★☆☆ (3/5) |
| 発見の意外性 | ★★★★★ (5/5) ※全く異なるジャンルのキャンペーンが同一インフラを共有している点が異例 |
まず、今回比較する2つのキャンペーンを整理します。1つは前回記事で解析した「Amazon配送通知」を装った詐欺メール、もう1つは同じ時期に多数届いていた「成人向けコンテンツへの誘導を装うメール」です。件名・ブランド・誘い文句はまったく違いますが、メールアドレスの作り方を見比べてみると、共通の規則性が見えてきます。
成人向けコンテンツ誘導メールの本文の構成も簡単にご紹介します(具体的な煽り文句は省略し、構成のみマイルドに再現しています)。
※以下は届いた詐欺メールの構成を技術検証のために抽象化して再現したものです。具体的な煽り文句は省略しています。
様 ※会員チャージ不要、ダウンロードするだけで今すぐ視聴可能。永久無料、高速、(中略) ■ 公式アプリのダウンロード アプリをダウンロードすれば、ずっと無料で(中略) ▼ アプリダウンロードはこちら [リンク] このメールは配信専用です。返信はお受けできません。
▼ 受信した成人向けコンテンツ誘導メールの一例(送信者・本文構成)
注目していただきたいのは「アプリをダウンロードすれば」という誘導方式です。記事③のAmazon版は「配送状況を確認する」というリンク先のWebページへの誘導でしたが、今回はアプリのインストールを促す形式になっています。手口の見た目は違っても、最終的にたどり着く先の構造(パラメータ付きURL→人間確認CAPTCHA)は共通していました。
■ 送信元アドレスの命名規則を比較
| キャンペーン | 送信元アドレスの例 | 命名規則 |
| Amazon配送通知(前回記事) | sqly@sq35.wwdcfy.com sqly@sq39.xswlws.com sqly@sq08.jzandd.com | ローカル部「sqly」固定+サブドメイン「sqXX」(2桁ランダム数字) |
| 成人向けコンテンツ誘導(今回) | sq15@sq15.lbangg.com sq32@sq32.lbangg.com sq30@sq30.gyminhang.com | ローカル部とサブドメイン部の数字が完全一致する「sqXX@sqXX.」型 |
どちらも「sq」+ランダムな数字という命名規則を採用。ブランドも内容も全く違うのに、アドレスを生成する仕組み自体が同じ可能性が高いことを示しています。
さらに気になったのが、誘導先のURLに使われているパラメータです。Amazon版の誘導先には「good-wanmei.com」というドメインが使われていましたが、最終的にはCAPTCHA(人間確認)画面を経由していました。一方、成人向けコンテンツ誘導メールのリンクも確認してみると、URLの構造に同じ特徴が見つかりました。
■ 誘導URLのパラメータ構造を比較
| キャンペーン | 誘導先URLの構造 | 最終的な経路 |
| Amazon配送通知 | good-wanmei.com(直接リンク) | pntflw.com/?type=verify&key=(個別キー)→人間確認CAPTCHA |
| 成人向けコンテンツ誘導 | wineforart.com/?type=verify&key=(個別キー) | 最終的に rcdmp.top/(固定パス)へリダイレクト(現在DNS失効で無効化済み) |
「?type=verify&key=(個別の文字列)」というパラメータの付け方が、ブランドの異なる2つのキャンペーンで完全に一致しています。これは個別のメールごとに一意のトラッキング用キーを発行する仕組みで、おそらく「どのメール経由でアクセスしたか」を攻撃者側が把握するための仕掛けです。この構造が同じということは、リンク生成のロジック自体が共通のシステムから作られていることを強く示しています。
■ 送信元インフラの解析
※メールヘッダー詳細は個人情報保護のため非掲載。両キャンペーンの送信元IPを調査したところ、以下の結果が得られました。
Amazon配送通知:34.104.192.27/34.104.218.28/34.104.162.58/35.243.160.x(いずれもGoogle Cloud Platform)
成人向けコンテンツ誘導:136.110.92.187(同じくGoogle Cloud Platform、AS番号396982/GOOGLE-CLOUD-PLATFORM)
IPアドレス調査:ip-sc.netで詳細を確認する(脅威レベル「低」、利用形式「hosting」と判定)
使われているIPアドレスの範囲(セグメント)自体は異なるため、物理的に全く同じサーバーというわけではありません。しかし両方ともGoogle Cloud Platformという同一のクラウド事業者上に構築されており、攻撃者がGCPを「使い捨ての送信インフラ」として複数のプロジェクトにわたって運用している実態が見えてきます。
さらに、両キャンペーンが最終的に表示する「人間確認(CAPTCHA)」画面も見比べてみました。前回記事のAmazon版では「盾アイコンを5個中2個タップする」という形式でしたが、今回の成人向けコンテンツ誘導メール側では「盾アイコンを5個すべてタップする」という、少し異なるバリエーションが使われていました。
▼ 成人向けコンテンツ誘導メール側で表示された人間確認(CAPTCHA)画面
デザインの骨格(紫の盾アイコン、緑のボタン、「サイトへの接続が安全かどうか確認しています」という同じ文言)はほぼ共通していますが、要求される操作の数だけが「2個選択」「5個すべて選択」という形で変えられています。これはおそらく同じCAPTCHA生成テンプレートに、難易度や種類のパラメータを与えて出し分けているだけと考えられ、土台となる仕組みが共通しているという見方をさらに補強する材料です。
送信元アドレスの命名規則、誘導URLのパラメータ構造、そして送信インフラの選択。これら複数の特徴が一致していることから、Amazon配送通知の詐欺キャンペーンと成人向けコンテンツ誘導メールは、同一の攻撃者、または同一の「スパム配信サービス」を利用する関連グループによって運用されている可能性が高いと考えられます。ジャンルの異なる詐欺を同じ仕組みで量産しているという点で、攻撃者側の効率化・分業化が進んでいることを示す事例です。
■ 注意点と対処法
- 「sq」+数字のような送信元アドレスに警戒する:意味のない英数字の組み合わせは使い捨て送信アドレスの特徴です。
- URLに「?type=verify&key=」のような個別パラメータがある場合は要注意:これはあなたがクリックしたことを追跡するための仕掛けです。
- ジャンルに関わらず、身に覚えのない通知・誘いのリンクはクリックしない:配送通知でもお得な誘いでも、仕組みは同じ詐欺製造ラインから来ている可能性があります。
- セキュリティソフトの警告は必ず守る:「危険なサイト」という表示が出たら、その場でアクセスを中止してください。
■ 関連記事
本レポートの結論
Amazon配送通知を装う詐欺と、成人向けコンテンツへの誘導を装うメール。表面上は全く接点のない2つのキャンペーンですが、送信アドレスの命名規則、誘導URLのパラメータ構造、そして送信に使われているクラウド基盤まで、複数の共通点が見つかりました。詐欺メールは「ブランドごとに別々の犯罪者がいる」と思われがちですが、実際には同じ仕組み・同じ基盤を使い回しながら、見た目だけ変えて様々なジャンルに展開されているケースがあります。件名や内容に関わらず、不審なメールに共通する技術的な特徴を知っておくことが、被害を防ぐ近道です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・誘導先サイトの状態は調査時点のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