フィッシング
【検証】Amazonを装ったメール「【重要】Amazon Music U nlimited定期購入の更新について」はフィッシングメールか?
見出し
- 1 【検証】Amazonを装ったメール「【重要】Amazon Music U nlimited定期購入の更新について」はフィッシングメールか?
- 1.1 このメールの怪しいポイント
- 1.2 このフィッシングの手口
- 1.3 もし情報を入力してしまうと…
- 1.4 技術的な検証結果
- 1.5 メール認証結果(SPF/DKIM/DMARC)
- 1.6 送信元ドメインの検査
- 1.7 ドメイン登録日
- 1.8 インフラ情報(ホスティング・国)
- 1.9 送信元サーバを確認します(Receivedヘッダ → 送信経路IP)
- 1.10 メール内リンクの遷移先を確認します(URL抽出+リダイレクト追跡)
- 1.11 フィッシングサイト稼働状況
- 1.12 PhishTank照合結果
- 1.13 RDAP証拠(whois相当:引用)
- 1.14 TLS証明書の整合性(引用)
- 1.15 実際の画面(スクリーンショット)
- 1.16 フィッシングメールの見分け方
- 1.17 公式情報の確認
- 1.18 対処方法
【検証】Amazonを装ったメール「【重要】Amazon Music U nlimited定期購入の更新について」はフィッシングメールか?
「Amazon」を装ったフィッシングメールが届きました。
ネット通販サイトを装ったフィッシングです。アカウント情報やクレジットカード情報の窃取を目的としています。
このメールは「本人確認・情報更新」のパターンに該当します。「本人確認が必要です」「情報を更新してください」などと偽り、個人情報やクレジットカード情報を入力させます。
※この記事は、実際に届いたメール(.eml)をもとに、技術的観点から内容を検証し、証拠(ヘッダ/RDAP/TLS/リダイレクト結果)を整理したものです。
※危険回避のため、URL/ドメイン/メールアドレス/IPは hxxp(s)・[.]・[@] で難読化しています。
このメールの怪しいポイント
- FromとReturn-Pathが不一致:amazon[.]co[.]jpを名乗っていますが、実際の送信元は mail14[.]jasontimemanager[.]com です
- メール認証に失敗:SPF/DKIM/DMARC が pass ではありません。正規の送信元ではない可能性が高いです
- 怪しいTLDを使用:.cfd は詐欺サイトに多用されるTLDです(www[.]orbista[.]cfd)
- 非常に新しいドメイン:www[.]orbista[.]cfd は登録からわずか0日(2026-01-05登録)
- 非常に新しいドメイン:orbista[.]cfd は登録からわずか0日(2026-01-05登録)
- ブランド偽装を検出:Amazonを偽装していますが、メール内のリンク先は正規ドメインではありません
- フィッシングサイトが運用中:リンク先のサイトが現在も稼働しています。絶対にアクセスしないでください
- PhishTankに登録済みのフィッシングサイト:このメールに含まれるURLは、フィッシング対策団体PhishTankに報告・登録されている既知のフィッシングサイトです
- Cloudflareで実サーバーを隠蔽:フィッシングサイトはCloudflareを使用しており、実際のサーバーIPが特定できません
判定:複数の重大な警告があります。このメールはほぼ確実にフィッシング詐欺です。
このフィッシングの手口
このメールは「本人確認・情報更新」型の一般的な手口です。
- 偽装メールの送信:「Amazon」を名乗り、もっともらしい件名でメールを送信します。
- 緊急性を演出:「すぐに対応しないとアカウントが停止される」など、焦らせる文言を使います。
- 偽サイトへ誘導:メール内のリンクをクリックさせ、本物そっくりの偽ログインページへ誘導します。
- 情報の窃取:ID・パスワード・クレジットカード情報などを入力させ、盗み取ります。
- 悪用:盗んだ情報で不正ログイン、不正購入、個人情報の転売などを行います。
今回のメールの特徴
- 表示上は「amazon[.]co[.]jp」からのメールに見えますが、実際の送信元(Return-Path)は全く別のドメイン「mail14[.]jasontimemanager[.]com」です。
- メール内のリンク先は「www[.]orbista[.]cfd」など、正規のドメインではありません。
