フィッシング

2026/4/25

「【重要】弊社製品の自主回収および返金対応のお知らせ」Amazon を装うフィッシングメールの注意喚起

フィッシングメール本文のスクリーンショット — フィッシングメール本文のプレビュー（参考表示・メーラー環境の完全再現ではありません）

【警告】本記事で解説するメールはフィッシング詐欺であることが確定しています。メール内のリンクは絶対にクリックせず、ログイン情報や個人情報を入力しないでください。

概要

2026年4月24日、Amazon を装い「弊社製品の自主回収および返金対応」を騙るフィッシングメールの送信が確認されました。このメールは、購入した製品に安全上の不具合が見つかったとして、偽の「注文履歴確認ページ」へ誘導し、Amazon アカウントのログイン情報を窃取しようとするものです。

送信元ドメイン・メール認証結果・送信元 IP アドレス・誘導先ドメインの登録情報など、複数の証拠からフィッシングと判断されています。以下、メールの全文と技術的な分析結果を詳述します。

メールの特徴

項目	内容
件名	【重要】弊社製品の自主回収および返金対応のお知らせ ※ 受信環境によっては末尾が文字化け（`$*CN$i$;`）する場合があります
差出人表示名	お客様サポート
差出人アドレス	noreply[@]msg[.]bennena[.]com
Return-Path	noreply-[受信者アドレス][@]msg[.]bennena[.]com
送信日時	2026年4月24日 20:15 (JST)
装っているブランド	Amazon（確認済み）
誘導先 URL	hxxps://andyslp[.]com/m/detail/dkhl
メールの SHA256	`4d37f3bfd136e4356aaad9ecc384a6a68246ad1679312a7b9685c701c6dbbcc0`

メール本文（全文引用）

以下は、受信されたフィッシングメールの本文全文です。同じ文面のメールを受け取った場合、フィッシング詐欺ですので絶対にリンクをクリックしないでください。

お客様アマゾンで弊社製品をお買い求めくださったお客様へ【お客様へ重要なお知らせ】弊社製品をご利用いただき、誠にありがとうございます。このたび、お客様がご購入された下記製品につきまして、安全性に関わる不具合が確認されたため、自主回収および返金のご対応を実施いたします。お客様に多大なるご迷惑をおかけいたしますこと、誠に申し訳なく、深くお詫び申し上げます。 ■ 不具合の内容特定の使用条件下において、製品内部の部品に異常が発生し、最悪の場合、発火・火傷・負傷の恐れがございます。事故・ヒヤリハット事例：現時点33件被害の詳細：調査中 ■ 対象製品のご確認方法下記URLよりアカウントへログインいただき、ご注文履歴にて対象製品をご購入されていないかご確認ください。 ▼ 注文履歴 hxxps://andyslp[.]com/m/detail/dkhl 手順：「ログイン」→「注文履歴」→「注文の詳細」 ■ お客様へのお願い ※ 対象製品のご使用を速やかに中止してください保管時も必ず電源プラグをお抜きくださいますようお願いいたします。 ■ 対応内容（どちらかをお選びください） ■ 対応A：対象製品の回収・交換 ■ 対応B：対象製品の回収・全額返金 ※ 送料含めお客様のご負担はございません。 ※ 対象製品を既に処分された場合でも、返金対応が可能でございますので、お気軽にお問い合わせください。ご不明な点やご質問がございましたら、お問い合わせ窓口まで遠慮なくご連絡ください。 —————————————————————- 改めまして、ご迷惑をおかけしましたことを心より深くお詫び申し上げます。再発防止および品質向上に、全社を挙げて取り組んでまいります。何卒ご協力を賜りますよう、お願い申し上げます。 —————————————————————- ※ 本メールは対象製品をご購入いただいたお客様へ限定でお送りしております。 ※ ご返信でのお手続きはお受けしておりません。

フィッシング判定の根拠

本メールがフィッシングであると判断した根拠は、以下に示す複数の技術的証拠の総合評価に基づきます。いずれか一つの指標だけではなく、これらが複合的に一致していることが重要です。

1. 送信元ドメインの不整合

【観測事実】差出人（From）アドレスは noreply[@]msg[.]bennena[.]com であり、Return-Path も同じく msg[.]bennena[.]com ドメインを使用しています。

