【Amazon詐欺】「お支払い機能が停止中です」メール解析報告
【調査報告】最新の詐欺メール解析レポート 今回ご紹介するのは「Amazon」を騙るメールですが、その前に最近のスパムの動向について触れておきます。最近のスパムは、単なる情報の窃取だけでなく、セキュリティ検知を避けるために短期間で消滅する「使い捨てドメイン」を多用し、アクセス制限がかかる前に攻撃を完了させる手法が目立ちます。 メールの受信概要と解析結果 [spam] 【要対応】お支払い機能が停止中です|お客様情報をご確認ください ※件名に[spam]とあるのは、サーバー側がメールヘッダーの異常や不審な送信元IPを検知し、自動的に警告を付与したためです。 | ■送信者: | “amazon.co.jp” <noreply@mail33.czhlwdz.com> | | ■受信日: | 2026-04-08 | | ■時刻: | 12:03 | | 送信者に関する詳細情報 送信ドメイン「mail33.czhlwdz.com」は、Amazonの公式ドメインとは何ら関係がありません。正規の通知であれば、必ず「amazon.co.jp」や「amazon.jp」に関連するドメインから送信されます。また、本メールには公式な署名やカスタマーサポートの電話番号の記載が一切ありません。正規の「お支払い問題」に関する連絡で、連絡先すら示さないのは極めて不自然です。 | メール本文の再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
【重要】Amazon お支払い方法の無効化について Amazon.co.jp をご利用いただきありがとうございます。 お客様のアカウントにご登録いただいているお支払い方法の有効性が確認できませんでした。そのため、現在以下のサービスのご利用を一時保留しております。 ・新規注文および既存予約の発送
・Amazon ギフトカードの購入・利用
・アカウント設定の変更 お手数ですが、下記よりログインし、正しい請求先情報またはカード情報をご入力ください。 ▼ お支払い方法の再設定
h**ps://www.amazon.co.jp/gp/payment/update/ ご対応いただけない場合、注文がキャンセルされる可能性がございます。 HxeYyoKu ———————————-
Amazon.co.jp 運営事務局 | メールの目的と専門的見解 ■ 犯人の目的
このメールの主目的は、Amazonアカウントのログイン情報(メールアドレス・パスワード)および、その後に表示される偽画面でのクレジットカード情報の窃取です。これらを奪うことで、アカウントの乗っ取りや不正な物品購入、カードの不正決済を狙っています。 ■ 専門的解析
本文の「HxeYyoKu」というランダムな文字列は、スパムフィルタに「常に同じ内容のメール」と判定されないための攪乱工作です。また、ロゴが添付ファイルとして処理されている場合、それはメールアプリのセキュリティ設定を回避して見た目だけを本物に似せようとする、あるいは受信者の開封を確認するトラッキングコードを含ませるためと考えられます。 | Received(送信元)の技術証跡 送信元ヘッダーから抽出された、このメールの物理的な発信情報です。 Received: from mail33.czhlwdz.com (mail33.czhlwdz.com [136.110.71.20]) カッコ内のIPアドレス「136.110.71.20」は、偽装の不可能な信頼できる送信元情報です。 | 送信ドメイン | mail33.czhlwdz.com | | 送信IPアドレス | 136.110.71.20 | | ホスティング | DigitalOcean (AS14061) | | 設置国 | United States (アメリカ合衆国) | | ドメイン登録日 | 2026-04-03(非常に最近) | ■ ドメインに関するコメント
登録からわずか数日という点は、攻撃用インフラの典型です。Whois情報によれば、登録者の詳細は秘匿されており、使い捨ての意図が明確です。
[Whois情報照会] ■ メール回線関連情報
https://ip-sc.net/ja/r/136.110.71.20 | リンク先(詐欺サイト)の構造解析 本文に直書きされているAmazonのURLは完全に偽装されており、クリックすると以下の不審なサーバーへ誘導されます。 ■誘導先URL:h**ps://yxcdjajzx.top/nyhvjphw (伏字含む) | 詐欺ドメイン | yxcdjajzx.top | | 接続先IP | 104.21.23.151 | | ホスティング | Cloudflare, Inc. (AS13335) | | 設置国 | United States (アメリカ合衆国) | | ドメイン登録日 | 2026-04-01(非常に最近) | ■ 登録日に関するコメント
ドメイン取得から一週間以内での攻撃開始は、セキュリティソフトのデータベースに登録される前に犯行を終えるための戦略です。登録者が無関係な中国等の個人名義になっているケースも多く見られます。 ■ サイト稼働状況と画像
現在は「このサイトにアクセスできません(NXDOMAIN)」というエラーが表示されます。Googleやウイルスバスター等の対策により、ドメインの名前解決が遮断されたものと思われます。 ■ サイト回線関連情報
https://ip-sc.net/ja/r/104.21.23.151 | 偽者を見抜くポイントと推奨対応 過去の事例と同様、今回のメールも「宛名(お客様のフルネーム)」がありません。Amazonは必ず登録名で連絡してきます。また、リンク先ドメインが「.top」という極めて安価で使い捨てられやすいトップレベルドメインである点も、典型的な詐欺の特徴です。 絶対にリンクをクリックせず、メールを削除してください。 ■Amazon公式による最新の注意喚起:
Amazon.co.jp ヘルプ: 詐欺サイト・メールの見分け方 | |