- メール認証(SPF/DKIM)に失敗しており、正規の送信元ではないことが技術的に証明されています。
もし情報を入力してしまうと…
このフィッシングサイトで情報を入力してしまった場合、以下のような被害が想定されます。
- アカウントが乗っ取られ、勝手に商品を購入される
- クレジットカード情報が盗まれ、不正利用される
- 登録している個人情報(住所・電話番号)が流出する
- ポイントが勝手に使用される
もし入力してしまった場合は:
- すぐにパスワードを変更してください(使い回している他サービスも含めて)
- クレジットカード情報を入力した場合は、カード会社に連絡して利用停止してください
- 不正利用がないか、明細を確認してください
技術的な検証結果
以下では、実際に届いたメールのヘッダ情報・認証結果・リンク先の調査結果など、技術的な証拠を詳しく解説します。
受信したメールの概要
- 件名:【重要】Amazon Music U nlimited定期購入の更新について
- 受信日時(ヘッダ):Tue, 06 Jan 2026 17:42:17 +1000
- 表示上の差出人:Amazon <no-reply[@]amazon[.]co[.]jp>
- Return-Path:<ognwfqgyiy-consulinfo=crossandcrown[.]jp[@]mail14[.]jasontimemanager[.]com>
メール本文(原文:難読化)
クリックで本文を表示
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 |
Amazon Music Unlimited 更新通知 Amazon Music Unlimited 定期購入の更新について 無料体験期間がまもなく終了いたします Amazon Music Unlimited 無料体験のご案内 お客様のAmazon Music Unlimited無料体験は2025年12月30日に終了いたします。継続をご希望の場合、同日に月額プランへの自動更新が行われます。 更新後の月額料金: 1,280円 (税込) 定期購入の管理方法: Amazonアカウントにログイン後、「アカウントサービス」を開きます 「メンバーシップと定期購入」を選択します 「Music Unlimited」を選択し、設定を確認または変更します 定期購入を管理する 自動更新を希望されない場合は、上記の手順に従って2025年12月31日までにキャンセルしてください。 ご不明な点がございましたら、Amazonカスタマーサービスまでお問い合わせください。 Amazon © 2025 Amazon.com, Inc. or its affiliates. All rights reserved.Amazon | プライバシーポリシー | セキュリティ情報 |
メール認証結果(SPF/DKIM/DMARC)
| 認証方式 | 結果 | 意味 |
|---|---|---|
| SPF | SOFTFAIL | 送信元IPがドメインの許可リストに含まれていません(偽装の可能性) |
| DKIM | PERMERROR | 電子署名がないか無効です(改ざん/偽装の可能性) |
| DMARC | FAIL | ドメインポリシーに違反しています(なりすましの可能性) |
- header.from:
amazon
受信側の補足:mx.google.com; dkim=permerror (no key for signature) header.i=@amazon.co.jp header.s=mail14 header.b=AY4vgqhV; spf=softfail (google.com: dom…
認証結果の判定:メール認証に失敗しているため、このメールは正規の送信元から送られたものではない可能性が高いです。
送信元ドメインの検査
メールの送信に使用されたドメイン(From / Return-Path)を調査しました。
amazon[.]co[.]jp(From)
このドメインは Amazon の正規ドメインです。
RDAP情報を取得できませんでした。
mail14[.]jasontimemanager[.]com(Return-Path)
| 登録日 | 2025-02-15(324日前) |
| ネームサーバー | BRADLEY[.]NS[.]CLOUDFLARE[.]COM, RYLEIGH[.]NS[.]CLOUDFLARE[.]COM |
| ステータス | active |
注意:正規の Amazon のドメインではありません。
ドメイン登録日
