Amazonを騙る詐欺メール「お支払い方法を更新してください」徹底解析レポート
【調査報告】最新の詐欺メール解析レポート
本レポートは、特定された脅威インフラおよび攻撃手法の技術的な解析結果を公開するものです。 | ■ 最近のスパム動向
2026年現在、Amazonを装うフィッシング詐欺は「検知回避」に全力を注いでいます。本検体のように、「ヒューマン証明(人間確認)」を介在させることで、セキュリティ企業のクローラーや自動解析エンジンを遮断し、特定のターゲットに対してのみ詐欺コンテンツを表示させる手法が一般化しています。また、年度末などの決済更新時期を狙うことで、ユーザーの焦りを誘うソーシャルエンジニアリングが巧妙化しています。
| ■ 受信メール解析データ
| 【件名】 | [spam] 【警告】お支払い方法を更新してください(Ref: xx) 06887072 | | 【件名見出し】 | 接頭辞「[spam]」は、メールサーバーがSPF/DKIM/DMARCのいずれかの認証に失敗、またはコンテンツの有害性を検知したことを示しています。 | | 【送信者】 | “Amazon Prime” <noreply-trjw4j54wb@bookzone.jp> | | 【受信日時】 | 2026-03-15 15:58 | | 【送信者解析】 | ドメイン「bookzone.jp」はAmazonの正規インフラではありません。 | | ■ メール本文の忠実な再現
※以下の内容は受信したメール画像を基に解析用に構成したものです。本物の詐欺メールのデザインを忠実に再現しています。 | ADg43m8d78as4Vvz9a81on.co.jp – Prime- 【警告】お支払い方法を更新してください(Ref: xx) 06887072 ●●●● 様 いつもご利用いただき、ありがとうございます。
お客様の Prime 会費のお支払い状況を確認したところ、正常に決済が完了しておりません。 決済日時
7Z9q:
お支払方法
q7li:
決済状況
4ln1: | 2026年03月15日(日)15:58:00 カード(末尾:4979) 自4ca8動引き落とし失敗 | このままの状態では、特典利用が制限されます。
お手数ですが、2026年03月17日(火) までに、情報を更新してください。 hxxps://wwwmaamzon19.feliciau*****.shop/s3s5s6/ (リンク無効化済み) ※ 本メールと行き違いでお手続きを完了されている場合は、何卒ご容赦ください。
※ 管理番号:4ogNP5tR-346000
Amazon Japan G.K. | セキュリティ番号:9b8956fe
| | ■ メールの目的と専門的見解
【犯人の目的】
犯人の目的は、Amazonのアカウント資格情報(メールアドレス・パスワード)および、クレジットカード情報の窃取です。さらには、CAPTCHAを突破させることで「自身が人間である」という確認を被害者に行わせ、フィッシングサイトの真正性を誤認させる心理的トラップを仕掛けています。
【技術的な異常点】
本メールには「7Z9q:」「q7li:」「自4ca8動」といった意味不明な文字列が埋め込まれています。これらはスパムフィルタの「パターンマッチング」を回避するために動的に挿入されたノイズデータです。また、メール末尾に公式の連絡先(住所や電話番号)および正式な署名が一切存在せず、正規のAmazonからの通知としては極めて不自然です。
| ■ 送信元(Received)通信解析データ
| 【送信元ホスト】 | fl80301-kanazawa813.kanazawa.nifty.com | | 【送信元IPアドレス】 | 169.40.132.205 | | 【ホスティング社名】 | IBM Cloud (SoftLayer) | | 【国名】 | 日本 (Japan) |
※上記カッコ内のIPアドレスは、メールヘッダーから抽出された信頼できる送信元情報です。Amazonの正規サーバーは通常 bc.googleusercontent.com などのクラウドサービスを利用することもありますが、本件は国内の一般ISP経由での送信が疑われます。
https://ip-sc.net/ja/r/169.40.132.205 解析データの詳細照会
| ■ リンク先ドメインおよび回線情報
| 【リンク先URL】 | hxxps://wwwmaamzon19.feliciaulmer.shop/s3s5s6/ (伏字あり) | | 【リンクドメイン】 | wwwmaamzon19.feliciaulmer.shop | | 【リンク先IPアドレス】 | 104.21.31.205 | | 【ホスティング社名】 | Cloudflare, Inc. | | 【国名】 | アメリカ合衆国 (USA) | | 【ドメイン登録日】 | 2026-03-12 (3日前) |
【ドメイン登録日に関する考察】
当該ドメインは本レポート作成のわずか3日前に取得されています。これは、既存のブロックリストに載っていない「使い捨てドメイン」を使用することで、セキュリティ検知を回避する攻撃者の典型的な手法です。
https://ip-sc.net/ja/r/104.21.31.205 取得したIPアドレスの解析結果
| ■ 詐欺サイトの挙動と画像証拠
リンク先へアクセスすると、まず「ヒューマン証明」と称したCAPTCHA画面が表示されます。
証明を完了させると、一見エラーに見える「Sorry, your request timed out.」というページに飛ばされますが、これは特定の条件下(または一定時間の経過後)でフィッシングページ本体が表示される、多段階のトラップです。
| ■ まとめ:被害に遭わないために
過去の事例と比較しても、CAPTCHAを用いた「解析回避型」のフィッシングメールは非常に増加しています。Amazon公式がメール内でこのように無意味な英数字コードを羅列したり、不審なドメインでのCAPTCHAを要求することはありません。
【公式サイトによる注意喚起】
Amazon.co.jpからの連絡かどうかの識別については、必ず以下の公式サイトを確認してください。
Amazon.co.jp ヘルプ: Amazon.co.jp からの連絡かどうかの識別について
| |