「お荷物の配送状況をご確認ください!」詐欺の正体|誘導先CFDドメインの危険性
【調査報告】最新の詐欺メール解析レポート
管理番号:SEC-REPORT-2026-0306 / 解析対象:Amazon詐欺メール |
■ 最近のスパム動向
今回ご紹介するのは「Amazon」を騙るメールですが、その前に最近のスパムの動向を整理します。近年は「アカウントの停止」よりも、今回のような「身に覚えのない注文の発送完了」を装う手口が主流です。特に具体的な商品名(豆乳、洗剤など)を出すことで、受信者に「誰かが自分のアカウントを不正利用したのでは?」という強い不安を抱かせ、冷静な判断を奪い、フィッシングサイトへ誘導する心理的ハックが多用されています。
|
■ メール受信情報の解析結果
| 件名 | [spam] 【重要】お荷物の配送状況をご確認ください! | | 件名の見出し | 冒頭に [spam] が付与されており、サーバーのアンチスパムフィルタによって危険と判定されています。 | | 送信者 | “Amazon” <teqc88ec6@amazon.co.jp> | | 受信日時 | 2026年3月6日 17:12 | |
■ メール本文の忠実な再現
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
注文履歴 アカウントサービス 再購入
荷物は配達中です。
√注文済み
√発送済み
√配達中
配達済み
本日到着予定
安藤・東京都
注文番号 503-8862928-4756668
2026年3月6日 10:25:56にAmazonアカウントでご注文いただいた商品は、現在発送中です。ご注文の詳細は以下の通りです。 【Amazon.co.jp限定】キッコーマン 豆乳飲料 麦芽コーヒー …
数量: 1 アリエール 洗濯洗剤 ジェルボールプロ 部屋干し×鉄壁バリア …
数量: 1 ご注文内容に誤りがある場合は、金銭的損失を避けるため、アカウントにログインし、お支払い方法をご確認ください。
ご注文をキャンセルするには、下のリンクをクリックしてください。 注文をキャンセルするにはログインしてください。
|
©2025 Amazon.com. All rights reserved. Amazonのロゴ、Amazon.co.jpおよび、Amazon.co.jpのロゴは、Amazon.com, Inc.またはその関連会社の商標です。
送信者:アマゾンジャパン合同会社
住所・各種お問い合わせについては、こちらの「販売業者」欄をご参照ください。 Amazon.co.jpプライバシー規約
| |
■ メールの目的および専門的解析
▼ 犯人の目的
このメールの目的は、受信者に「他人が自分のカードで勝手に買い物をした」と思わせ、慌てて「注文キャンセル」をクリックさせることです。誘導先でAmazonのログイン資格情報(メール・パスワード)およびクレジットカード情報を盗み出すことが最終ゴールです。
▼ メールの不自然な点
・宛名の問題:本文に「安藤・東京都」とありますが、Amazonの公式通知では通常、登録されたフルネームが敬称付きで記載されます。
・デザインの罠:末尾数行が水色(#e0f2fe)の背景になっているのは、近年のAmazon系詐欺メールに共通するテンプレート的特徴です。
・署名の欠落:末尾に電話番号などの連絡先が一切記載されていません。Amazonジャパン合同会社の正式な通知であれば、特定商取引法に基づく表記やカスタマーサポートへのリンクが適切に配置されるべきですが、これにはありません。
|
■ 送信元(Received)回線関連情報
from omidheidari.com (omidheidari.com [35.221.65.159])
※カッコ内のIPアドレスは、偽装困難なネットワーク層の送信者情報です。
| 送信ドメイン | omidheidari.com | | 送信元IPアドレス | 35.221.65.159 | | ホスト名 | 35.65.221.35.bc.googleusercontent.com | | ホスティング社 | Google Cloud Platform (GCP) | | 設置国 | United States (アメリカ合衆国) |
解析コメント:
ホスト名に `bc.googleusercontent.com` が含まれており、Google Cloud上の計算機が悪用されています。Amazon公式が自社のドメイン以外(特に個人ドメイン風のomidheidari.com)からメールを送ることは100%ありません。
▼ 送信元ドメインWhois情報
ドメイン登録日・登録者:Whoisによると、このドメインは攻撃用に用意されたか、管理不備のドメインが乗っ取られた可能性が高いです。
詳細解析:https://ip-sc.net/ja/r/35.221.65.159
|
■ 誘導先フィッシングサイト・リンク解析
リンク箇所: 「注文をキャンセルするにはログインしてください。」
誘導先URL: https://yxm.accrestorehub.cfd/v8/vue/yxmlogin?cid=85465122546251563
※URLの一部に伏せ字は一切行わず、生データを掲載しています(直リンクは無効化)。 ▼ リンク先サイトの状態
現在稼働中。アクセスすると、ウイルスバスター等の警告を回避するためか「確認中… 少々お待ちください。」というインジケーターが永遠にクルクル回り続ける特殊なスクリプトが組まれたページが表示されます。
| 【詐欺サイト実例:待機画面】 
| | リンクドメイン | yxm.accrestorehub.cfd | | IPアドレス | 104.21.31.206 | | ホスト名 | cloudflare-nginx (Cloudflare CDNを利用) | | 設置国 | United States (アメリカ合衆国 / グローバルネームサーバ) | | ドメイン登録日 | 2026年3月初旬(極めて最近) |
危険なポイント:
ドメイン登録日が非常に最近である理由は、既存のブラックリストによる検知を逃れるため、攻撃の直前に「使い捨てドメイン」として取得されたからです。正規のAmazon関連ドメインが「.cfd」という安価なトップレベルドメインを使用することは絶対にありません。
▼ サイト回線詳細データ解析リンク
https://ip-sc.net/ja/r/104.21.31.206
|
■ まとめ・推奨される対応
本事例は、過去の「アカウント更新」詐欺と比較し、より実社会に近い「誤注文」という心理的ストレスを利用した巧妙なものです。Amazonを名乗るメールが届いた際は、本文内のリンクを決して踏まず、ブックマークした公式サイトから「注文履歴」を直接確認してください。
|