【Amazonを騙る】ご指定のカードが承認されませんでした(Ref: sGSYhf)の解析レポート
SECURITY INTELLIGENCE REPORT
REPORT ID: AMZ-PHISH-20260314 / STATUS: ACTIVE THREAT | ■ 最近のスパム動向と前書き
今回ご紹介するのは「Amazon」を騙るフィッシングメールですが、その前に最近のスパムの動向について解説します。2026年現在、攻撃者はAIを用いた自然な日本語生成だけでなく、あえて「難読化」を施すことでセキュリティソフトを回避する手法へシフトしています。特に「自auto動引きfail落とし」といった異常な文字列の混入は、機械学習フィルタを突破するための最新のトレンドとなっており、注意が必要です。
| | 件名 | [spam] ご指定のカードが承認されませんでした(Ref: sGSYhf)
※見出しに[spam]とあるのは、受信サーバーがSPF/DKIM/DMARC等の送信ドメイン認証に失敗し、危険なメールとしてフラグを立てたためです。 | | 送信者 | “◆Amazon Prime ” <AmazonPrimeVideo.reply@du2.jp>
※送信ドメイン「du2.jp」はAmazonの正規ドメインとは一切無関係な盗用・偽装アドレスです。 | | 受信日時 | 2026-03-13 21:31 | ■ 検体本文の忠実な再現
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
Amazon.co.jp – Prime-ご指定のカードが承認されませんでした(Ref: sGSYhf) ◯◯◯◯ 様 いつもご利用いただき、ありがとうございます。
お客様の Prime 会費のお支払い状況を確認したところ、正常に決済が完了しておりません。 決済日時: 2026年03月13日 (金) 21:31:51
お支払方法: カ_ー_ド(末尾:4384)
決済状況: 自auto動引きfail落とし失敗 このままの状態では、配送特典や Prime Video 等の特典利用が制限されます。
お手数ですが、2026年03月15日 (日) までに、お支払い情報を更新してください。
発行: Amazon Japan G.K. | セキュリティ番号: Xei7gVLz
Seed: Wj4ATF | JST: 21:31:51 | Hash: yoxlb1NvfI6242
| 【犯人の目的】
Amazonのロゴや決済失敗という緊急性を煽る文言により、偽のログイン画面へと誘導。クレジットカード番号、有効期限、セキュリティコード、およびAmazonアカウントの認証情報を奪取することが目的です。
| | ■ 送信元(Received)情報解析 |
以下のデータは、メールヘッダーから抽出された「送信に利用された情報」です。カッコ内のIPアドレスは、偽装不可能な信頼できる送信者情報であることを明記します。
| | Received | from mx95608-toyama544-toyama899.toyama.t-com.ne.jp (unknown [169.40.132.27]) | | 送信元IPアドレス | 169.40.132.27 | | ホスティング/国 | SoftLayer Technologies (IBM Cloud) / United States (アメリカ合衆国) | | ドメイン登録情報 | 登録日: 2026-02-15 (DomainTools取得値)
【解析】ドメイン取得からわずか1ヶ月。攻撃インフラの構築直後に送信されており、長期運用の正規サイトとは明らかに性質が異なります。 |
>> メール回線関連情報:169.40.132.27 解析(ip-sc.net)
| | ■ リンク先(詐欺サイト)詳細解析 | | リンク箇所 | 「支払情報を更新する」ボタン | | リンク先URL | https://wwwmaa07.ya◯o5.cyou/s3s5s6/ (伏字を含む) | | リンク先IPアドレス | 172.67.147.162 | | ホスティング/国 | Cloudflare, Inc. / United States (アメリカ合衆国) | | ドメイン登録日 | 2026-03-10 (DomainTools取得値)
【解析】このドメインは攻撃のわずか3日前に登録されています。典型的な使い捨て詐欺ドメインの特徴です。 | | サイトの状態 | Timeout (稼働停止中)
ウイルスバスター等でブロック済。調査時はタイムアウト(画像参照)を返しており、短期間で拠点を破棄したものと思われます。 | | 【詐欺サイトの状態:証拠画像】 
|
>> サイト回線関連情報:172.67.147.162 解析(ip-sc.net)
| ■ 注意点と対処方法
過去の事例と比較しても、今回のメールは「自auto動引きfail落とし」という難読化が極めて特徴的です。本物のAmazonが決済失敗時にこのような文字列を使用することはありません。
また、メールに署名として「Amazon Japan G.K.」と記載されていますが、正規のカスタマーサービス電話番号は記載されておらず、単なる信用付与の偽装工作です。
> Amazon.co.jp 公式:不審な連絡の見分け方
| |