【調査報告】配送状況のお知らせ詐欺解析:ヤマトとAmazonを騙る波状攻撃の裏側
【セキュリティ調査報告】複数ブランドを標榜する配送詐欺メールの解析 解析対象:ヤマト運輸・Amazonを騙る波状攻撃パターン(2026年3月最新版) | 最近のスパム動向と「ブランド使い分け」の手法
現在、同一の攻撃グループによるものと推測される「配送スケジュール案内」詐欺が急増しています。犯行の特徴として、**「ヤマト運輸」と「Amazon」の偽装メールを交互に送りつける**ことで、利用者がいずれかのサービスを利用している確率を狙う「数撃ちゃ当たる」戦術をとっています。2026年3月の調査では、同一IPアドレス群から異なるブランドを装ったメールが数分おきに送信されている事実を確認しました。
| 確認されている複数の件名・送信者リスト | 主な件名 | [spam] 配達スケジュールのご案内 / [spam] Amazon.co.jp ご注文の発送 / [spam] お荷物お届けのお知らせ | | 主な送信者 | “出荷情報管理” <notice@noreplykm.new-pg-game.com>
“Amazon.co.jp” <update@amazon-support-check.top> | | 送信者の特徴 | 送信者名(表示名)は公式サイトを模倣していますが、メールアドレス本体は「.com」「.top」「.shop」など、配送業者とは無関係なgTLDが多用されています。 | メール本文の再現(ヤマト・Amazon共通構成) | ※本レポートでは最も拡散されているヤマト運輸版を例示します。
お客様
ご注文の商品は、現在配送中となっております。 配送情報の確認およびお受け取り方法の変更は、以下のページよりご確認いただけます。 配送業者:ヤマト運輸(またはAmazon)
追跡番号:6651 – 4564 – 7106 ※ 配送状況により到着時間が前後する場合がございます。
※ 本メールは送信専用です。 | メールの目的と共通する不審点
【犯人の目的】 配送状況の確認を装い、偽のログインページ(フィッシングサイト)へ誘導。ID、パスワード、およびクレジットカード情報を一括で盗み取ることが目的です。
【偽物を見抜くポイント】
1. 署名に電話番号や具体的な支店名の記載がない(実在のヤマト運輸のメールには詳細な連絡先が含まれます)。
2. Amazonを騙る場合でも、宛名が「お客様」や「メールアドレスの一部」になっており、登録氏名が正しく表示されません。
3. 追跡番号が画像内の数字(6651-4564-7106)と一致する場合、それは個別配送ではなく不特定多数に送られている「使い回しの番号」です。
| 送信元回線関連情報 (Received解析:本レポートの根拠) 送信元ヘッダーから抽出された、攻撃者が実際に使用した中継サーバーの生データです。
送信元IPアドレス: 38.193.118.127
ホスト名: mail.e444671.shop
ホスティング社: Hostinger International Ltd.
設置国: United States (アメリカ合衆国)
ドメイン登録日: 2026-01-15
コメント: このサーバーは過去にAmazonを騙るスパム送信にも利用されていた経歴があり、複数のブランド詐欺に転用されている「攻撃専用インフラ」であると特定されます。
| 送信元回線の詳細解析:ip-sc.net/ja/r/38.193.118.127 | リンク先ドメイン・回線調査(共通偽装サイト) 誘導先URL: https://new-speede●●ort.com/ (伏せ字処理済)
稼働状態: 稼働中(アクセス元によって表示を切り替えるクローキング手法を採用)
リンク先IPアドレス: 104.21.51.189
ホスト名: cloudflare.com
設置国: United States (アメリカ合衆国)
ドメイン取得日: 2026-03-25
解析コメント: メールの大量送信に合わせて、わずか数日前に新規取得されたドメインです。Amazon詐欺の場合も同様に「amazon-update-●●.com」のような直近取得ドメインが使用される傾向にあります。
| サイト回線関連情報:ip-sc.net/ja/r/104.21.51.189 | まとめと被害防止策 |