【危険】『【重要】Primeの定期更新についてのお知らせ』は偽物！実例と見分け方

2026年1月22日

このメールは「Amazon」を装ったフィッシング詐欺です。
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対にリンクをクリックしないでください。

いつもご覧くださりありがとうございます！

できる限り分かりやすく説明していいます。
最後までお読みいただても5分～10分程度ですのでごゆっくりご覧ください。

前書き

昨夜一番多かったのがこのメール。
このブログをエントリーしている最中もバタバタと届き続けているこのメールは、Amazon を騙った怪しく危険なメールですが、いったい私たちに何を求めているのでしょう。
では、詳しく見ていくことにしましょう。

あっと、その前に！
これらのメールは開いただけなら被害に遭うことはありませんので先にお伝えしておきますね！

以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。

メール本文

ここから本文
↓↓↓↓↓↓

件名：[spam] 【重要】Primeの定期更新についてのお知らせNo.22415276
送信者： “Amazon" <server@myrvinn.com>

↑↑↑↑↑↑
本文ここまで
※本記事は注意喚起目的で掲載しています

これは、ほぼ確実にフィッシング詐欺メール です。
重要なので、理由と取るべき対応を整理しておきましょう。

不審・危険なポイント

1. 送信元メールアドレスが不正
   表示名は「Amazon」ですが、実際の送信元「server@myrvinn.com」で、Amazonの公式サイト「@amazon.co.jp」や「@amazon.com」とは無関係なドメインです。
2. Primeの料金が間違っている
   メールでは 月額 ¥500（税込）と記載されていますが、実際のAmazon Prime の月額は ¥600（税込）で、これは一昔前の価格です。
3. 不自然な日本語・構成
   「一斉送信しております」「特別な操作は必要ありません」と書きつつ「確認・変更する」リンクを押させようとしているのはフィッシングの常套手段。
4. 緊急性を煽る内容
   「重要」「自動更新」といった言葉で、確認を急がせようとしています。

推奨される対応

• メールは削除（迷惑メール報告すると尚良し）
• Amazonアプリ or ブラウザで直接ログイン
  「アカウントサービス」⇒「Prime会員情報の管理」と進み、更新状況を自分で確認する。
• もしリンクをクリックした、情報を入力した場合
  すぐにAmazonのパスワード変更
  クレカ会社に連絡
  Amazonカスタマーサービスに報告

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

メールのヘッダー情報を確認

では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。

Received: from myrvinn.com (myrvinn.com [34.84.23.230])

Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。

では、このドメインを割当てているIPアドレスを「whois.domaintools.com」さんで取得してみます。

Received のカッコ内にあったIPアドレスと全然違いますよね、この結果からこの送信者が使ったとされる「myrvinn.com」を使ったメールアドレスは偽装であることが確定です！！

このReceivedフィールドの末尾にあるIPアドレスからそのロケーション地を「IP調査兵団」で導き出してみると、東京都杉並区付近です。

でもこのロケーションは参考にすぎません。
その理由を簡単に説明しておきます
この解析結果から回線関連情報に「Google Llc」とあった通り、Googleが提供するクラウドサーバーの東京リージョンを借りて送信しています。
そのため、IPアドレスの登録地が東京になります。
東京リージョンは、物理的に複数のデータセンターを抱えていて正確な住所は非公開です。
IPデータベースでは東京都内の代表点（例：杉並区・千代田区・港区など）に丸められるので、確かに東京のどこかからではありますが、東京都杉並区付近は実在の送信者の住所ではなく、単なる代表座標地点であると言えます。

リンク先のドメインを確認

さて、本文の「サブスクリプション設定を確認・変更する」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。

【h**ps://www.kygw274.xyz/index】
(直リンク防止のため一部の文字を変更してあります)

ご覧の通りAmazon のドメインとは異なるものが利用されていますから、このサイトは公式サイトではありません！

💡ここで使われている「.xyz」ドメイン自体の特徴
「.xyz」は正式なトップレベルドメイン（TLD）ですが、商用や個人サイトなど限定された制限がないドメインです。
このため安価に大量取得でき、フィッシング詐欺・スパムなど悪意ある利用にも使われやすいというリスクが指摘されています。
セキュリティ団体の集計でも、「.xyz」ドメインはフィッシング詐欺サイトによく使われている TLDの一つとして報告されています。

今度はこのドメインに関する詳しい情報を「Grupo」さんで取得してみます。

URLが危険と判断できるポイント

• 作成からわずか3ヶ月
  「kygw274.xyz」は、2025年10月10日に作られたばかりの非常に新しいドメインです。
  Amazonのような大手サービスが、このような「作りたての.xyzドメイン」を決済や会員情報の管理に使うことは100%ありません。
• 日本のレジストラを悪用
  意外にも、このドメインの登録には日本の「GMO Internet（お名前.com）」が使われています。
  これは、日本のユーザーにとって「.xyz」ドメインが取得しやすく、かつ日本のレジストラを通すことで日本のセキュリティフィルタをすり抜けやすくする意図があると考えられます。
• 情報の隠蔽
  登録者情報は、お名前.comの「Whois Privacy Protection Service(ドメインプライバシー保護サービス)」によって隠されており、犯人の実体は巧妙に隠されていて、ここに表示される情報はその代わりに「お名前.com」の情報が表示されています。

割当てているIPアドレスは「 43.160.250.206」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイトではありがちなシンガポールの自然公園付近であることが分かりました。

これは先ほどの東京都杉並区と同じで単なるIPジオロケーションDBの代表座標で、実際にその場所にサーバや人がいるわけではありません。
こういったクラウド事業者のIPは、国レベルまでがせいぜい正確で市区町村・緯度経度は「推定 or 便宜的」なので 「ピンが刺さっている＝犯人の所在地」ではありません。

リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むと開いたのは「Forbidden」とだけ書かれた真っ白エラーページ。

ここで「Forbidden（403）」の意味についてですが、これは「サーバは存在するが、接続をアクセスは拒否された」と言う意味です。
これは詐欺サイトではよく見かける制御で、以下のようないくつかの判断処理をします。

処理①
日本IP・特定UA（User-Agent）だけ通し、セキュリティソフト経由アクセスを遮断する。

処理②
メール内リンクを踏んだ直後だけ有効で、再アクセスすると403を表示

処理③
すでにサイトを切り捨てた場合。
通報や検知が増えた時点で即停止したものでIPだけ残って中身なし。
この場合も 「Forbidden」が返される。

ウイルスバスターにブロックされたことは“詐欺インフラが生きていた痕跡” と考えるのが正確です。

まとめ

メールの文面や送信者のメールアドレスとリンク先のドメインが「Amazon」のものと異なるのでこのメールを詐欺メールと判定いたしました。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;