| ドメイン | 登録日 | 経過日数 | 判定 |
|---|---|---|---|
www[.]orbista[.]cfd |
2026-01-05 | 0日 | 非常に新しい(要注意) |
orbista[.]cfd |
2026-01-05 | 0日 | 非常に新しい(要注意) |
注意:登録から7日以内のドメインは、フィッシング目的で取得された可能性が非常に高いです。正規のサービスが突然新しいドメインを使うことは稀です。
インフラ情報(ホスティング・国)
送信元サーバー
| IP | 国 | 事業者 | 備考 |
|---|---|---|---|
163[.]44[.]89[.]71 |
日本 | Japan Network Information Center |
フィッシングサイト
| IP | 国 | 事業者 | 備考 |
|---|---|---|---|
104[.]21[.]91[.]128 |
不明 | Cloudflare | Cloudflareを使用しており、実際のサーバーIPが隠蔽されています |
172[.]67[.]219[.]203 |
不明 | Cloudflare | Cloudflareを使用しており、実際のサーバーIPが隠蔽されています |
2606:4700:3037::ac43:dbcb |
不明 | Cloudflare | Cloudflareを使用しており、実際のサーバーIPが隠蔽されています |
2606:4700:3034::6815:5b80 |
不明 | Cloudflare | Cloudflareを使用しており、実際のサーバーIPが隠蔽されています |
送信元サーバを確認します(Receivedヘッダ → 送信経路IP)
送信元候補IP: 163[.]44[.]89[.]71 / 国: 日本
163[.]44[.]89[.]71(送信元候補)172[.]233[.]72[.]71
※ここは「メールの送信経路上で観測されたIP」です。リンク先サーバのIPとは別です。
メール内リンクの遷移先を確認します(URL抽出+リダイレクト追跡)
リンク
抽出URL:hxxps://www[.]orbista[.]cfd/dvudaqtelqueMjvmthshct
チェーン
hxxps://www[.]orbista[.]cfd/dvudaqtelqueMjvmthshcthxxps://www[.]orbista[.]cfd/y1.html
最終URL:hxxps://www[.]orbista[.]cfd/y1.html
注記:client_side_redirect
遷移先サイトの解決IP(DNS)
104[.]21[.]91[.]128172[.]67[.]219[.]2032606:4700:3037::ac43:dbcb2606:4700:3034::6815:5b80
※ここは「メール内リンクの遷移先(サイト側)」の情報です。送信元IP(Received)とは別です。
フィッシングサイト稼働状況
※解析時点でのステータスです。フィッシングサイトは短期間でテイクダウンされることがあります。
| URL | ステータス | 詳細 |
|---|---|---|
www[.]orbista[.]cfd/y1.html |
運用中 (HTTP 200) | 運用中(要注意:フィッシングサイトが稼働しています) |
www[.]orbista[.]cfd/dvudaqtelqueMjvmthshct |
運用中 (HTTP 200) | 運用中(要注意:フィッシングサイトが稼働しています) |
警告:フィッシングサイトが現在も運用中です。絶対にアクセスしないでください。
PhishTank照合結果
PhishTankは、Cisco Talos Intelligence Groupが運営するフィッシングサイトの報告・検証データベースです。メール内のURLをPhishTankと照合した結果を表示します。
⚠ 既知のフィッシングサイトを検出
このメールに含まれるURLは、PhishTankに報告・登録されている既知のフィッシングサイトです。
なおこの報告はCCSIによってなされました。
| URL | 状態 | PhishTank | 報告状況 |
|---|---|---|---|
hxxps://www[.]orbista[.]cfd/y1.html |
報告あり(未検証) | 詳細を見る | 検証待ち |
hxxps://www[.]orbista[.]cfd/dvudaqtelqueMjvmthshct |
報告あり(未検証) | 詳細を見る | 検証待ち |