【示唆】Amazon Japan の正規メールは、一般に amazon[.]co[.]jp ドメインから送信されることが公式サイトで確認できます。msg[.]bennena[.]com は Amazon とは無関係の第三者ドメインであり、Amazon の正規送信インフラとは異なるサーバーから送信されたことを示しています。

なお、Return-Path に受信者のアドレスが埋め込まれた形式（noreply-[受信者アドレス][@]msg[.]bennena[.]com）となっていますが、この形式自体は VERP（Variable Envelope Return Path）と呼ばれるバウンスメール管理手法であり、正規の配信サービスでも使用されます。そのため、この形式のみをもって不正とは判断できませんが、補助的な参考情報として記載します。

2. メール認証の検証結果

メール認証とは、送信元が正規のサーバーから送信されたものかどうかを技術的に検証する仕組みです。主に SPF・DKIM・DMARC の3つの規格が使われています。

認証方式	結果	意味
SPF	none	送信ドメインの SPF レコードが確認できない状態
DKIM	permerror	DKIM 署名の検証中に恒久的なエラーが発生
DMARC	（検証結果が付与されていない）	DMARC による総合判定が行われていない

【観測事実】SPF は「none」（SPF レコードが確認できない状態）、DKIM は「permerror」（恒久的検証エラー）、DMARC の検証結果は付与されていません。

【示唆】SPF が none であることは、送信ドメイン（msg[.]bennena[.]com）において SPF レコードが確認できない状態であることを意味します。DKIM の permerror は、署名の検証プロセスで恒久的なエラーが発生したことを示しますが、その原因はレコードの不備・設定ミス・署名の不整合など複数の可能性があります。いずれにせよ、Amazon の正規メールであれば一般に SPF・DKIM・DMARC すべてが正常に通過することが期待されます。3つの認証がいずれも正常に通過していないことは、正規のメール配信インフラから送信されたものではないことを強く示唆しています。

※ SPF（Sender Policy Framework）：送信元 IP アドレスが、ドメイン管理者が許可したサーバーかどうかを確認する仕組み。DKIM（DomainKeys Identified Mail）：メールにデジタル署名を付与し、送信途中での改ざん有無を検証する仕組み。DMARC（Domain-based Message Authentication, Reporting & Conformance）：SPF と DKIM の結果を総合し、認証に失敗したメールの取り扱いをドメイン管理者が指定できるポリシー。

3. 送信元 IP アドレス

【観測事実】メールの送信元 IP アドレスは 175[.]5[.]40[.]129 です。RDAP（Registration Data Access Protocol）による照会の結果、以下の情報が確認されました。

項目	内容
IP アドレス	175[.]5[.]40[.]129
所在国	CN（中国）
管理組織	IRT-CHINANET-CN
CIDR	175[.]0[.]0[.]0/12

【示唆】Amazon Japan が日本国内の顧客向けに送信するメールが、中国の通信事業者（CHINANET）のインフラから送信されることは通常想定されません。送信元 IP の所在国が中国であるという事実は、このメールが Amazon の正規インフラから送信されたものではないことを裏付ける補助的な根拠となります。

4. 誘導先 URL の分析

【観測事実】メール本文中に記載された「注文履歴」のリンク先は hxxps://andyslp[.]com/m/detail/dkhl です。このURLにアクセスすると、2回のリダイレクト（2ホップ）を経て hxxps://andyslp[.]com へ到達しますが、本記事公開時点ではサイトは停止またはエラー状態となっています。

【示唆】Amazon の正規の注文履歴ページは amazon[.]co[.]jp ドメイン上に存在しており、andyslp[.]com とは一切関係がありません。メール本文ではAmazon の「注文履歴」を確認するよう促していますが、そのリンク先は Amazon とは無関係のドメインであり、ログイン情報を窃取するために用意された偽サイトへの誘導であると判断されます。

なお、誘導先サイトが現在停止・エラー状態であることから、フィッシングサイトとしての運用が一時的に停止されたか、TDS（Traffic Distribution System：アクセス元の地域・ブラウザ等に基づいて表示内容を振り分ける仕組み）によって特定の環境からのアクセスを遮断している可能性があります。

