Amazonを騙る「返金確認」偽メールを公開:Google Cloud経由のスパム配信経路を特定
【調査報告】最新の詐欺メール解析レポート
解析ステータス:フィッシングサイト確認済み / メール解析結果:Amazon騙りスパム |
1. 最近のスパム動向と前書き
昨今、大手ECサイトを装った「返金」や「アカウント停止」を通知するスパムが巧妙化しています。単なる情報の窃取だけでなく、正規のクラウドサービス(GCP等)を悪用してフィルタを潜り抜ける手法が目立ちます。本レポートでは、収集された検体を基に、その背後の通信構造を明らかにします。
|
2. 受信メールの基本情報
| 件名 |
[spam] amazon.co.jp返金の確認 |
| 件名の見出し |
冒頭の「[spam]」表記は、サーバーの検閲によりスパム判定を受けたことを示しています。 |
| 送信者 |
“Amazon.co.jp/ビジネス" <no-reply-3nfD@kuronekoyamato.co.jp> |
| 受信日時 |
2026-02-14 03:21 |
3. メール本文の再現(解析用データ)
| 注文履歴 | アカウントサービス | Amazon.co.jp |
Amazon.co.jpをご利用いただき、誠にありがとうございます。
下記の返金明細より、お支払いいただいたクレジットカードをご確認いただき、
ログインアカウントへの入金をご確認ください。
返金状況を確認 こちらから。
Amazon.co.jp をご利用いただきありがとうございます。
このメールアドレスは配信専用です。このメールには返信しないようお願いいたします。
|
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
メールの感想とデザイン
本メールはAmazonのブランドロゴを無断使用し、公式通知に酷似したレイアウトを構築しています。しかし、送信ドメインが「kuronekoyamato.co.jp(ヤマト運輸のドメイン)」となっており、Amazonとは一切無関係なドメインである点が最大の特徴です。
4. 危険なポイント・注意点・対処法
【アドレス比較】
公式:no-reply@amazon.co.jp
今回:no-reply-3nfD@kuronekoyamato.co.jp(完全な偽装)
【対処法】
このようなメールを受け取った場合、本文内のリンクは絶対に開かず、ブックマークや公式アプリから状況を確認してください。
|
5. 送信元サーバー解析(Received)
| 以下はヘッダーから抽出した「送信に利用された情報」であり、カッコ内のIPは信頼性の高いデータです。 |
| 送信元ドメイン |
C202602131432078.local (偽装の可能性大) |
| 送信者IPアドレス |
167.148.186.6 |
| ホスティング/ホスト名 |
bc.googleusercontent.com (Google Cloud Platform) |
| 国名 |
United States (アメリカ合衆国) |
6. リンク先サイト(詐欺サイト)の構造
| 誘導先URL |
hxxps://amazozo.woyayao.co* /henkin/co.jp/
(※安全のため伏せ字を含み、リンクを無効化しています) |
| ブロックの有無 |
Google Safe Browsing:ブロック対象 / ウイルスバスター:警告表示 |
| 稼働状態 |
稼働中(偽のエラーページを表示) |
詐欺サイトの画像(リンク先)
|
解析結果:「Sorry, your request timed out.」と表示されていますが、これは通信遮断を偽装し、ユーザーを油断させて裏でスクリプトを実行させる、あるいは解析を逃れるための偽のエラー画面である可能性が高いです。 |
|
7. リンク先ドメイン・回線情報
| リンクドメイン |
amazozo.woyayao.com |
| ドメインIPアドレス |
195.86.143.116 |
| ホスティング/国 |
[Cloudflare] / [アメリカ合衆国] |
| ドメイン登録日 |
2026年01月13日(最近) |
■ サイト回線関連情報・解析エビデンス
ドメイン登録日が非常に最近である理由は、警察やプロバイダによる凍結から逃れるため、攻撃者が短期間で使い捨てる「防弾ホスティング」や「新規ドメイン」を利用しているためです。
8. まとめと公式サイトでの確認
|