照合日時: 2026-01-06T09:05:54+00:00 (UTC)
RDAP証拠(whois相当:引用)
※この証拠が示す意味:登録日が直近・海外レジストラ・NSが無関係などが重なるほど、なりすまし(フィッシング)である蓋然性が上がります。
※以下はRDAPレスポンスから 再現性のある要点 を固定形式で抜粋したものです。
ドメイン(登録情報)
IPアドレス(割り当て/組織/国)
TLS証明書の整合性(引用)
※危険回避のため、ドメイン/IPは [.] 形式で難読化して掲載しています。
実際の画面(スクリーンショット)
※安全のため、スクリーンショットは 隔離された検証環境 で取得したもののみ掲載します。
フィッシングメールの見分け方
以下のポイントをチェックすることで、フィッシングメールを見分けることができます。
| チェックポイント | 正規メール | フィッシング |
|---|---|---|
| 送信元アドレス | 公式ドメイン | 似ているが違うドメイン |
| リンク先URL | 公式サイト | 全く違うドメイン |
| 文面の日本語 | 自然な文章 | 機械翻訳のような不自然さ |
| 緊急性の演出 | 冷静な案内 | 「24時間以内」など焦らせる |
| 宛名 | 氏名で呼びかけ | 「お客様」など汎用的 |
今回のメールで確認できる不審点
- 送信元の偽装:Fromは「amazon[.]co[.]jp」ですが、Return-Pathは「mail14[.]jasontimemanager[.]com」です
- 不審なリンク先:「www[.]orbista[.]cfd」は正規のドメインではありません
- メール認証の失敗:SPF認証に失敗しており、正規の送信サーバーからではありません
公式情報の確認
このメールに関して不安がある場合は、メール内のリンクではなく、以下の公式サイトから直接確認してください。
- Amazon 公式サイト:https://www.amazon.co.jp/
- フィッシングに関する注意喚起:Amazon公式のセキュリティ情報
被害に遭った場合の相談窓口
- 警察庁 サイバー犯罪相談窓口:各都道府県警察のサイバー犯罪相談窓口へ
- 消費者ホットライン:188(いやや)
- フィッシング対策協議会:https://www.antiphishing.jp/
対処方法
- メール内リンクはクリックしない
- 公式アプリ/公式サイト(ブックマーク)から直接ログインして状況確認
- ID・パスワードを入力した場合は、直ちにパスワード変更(使い回しも含めて)
- カード情報を入力した場合は、カード会社へ連絡し利用停止・調査
- 不安なら、同様の連絡が公式にも出ているか(公式お知らせ/サポート)を確認
※解析メモ:.emlのSHA-256 = 049269ea8de31f29144ab07fe16f1a1555c840dc1733708c390b117697490960
関連記事
NEW 【検証】Amazonを装ったメール「【重要】会費請求エラーとお支払い…
Amazonからの重要なメール というメールがフィッシング詐欺か検証…
Amazonプライムの自動更新設定を解除いたしました!というメールが…
【重要】異常な行為が検出 というメールがフィッシング詐欺かを検証する
Amazon.co.jpでのご注文250-2699837-73406…
【Amazon】重要なお知らせ というメールがフィッシング詐欺かを検…
Amazon株式会社から緊急のご連絡メ-ル番号:23083053 と…
amazon.co.jp: アクションが必要です: サインイン試行 …
Amazon.co.jpをご利用いただきありがとうございます、という…
お客様のお支払い方法が承認されません.番号:671348というメール…
Amazon.co.jp 第三者による不正使用の可能性を検知というメ…
Amazon.co.jp でのご注文についてというメールがフィッシン…
Amazonプライム会費のお支払い方法に問題があります、個人情報を更…
【情報】 Amazon.co.jp:お客様のお支払い方法が承認されま…
amazon.co.jp アクションが必要です サインインというメー…
【Amazon】重要なお知らせはタイムリーに処理してください という…
カテゴリ:フィッシング,フィッシング詐欺解析
タグ:Amazon,フィッシング詐欺
【検証】日専連カードのポイント有効期限に関するご案内はフィッシングメールか?
【検証】Pairsを装ったメール「【重要】PAIRSメンバーシップ更新のお知らせNo.2143072」はフィッシングメールか?