5. 誘導先ドメインの登録情報

【観測事実】誘導先ドメイン andyslp[.]com の WHOIS 情報を確認した結果、以下の登録内容が判明しました。

項目	内容
ドメイン	andyslp[.]com
レジストラ	eName Technology Co., Ltd.
登録日	2025年6月18日
ドメイン年齢	約311日（確認時点）
ネームサーバー	ns1[.]onclouddns[.]com ns2[.]onclouddns[.]com

【示唆】ドメイン年齢が約311日と比較的新しく、中国系レジストラ（eName Technology Co., Ltd.）で登録されています。また、ネームサーバーにダイナミック DNS サービス（onclouddns[.]com）が使用されていますが、企業が正規のサービスサイトを運用する場合、一般的にダイナミック DNS は使用しません。これらの特徴は、フィッシングサイトに頻繁に見られるインフラ構成と一致しています。

※ ドメイン年齢とは、ドメインが初めて登録されてからの経過日数です。フィッシングサイトは短期間で使い捨てされることが多く、ドメイン年齢が1年未満であることは注意すべき指標の一つです。ただし、ドメイン年齢が若いこと自体は不正の証拠にはなりません。

6. メーラー情報と文字コード

【観測事実】メールヘッダーの X-Mailer には「Apple Mail (iOS 16[.]1)」と記載されています。また、件名・本文ともに文字コードは iso-2022-jp が使用されており、件名の末尾に文字化け（$*CN$i$;）が発生しています。

【示唆】iOS 16[.]1 は2022年にリリースされたバージョンであり、2026年4月時点では約3年半前のものです。X-Mailer ヘッダーは容易に偽装可能であるため、これだけで判断することはできませんが、Amazon のような大手 EC サービスが顧客向けの一斉メールに個人端末のメールアプリを使用することは通常ありません。また、件名の文字化けは、メール作成時に文字エンコーディングが適切に処理されていないことを示しており、フィッシングメールの作成環境が不完全であることを示唆しています。

この手口の巧妙な点と見分け方

今回のフィッシングメールは、以下の点で巧妙に作成されています。受信時に見分けるためのポイントとあわせて解説します。

巧妙な点

「製品回収・返金」という緊急性の高い口実：「発火・火傷・負傷の恐れ」「事故事例33件」といった具体的かつ深刻な内容を記載し、受信者に焦りを感じさせ、冷静な判断を鈍らせる構成になっています。
自然な日本語：本文は丁寧語・敬語を適切に使用したビジネスメール形式であり、従来のフィッシングメールに多い不自然な日本語とは異なり、一見すると正規のメールと見分けがつきにくくなっています。
対応の選択肢を提示：「回収・交換」と「回収・全額返金」の2つの選択肢を提示し、さらに「送料無料」「処分済みでも返金可能」と記載することで、受信者にとって損のない対応に見せかけています。
限定送信を装う：「本メールは対象製品をご購入いただいたお客様へ限定でお送りしております」と記載し、自分宛に送られた正当なメールだと信じ込ませようとしています。
Amazon の実在機能を模倣：「注文履歴」を確認するよう促す文面は、実際の Amazon のサービスに存在する機能を模倣しており、受信者の操作に対する心理的障壁を下げています。

見分けるポイント

差出人アドレスを確認する：表示名が「お客様サポート」であっても、実際のメールアドレスは msg[.]bennena[.]com です。Amazon の正規メールは amazon[.]co[.]jp ドメインから送信されることが一般に知られています。差出人の「表示名」ではなく、「メールアドレス」のドメイン部分を必ず確認してください。
リンク先の URL を確認する：リンクにカーソルを合わせる（モバイルの場合は長押しする）と、実際の遷移先 URL が表示されます。正規の Amazon 注文履歴は amazon[.]co[.]jp ドメイン上にあり、andyslp[.]com のような無関係のドメインへは遷移しません。
具体的な商品名が記載されていない：本来の製品回収通知であれば、対象製品の名称・型番・購入日などが明記されるはずです。このメールには具体的な製品情報が一切なく、すべての受信者に共通して使える汎用的な文面になっています。
件名の文字化け：件名の末尾が文字化けしている場合があり、メール送信環境の不備を示すサインの一つです。

