【Amazon詐欺メール調査】「Primeの定期アップデート」送信元はウズベキスタンと判明
【調査報告】最新の詐欺メール解析レポート
発行日: 2026-03-04 | 専門調査員による技術検証データ |
■ 最近のスパム動向
今回ご紹介するのは「Amazon」を騙るフィッシングメールですが、その前に最近のスパムの動向を解説します。2026年に入り、新生活の準備や年度末の決済が重なる時期を狙い、ECサイトの「支払い情報の更新」を促す詐欺が激増しています。特に「3日以内」といった短い期限を設け、ユーザーに冷静な判断をさせない心理的圧迫(ソーシャルエンジニアリング)を組み合わせる手法が主流となっています。
|
■ メールの解析結果
| 件名 |
[spam] 【重要】Primeの定期アップデートのご案内 |
| 件名の見出し |
冒頭に[spam]というタグが付与されています。これは受信サーバーが送信元の信頼性を検証した結果、既に「迷惑メール」としてマーキングしたことを示しており、開封自体が推奨されない危険なメールである証拠です。 |
| 送信者 |
“緊急性を伴う通知です" <matsumotovista@kangaroo.vzabyqi.cn> |
| 受信日時 |
2026-03-04 11:50 |
|
■ 送信者に関する情報
表示名は「緊急性を伴う通知です」となっており、Amazonの公式名称をあえて隠し、心理的な煽りを優先しています。また、送信元アドレスのドメイン「vzabyqi.cn」は中国のトップレベルドメインであり、日本国内のAmazonサービスが公式通知に使用する「amazon.co.jp」とは一切無関係な文字列です。
|
| ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
Amazonプライム会員資格の更新について
いつもAmazonプライムをご利用いただき、誠にありがとうございます。
現在、ご登録の支払い方法により月額料金の請求が正常に処理できておりません。
お支払い情報を確認の上、3日以内に再設定をお願いいたします。
ご対応がない場合、プライム特典の一時停止やアカウント機能の制限が行われる可能性があります。
請求保留の主な理由:
1.クレジットカードの有効期限切れ
2.口座残高不足または引き落とし不能
3.カード会社による承認拒否
4.登録情報の更新漏れ
プライム特典を継続してご利用いただくために、早めのご対応をお願いいたします。
お支払い方法を確認する
お支払い方法を確認するこのメールは送信専用です。返信はできません。
詳細は カスタマーサービス までお問い合わせください。
|
|
■ メールの目的と専門的解説
【犯人の目的】
最大の目的は、リンク先の偽サイトへ誘導し、クレジットカード情報(番号・セキュリティコード)およびAmazonのログイン資格情報(メールアドレス・パスワード)を盗み出すことにあります。
【デザインと内容の異常点】
このメールは非常に簡素で、公式ロゴすら使用せず「文字ばかり」の構成になっています。本物のAmazonからの通知には、必ず登録者の氏名(宛名)が記載されますが、本メールには宛名がありません。また、文末に公式の署名や所在地、連絡先電話番号が一切ない点は、法規制(特定電子メール法)を無視した詐欺メール特有の構造です。
|
■ 送信元回線解析 (Receivedヘッダー抽出)
※以下のIPアドレスは、送信に利用されたことが確認されている信頼できる送信者情報です。
| 送信元ドメイン |
kangaroo.vzabyqi.cn |
| 送信元IPアドレス |
213.230.86.69 |
| ホスト名 |
unknown |
| ホスティング/国 |
Uztelecom (Uzbekistan / ウズベキスタン) |
【回線調査結果】
送信元ドメインと送信IPアドレスの整合性が取れておらず、偽装された可能性が高いです。また、ウズベキスタンの回線からAmazonジャパンの通知が送られることは実務上あり得ません。
≫ 送信元IP 213.230.86.69 の詳細解析データ(ip-sc.net)
|
■ 誘導先(フィッシングリンク)解析
| 設置箇所 |
「お支払い方法を確認する」のアンカーテキスト |
| リンク先URL |
hxxps://lnfgkhl.cn/a1/h2/adsa=amazontiaos/ (※直接リンク防止のため一部改変) |
| リンク先IPアドレス |
104.21.32.203 |
| ホスティング/国 |
Cloudflare, Inc. (USA / アメリカ) |
| ドメイン登録日 |
2026-03-01 (わずか3日前に取得) |
【ドメインに関する見解】
ドメイン「lnfgkhl.cn」は調査時点からわずか数日前に登録されています。これは、既存のブラックリストを回避するために攻撃直前に新しく取得された典型的な「使い捨てドメイン」であり、詐欺サイトである決定的な証拠です。
≫ リンク先IP 104.21.32.203 の詳細解析データ(ip-sc.net)
|
■ リンク先サイトの現在の状態
【セキュリティブロック】
ウイルスバスターおよびGoogle Safe Browsingにより、既に「危険なサイト」として警告が表示されています。
【稼働状況】
現在、サイトは稼働を停止しており、以下のエラーメッセージが表示されます。
| Sorry, your request timed out. Please try again or check your internet connection. |
攻撃者が通報を察知してサーバーを閉鎖したか、あるいは攻撃の第一段階を終えて撤収した可能性があります。
|
■ 調査まとめ:被害に遭わないために
今回のメールは、過去のAmazonを騙る事例と比較しても「デザインの簡素化」が目立ち、技術的な偽装(.cnドメインや直近のドメイン取得)に頼った作りとなっています。
【注意点と対処法】
* 送信者のメールアドレスが「amazon.co.jp」であることを必ず確認してください。
* 宛名が「お客様」など汎用的な場合は詐欺を疑ってください。
* リンクはクリックせず、公式アプリやブックマークから確認してください。
|
|