【重要】Amazon Prime定期更新のお知らせ:偽メール解析レポート
【調査報告】最新の詐欺メール解析レポート
本ドキュメントは、Amazonを騙る不審なメールおよび誘導先ウェブサイトについて、技術的な観点から解析を行ったフォレンジックレポートです。
|
■ 最新のスパム動向:春節休暇後の攻撃インフラ活性化
サイバー犯罪グループの多くがアジア圏に拠点を置いていることから、2月の「春節(旧正月)」期間中は、詐欺メールの送信活動が物理的に停滞する傾向が観測されます。しかし、この静止期間は「攻撃の終焉」ではなく、休暇明けに向けた「インフラの蓄積期間」に過ぎません。
現在、休暇を終えた攻撃者が一斉に活動を再開しており、特にAmazonなどの大規模プラットフォームを標的としたキャンペーンが復活しています。今回の解析対象となるドメインが、メール送信の直前(2025年2月中旬以降)に集中的に取得されている点からも、春節の休止明けを待ってから新鮮な(ブラックリストに載っていない)攻撃リソースを投入していることが裏付けられます。
【警告】この時期は、休暇中に溜まった正規の通知メールに紛れて、巧妙な偽装メールが送り込まれます。「未払いの会費」や「自動更新の失敗」といった、ユーザーの焦りを誘発する文言には、例年以上に警戒を強める必要があります。
|
■ 受信メール基本情報解析
|
| 件名 |
[spam] 【重要】Primeの定期更新についてのお知らせ |
| 件名の見出し |
「」の表示は、メールサーバーがこのメールを迷惑メールまたは詐欺メールの可能性が高いと判定したことを示しています。 |
| 送信者(表示) |
“Amazon" <d648ml23z@gobposnpt.vip> |
| 送信者に関する情報 |
表示名は「Amazon」ですが、実際のメールアドレス(d648ml23z@gobposnpt.vip)はAmazonの公式ドメインとは一切関係がありません。これは典型的ななりすましです。 |
| 受信日時 |
(画像からは未取得のため割愛します) |
■ メール本文の再現
※以下の記述は、受信した詐欺メールの内容を忠実に再現したものです。本物の詐欺メールを理解するための資料として掲載しています。
|
| Amazon
Amazon Prime 自動更新のご案内
いつもAmazon.co.jpをご利用いただき、ありがとうございます。
お客様のAmazon Primeメンバーシップがまもなく更新されます。
サービス名:Amazon Prime
プラン種別:月額プラン
次回更新日:2026年2月29日
更新金額:¥500(税込)
お支払い方法:登録済みクレジットカード
⚠ 自動更新について
現在、お客様のAmazon Primeは自動更新が有効になっています。
更新日前までにキャンセル手続きをされない場合、上記の料金が登録済みの支払い方法に請求されます。
サブスクリプション設定を確認・変更する
(誘導先URL: [https://ymx.accounth](https://ymx.accounth)●●pdesk.cfd/v8/alogin/ymxlogin?cid=54128651654655)
※URLは安全のため一部を伏せ字(●●)にしています。
※ 更新を希望される場合、特別な操作は必要ありません。
※ このメールはAmazon Prime会員の方々に一斉送信しております。
このメールは自動送信されています。ご返信いただいても回答できませんのでご了承ください。
ヘルプセンター 利用規約 プライバシー お問い合わせ
© 2025 Amazon Japan G.K.
〒153-0064 東京都目黒区下目黒1-8-1
AmazonはAmazon.com, Inc.またはその関連会社の商標です。
|
|
■ メールのデザインと目的
メールのデザイン
Amazonのロゴ等は使用されていませんが、テキストの配置やフッター情報(住所、著作権表示など)をAmazon公式メールに似せて作成されており、受信者を欺こうとしています。
犯人の目的(重要)
このメールの目的は、受信者をAmazon Primeの更新手続きと称して偽のウェブサイトへ誘導し、Amazonアカウントのログイン情報(メールアドレス、パスワード)およびクレジットカード情報(番号、セキュリティコード、有効期限など)を窃取することです。
|
■ 危険なポイントと注意点
|
| 致命的な矛盾点 |
メール本文内の「次回更新日:2026年2月29日」という記述は、存在しない日付です(2026年は平年)。機械的に生成された詐欺メールにありがちなミスです。 |
| 送信者アドレスの不一致 |
送信者名が「Amazon」であっても、メールアドレス(@gobposnpt.vip)はAmazonのものではありません。公式メール(@amazon.co.jpなど)と必ず比較してください。 |
| 推奨される対応 |
このメールを受信した場合は、絶対にリンクをクリックせず、メールを削除してください。Amazon公式の注意喚起ページ(https://www.amazon.co.jp/help…)でも同様の事例が報告されています。 |
■ Received(送信元の技術情報)解析
|
| 送信元IPアドレス |
204.194.51.135 |
| 送信ドメイン |
gobposnpt.vip |
| ホスト名 |
unknown |
| 国 |
United States |
| ドメイン登録日・登録者 |
登録日: 2025-02-15 (ごく最近に取得されたドメインです) / 登録者情報: (Whoisにて確認) |
| 詳細エビデンス |
このIPアドレスの回線関連情報をip-sc.netで確認する
|
■ 誘導先(詐欺ウェブサイト)解析データ
|
| リンクが付けられている箇所 |
メール本文中央の「サブスクリプション設定を確認・変更する」というテキスト部分です。 |
| リンク先URL |
https://ymx.accounth●●pdesk.cfd/v8/alogin/ymxlogin?cid=54128651654655
※URLは安全のため伏せ字(●●)を含みます。 |
| ウイルスバスター/Google Safe Browsing |
ウイルスバスターやGoogle Safe Browsingによって、フィッシングサイトとしてブロックされていることを確認しました。 |
| リンク先ドメイン情報 |
ドメイン: accounthelpdesk.cfd |
| IPアドレス |
104.21.31.114 |
| ホスト名 |
Cloudflare, Inc. |
| 国 |
United States |
| ドメイン登録日・登録者 |
登録日: 2025-02-17 |
| URLが危険と判断できるポイント |
ドメインが「accounthelpdesk.cfd」であり、Amazon公式ドメインとは無関係な「.cfd」トップレベルドメインを使用しています。 |
| リンク先サイトの詳細 |
リンク先IPのサイト回線関連情報をip-sc.netで確認する |
| リンク先が稼働中かどうか |
調査時点では稼働中でした。 |
■ 誘導先诈欺サイトの画像
メール内のリンクをクリックすると、上図のような「確認中… 少々お待ちください。」というインジケーターが表示されるページへ誘導されます。このページで、裏側で情報を搾取するスクリプトが動いている可能性があります。
|
■ まとめと対策
本事例は、Amazonを騙り、存在しない日付「2026年2月29日」という矛盾を含むメールから、新規取得されたドメイン(accounthelpdesk.cfd)上の詐欺サイトへ誘導するフィッシング攻撃です。
Amazon公式アカウントからも注意喚起(https://www.amazon.co.jp/help…)が出ております。メール本文内のURLや「次回更新日:」などの記述に不自然さがないか、送信元アドレスが本物か、必ず確認するようにしてください。
|
|