総合判断

以下の複数の証拠を総合的に評価し、本メールはフィッシング詐欺であると確定的に判断します。

差出人ドメイン（msg[.]bennena[.]com）が Amazon の正規ドメインではない（確認済み）
SPF レコードが確認できない状態（none）であり、DKIM に恒久的検証エラー（permerror）が発生、DMARC の検証結果も付与されていない（確認済み）
送信元 IP アドレス（175[.]5[.]40[.]129）が中国の通信事業者（CHINANET）に所属（確認済み）
誘導先 URL（andyslp[.]com）が Amazon とは無関係のドメイン（確認済み）
誘導先ドメインが中国系レジストラで登録され、ダイナミック DNS を使用するフィッシング向けのインフラ構成（確認済み）
メール本文が Amazon ブランドを明確に詐称（確認済み）

これらの証拠は単独でも疑わしいものですが、複合的に確認されたことにより、フィッシング詐欺であることに疑いの余地はありません。

IOC（侵害指標）一覧

本フィッシングメールに関連する IOC（Indicator of Compromise：侵害指標）は以下のとおりです。ネットワーク管理者やセキュリティ担当者の方は、ファイアウォールやメールフィルタリングのブロックリストへの追加をご検討ください。

種別	値	説明
メール SHA256	`4d37f3bfd136e4356aaad9ecc384a6a68246ad1679312a7b9685c701c6dbbcc0`	フィッシングメール本体のハッシュ値
送信元ドメイン	`msg[.]bennena[.]com`	差出人・Return-Path のドメイン
送信元 IP	`175[.]5[.]40[.]129`	CHINANET（CN）
誘導先 URL	`hxxps://andyslp[.]com/m/detail/dkhl`	メール内のフィッシングリンク
誘導先ドメイン	`andyslp[.]com`	フィッシングサイトのドメイン
ネームサーバー	`ns1[.]onclouddns[.]com` `ns2[.]onclouddns[.]com`	誘導先ドメインのネームサーバー

PhishTank 登録状況

hxxps://andyslp[.]com/m/detail/dkhl：本記事公開時点で PhishTank には未登録です。当社にて登録申請を行います。

このメールを受け取った場合の対処方法

リンクをクリックしていない場合

メールを開いただけでは被害は発生しません。メール内のリンクはクリックせず、そのまま削除してください。
Amazon の注文履歴を確認したい場合は、メール内のリンクを使用せず、ブラウザのアドレスバーに直接 amazon[.]co[.]jp と入力するか、公式アプリから確認してください。

リンクをクリックし、情報を入力してしまった場合

速やかに以下の対応を行ってください。

Amazon パスワードの即時変更：amazon[.]co[.]jp の公式サイトまたは公式アプリからログインし、パスワードを直ちに変更してください。他のサービスで同じパスワードを使用している場合は、それらも変更してください。
2段階認証の有効化：まだ設定していない場合は、Amazon アカウントの2段階認証を有効にしてください。Amazon 公式サイトの「アカウント＆リスト」→「ログインとセキュリティ」から設定できます。
注文履歴・アカウント情報の確認：身に覚えのない注文が行われていないか、配送先住所が変更されていないか、公式サイトで確認してください。
クレジットカード情報を入力した場合：ただちにカード発行会社に連絡し、不正利用の有無の確認とカードの利用停止・再発行を依頼してください。
フィッシング報告：Amazon ではフィッシングメールの報告を stop-spoofing[@]amazon[.]com で受け付けています（一般に知られている公式の報告窓口です）。

一般的な対策

メールの差出人アドレスを必ず確認する：表示名は自由に設定できるため、必ずメールアドレスのドメイン部分を確認してください。
メール内のリンクからログインしない：重要なアカウント操作は、メール内のリンクではなく、必ずブックマークや直接入力で公式サイトにアクセスしてから行ってください。
「至急」「緊急」を強調するメールは疑う：焦らせて冷静な判断を妨げることはフィッシング詐欺の常套手段です。公式サイトで情報を確認し、急かされるまま行動しないようにしましょう。
2段階認証を活用する：万一ログイン情報が漏洩しても、2段階認証が有効であれば不正ログインを防ぐことができます。

検出されたドメイン・URL一覧