【調査報告】最新の詐欺メール解析レポート
メールの解析結果と技術的エビデンスの公開
|
■ 最近のスパム動向
今回ご紹介するのは「Amazon」を騙るメールですが、その前に最近のスパムの動向を解説します。昨今、フィッシング詐欺は「数打てば当たる」方式から、正規のインフラを悪用した「検知回避型」へシフトしています。特にCloudflare等のCDNを悪用して真のサーバー位置を隠蔽しつつ、ドメイン取得から数時間で攻撃を開始するスピード感が特徴です。
|
| 件名 |
[spam] 【Amazon】お支払い方法に問題があります |
| 送信者 |
“Amazon" <Amazon.co.jp> |
| 受信日時 |
2026-02-11 21:35 |
※[spam]の見出しについて:
メールサーバーが、送信元の挙動やIPアドレスの評判を元に「これは迷惑メールである」と判断した場合に自動付与されます。本物のAmazonからの通知にこのフラグが付くことはまずありません。
■ メールの本文再現(画像に基づき忠実に再現)
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
Amazon.co.jp
Amazonカスタマーサービスこの度は、Amazonをご利用いただき、誠にありがとうございます。
お客様のAmazon Prime月会費(600円)の支払い処理が、
登録されているお支払い方法で正常に完了できませんでした。
お支払い情報が古い、または無効になっている可能性がございます。
【重要】
支払い問題が解決されない場合、24時間以内にAmazon Primeの特典
(送料無料、Primeビデオ等)へのアクセスが一時停止されます。
また、アカウント全体に利用制限がかかる可能性があります。
この問題を解決し、引き続きAmazon Primeをご利用いただくために、
お手数ですが、以下のボタンをクリックしてお支払い方法を更新してください。
お支払い方法を更新
※ボタンをクリックすると、Amazonの安全な支払い情報更新ページに移動します
ご不明な点がございましたら、Amazonヘルプページをご参照ください。
本メールはAmazonの自動請求システムによって送信されています。
ご返信には対応いたしかねます。 |
アマゾン・ジャパン合同会社〒153-0063 東京都目黒区下目黒1-8-1 アクセス目黒タワー 12階
お問い合わせ:0120-959-684
© 2026 Amazon.com, Inc. or its affiliates. |
▼ 電話番号の流用と偽装の矛盾
メール末尾に記載されている電話番号「0120-959-684」を調査したところ、Amazon公式の窓口ではなく、**「株式会社ポートホームズ」という不動産関連企業の番号**であることが判明しました。
| メール記載の番号 |
0120-959-684(Amazonを詐称) |
| 真の所有者 |
株式会社ポートホームズ(正規の不動産会社) |
攻撃者は、適当なフリーダイヤルを公式サイトからコピー&ペーストして信頼性を演出しようとしていますが、実在の別企業の番号を無断使用するという致命的なミス(あるいは意図的な攪乱)を犯しています。これも本物ではない決定的なエビデンスです。
■ メールの感想とデザイン分析
一見すると整ったデザインですが、末尾の署名部分の背景色(水色)は、フィッシングメールで多用される典型的なスタイルです。また、住所の「アルコタワー」が「アクセス目黒タワー」と誤植されている点など、細部のツメが甘いのが特徴です。
■ 危険なポイントと対処法
▼ 送信元アドレスの比較
| 偽装された表示 |
Amazon.co.jp |
| 真の送信ドメイン |
bmcw.cn |
公式は必ず自社ドメインから送ります。中国ドメイン(.cn)経由で日本のアマゾンが通知を送ることは技術的・運用的にあり得ません。
from vmta139.bmcw.cn (unknown [154.223.230.135])
|
この「154.223.230.135」というIPアドレスは、送信元を特定するための**信頼できる送信者情報**です。
▼ メール回線関連情報
| IPアドレス |
154.223.230.135 |
| ホスト名 |
vmta139.bmcw.cn |
| 国名 |
Hong Kong (HK) |
≫ 回線情報の詳細エビデンス(ip-sc.net)
■ リンク先ドメイン・URL解析
「お支払い方法を更新」のリンク先を解析した結果です。
htt*s://keiya*ensev.top/sign-in
※安全のため伏せ字を含み、リンクを無効化しています。 |
▼ リンク先サイトの回線情報
| IPアドレス |
104.21.24.167 |
| ホスト名 |
Cloudflare, Inc. |
| 国名 |
United States (US) |
| ドメイン取得日 |
2026-02-10 |
【専門的考察:なぜ取得日が「昨日」なのか】
ドメイン登録からわずか1日。これは**「使い捨ての攻撃インフラ」であることを示す動かぬ証拠**です。セキュリティソフトやブラウザのブラックリストに掲載される前に攻撃を終えるため、彼らは常に新しいドメインを大量生産しています。正規企業がこのような「.top」という安価な使い捨てドメインで顧客情報を扱うことはありません。
≫ https://ip-sc.net/ja/r/104.21.24.167 で解析
■ 詐欺サイトの検証(実態画像)
|
解析:正規のログイン画面を完全に模倣していますが、URLが全く異なります。 |
実際にアクセスした結果、本物と区別がつかない精巧なコピーサイトが稼働中でした。しかし、技術データ(IP・取得日)を照らし合わせれば、これが偽物であることは明白です。
■ まとめと公式の注意喚起
今回のケースは、ドメインの鮮度(取得日)と送信元サーバーの国籍に決定的な矛盾がありました。公式情報を騙るメールでも、リンクをクリックする前に必ず公式サイトの「メッセージセンター」を確認する習慣をつけましょう。
|
Amazon公式サイトによる注意喚起:
Amazonからの連絡かどうかの識別について
|