一晩で12通!「Amazonアカウント安全確認」を装うフィッシングメールの回線・ドメイン解析
【調査報告】最新の詐欺メール解析レポート
本レポートは、Amazonを騙るフィッシングメールの検体解析および、誘導先サーバーの通信経路調査をまとめた技術資料です。 | ■ 最近のスパム動向
現在、年度末に向けた配送ラッシュや新生活準備のタイミングを狙い、大手ECサイトを装った「アカウント情報の更新」を促すフィッシングメールが急増しています。特に2026年3月に入り、短時間に文面や件名を微調整して送りつける「マルチパターン型」の攻撃が目立ちます。これは、スパムフィルターを潜り抜けるための古典的ながら執拗な手口です。
| ■ 短時間に集中した波状攻撃の実態(一晩の記録)
| 受信時刻 | 件名(すべて[spam]判定) | 送信者名 | | 03:17:21 | アカウント利用状況に関するお知らせ | カスタマーサポート | | 03:12:50 | アカウント設定のご確認が必要です | 会員サービス通知 | | 03:06:57 | アカウントの安全確認に関するご案内 | 会員サービスセンター | | 02:56:56 | 【Amazon】アカウント設定のご確認のお願い | 会員サービス通知 | | 02:53:53 | アカウントの安全確認に関するご案内 | アカウントサポート | ※上記は一例です。わずか3時間の間に12通以上の類似メールが確認されています。送信者名が”aaa@bbb.co.jp”等の場合は受信者のアドレスが盗用されています。 ■ 検体メール詳細解析
【送信者】 “カスタマーサポート” <support@info23.welcome-kuaizhibo.com>
【件名】 [spam] アカウント利用状況に関するお知らせ
【送信者に関する情報】
表示名はサポートを装っていますが、アドレスのドメインはAmazonとは無関係な中国関連と推測されるドメインを使用。正規のAmazonからこのようなドメインでメールが届くことはありません。
| ■ メール本文(原文を忠実に再現)
平素は Amazon.co.jp をご利用いただき、誠にありがとうございます。 お客様の Amazon アカウントにおいて、通常とは異なる利用状況が確認されたため、安全確認の目的でアカウントの一部機能を一時的に制限しております。 その影響により、最近のご注文はキャンセル処理となりました。 注文番号:{RANDOM_DIGITS:3,5}-{RANDOM_DIGITS:5,10}-{RANDOM_DIGITS:5,10} 恐れ入りますが、下記の公式サイトよりログインのうえ、アカウント情報の確認をお願いいたします。 Amazon公式サイトへアクセス(リンク先:hxxps[:]//x3i32b3si2[.]com/cavyckym/) ログイン後、以下の項目をご確認ください。
・ログインとセキュリティ
・登録されている支払い方法
・配送先住所 また、アカウントの安全性を高めるため、パスワード変更および2段階認証設定を推奨しております。 何卒よろしくお願い申し上げます。 ———————–
Amazon.co.jp
アカウントスペシャリスト
| ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 ■ 専門的見解と犯人の目的
【犯人の目的】
Amazonのログイン資格情報(ID・パスワード)および、決済用のクレジットカード情報を搾取することです。深夜に大量送信することで、寝ぼけて判断力が低下したユーザーを狙っています。 【異常な点への言及】
本文内の「{RANDOM_DIGITS}」という記述は、自動送信システムが数値を挿入する際に失敗した「プログラム変数」です。また、本物のAmazon通知であれば必ず宛名(フルネーム)が記載されますが、本メールには宛名も署名の連絡先(電話番号)すら存在しません。文字ばかりで公式ロゴも一切使われておらず、極めて杜撰な作りです。
| ■ 送信元回線解析レポート(Received)
Receivedヘッダーの記録:
from mail.b01bd18.ac.jp ([173.248.132.49]) 【解析データ】
・IPアドレス:173.248.132.49(信頼できる送信元情報)
・ホスト名:173-248-132-49.static.quadranet.com
・設置国:アメリカ合衆国 (United States)
・ホスティング:QuadraNet Enterprises 本レポートの根拠データ:ip-sc.net 回線詳細解析
| ■ 誘導先詐欺サイトの解析結果
【リンク先ドメイン情報】
・ドメイン名:x3i32b3si2.com
・IPアドレス:104.21.31.214
・ホスト名:Cloudflare ネットワーク
・設置国:アメリカ合衆国 (United States)
・ドメイン登録日:2026年03月11日(取得からわずか6日) 【専門的考察】
ドメイン取得日が直近であることは、使い捨てのフィッシングサイト特有の傾向です。法執行機関による閉鎖を逃れるため、短期間で新しいドメインへ乗り換えている証拠です。
| ■ リンク先サイトの視覚的状態
【サイト状態の解説】
現在、サイトにアクセスすると上記のような「タイムアウトエラー」が表示されます。これは、ウイルスバスター等のセキュリティソフトによるブロックから逃れるため、あるいは解析を妨害するために攻撃者が意図的に「稼働中ではない」ように装っている、もしくは通報により既にサーバーがダウンしている状態です。
| ■ まとめと推奨対応
今回のメールは、一晩に10通以上も件名を変えて送りつける執念深いものですが、中身はプログラムの変数が露出した「壊れた」メールです。Amazonがこのようなメールを送ることは100%ありません。 【対処法】
・メール内のリンクは絶対に踏まない。
・自身のAmazonアカウントに異常があるかは、必ず公式アプリまたはブックマークからログインして確認する。 Amazon公式による最新の注意喚起も合わせてご確認ください:
Amazon.co.jp ヘルプ: フィッシングメールを識別する
| |