フィッシング

【フィッシング注意喚起】「A m a z о n配達予定のご案内」を装った詐欺メール — Unicodeホモグリフ偽装・DMARC通過の高度な手口を解説

2026年4月3日、Amazonを装った配送通知型フィッシングメールが確認されました。件名・本文にUnicode文字によるブランド名偽装を施しつつ、メール認証の一部を通過させる高度な手口が用いられています。本記事では技術的証拠を示しながら、この詐欺メールの全容を解説します。

目次

  1. メール概要
  2. メール本文(全文)
  3. 件名のUnicodeホモグリフ偽装
  4. メール認証の分析
  5. 送信元インフラの分析
  6. 誘導URLとドメインの分析
  7. 証拠の総合評価
  8. IOC一覧
  9. 対処方法

メール概要

件名 A m a z о n配達予定のご案内
差出人(表示名) 配送カスタマーサービス <support[@]updateik[.]flow-kaiyun-sports[.]com>
Return-Path support-[受信者アドレス][@]updateik[.]flow-kaiyun-sports[.]com
受信日時 2026年4月3日(金)11:16:59 +0900
SHA256(.eml) b8fb4e21235897b09454f0ae7faace33a574989469fc8fb2a6ac5f29151203d9
X-Mailer Mozilla Thunderbird 115[.]4[.]1 (ja-JP)
なりすましブランド Amazon(アマゾン)
判定 フィッシング(確定)

メール本文(全文)

以下は受信したメールの本文全文です。検索から到達した方が「これは自分が受け取ったメールと同じか」を確認できるよう、原文のまま掲載します。

配送スケジュールのお知らせ

ご注文いただいたお荷物は、出荷処理が完了し、配送手配が整っております。

受取方法のご確認や変更をご希望の場合は、配送確認ページをご利用ください。

配送担当は A&nbsp;m&nbsp;a&nbsp;z&nbsp;о&nbsp;n です。お届け時間は 7:00~22:00 となります。

発送元 アマゾンジャパン
荷物番号 796366681051

受取内容を確認する

本メールは送信専用です。当日の状況に応じて、配送担当よりSMSまたはお電話でご案内することがあります。

一見すると正規の配送通知メールに見えますが、複数の技術的証拠によりフィッシングと断定されています。以下で詳しく解説します。

件名・本文のUnicodeホモグリフ偽装

二重の偽装手法

件名「A m a z о n配達予定のご案内」には、2種類の文字偽装が組み合わされています。

偽装1:文字間スペース挿入

観測事実:件名中の「A m a z о n」は、各文字の間にスペース(HTMLメール本文では&nbsp;=改行なしスペース)が挿入されています。

示唆:スパムフィルターは「Amazon」「アマゾン」等の正規ブランド名をキーワードとして検出します。文字間にスペースを挿入することで、フィルターの単語マッチを回避しようとしたと考えられます。

偽装2:Unicodeホモグリフ(同形異義文字)

観測事実:件名および本文中の「Amazоn」の「о」は、ラテン文字の小文字「o」(U+006F)ではなく、キリル文字の「о」(U+043E)が使用されています。両者は人間の目には区別がつきません。

文字 コードポイント 用途
o U+006F ラテン文字(本物のAmazonで使用)
о U+043E キリル文字(このメールで使用)

示唆:ホモグリフ偽装は、Amazonの商標を直接使用せずに視覚的にAmazonに見せかける手法です。ブランド名フィルターの回避と、受信者の視覚的な信頼感獲得を同時に狙っています。

総合判断:スペース挿入とホモグリフ偽装という二重の手法を組み合わせた点は、フィルター回避を意識した攻撃者の高い技術水準を示しています。正規のAmazonからの通知メールでこのような文字加工が行われることはありません。

メール認証の分析

認証結果一覧

認証方式 結果 評価
SPF softfail 警告
DKIM pass 通過(要注意)
DMARC pass 通過(要注意)

SPF softfail の意味

観測事実:送信元IP 171[.]5[.]121[.]211(タイ、IRT-TTBP-TH)からの送信に対し、SPFはsoftfailを返しました。smtp[.]mailfromドメインは updateik[.]flow-kaiyun-sports[.]com です。

示唆:SPFのsoftfailは「このIPはドメインの送信を明示的に許可されていない」ことを示します。Amazonの正規メールは一般に amazon[.]co[.]jpamazon[.]com 等のドメインから送信されており、 flow-kaiyun-sports[.]com はAmazonとは無関係の第三者ドメインです。

DKIM passとDMARC passについて

観測事実:DKIM署名は検証を通過し、DMARCもpassを返しました。ただし、これらの認証はいずれも updateik[.]flow-kaiyun-sports[.]com ドメインに対するものであり、Amazonのドメインに対するものではありません。

示唆:DKIMとDMARCは「送信ドメインが正しく設定されていること」を検証するものであり、「そのドメインが正規ブランドを名乗る権限があること」を保証するものではありません。攻撃者が flow-kaiyun-sports[.]com のドメインを管理下に置き、適切にDKIM/DMARCを設定することで、認証を通過させながら詐欺目的に使用することは技術的に可能です。

重要:DKIM/DMARCが通過していることを「安全」と解釈しないでください。認証の通過は「差出人ドメインの一致」を示すのみであり、そのドメイン自体が詐欺目的で使用されている場合には意味を持ちません。

総合判断:SPF softfailにより送信元が正規インフラでないことが示唆され、DKIM/DMARCが通過したドメインはAmazonとは無関係の第三者ドメインです。この構図は、攻撃者が認証を巧みに利用しつつAmazonを詐称した手口と評価できます。

Return-Pathの構造

観測事実:Return-Pathは support-[受信者メールアドレス][@]updateik[.]flow-kaiyun-sports[.]com という形式になっており、受信者のメールアドレスが埋め込まれています。

補足:正規のメール配信サービスでも、バウンス処理のためにVERP(Variable Envelope Return Path)形式で受信者アドレスをReturn-Pathに埋め込む場合があります。この形式単独でフィッシングと断定する根拠にはなりませんが、From表示アドレスとReturn-Pathが同じ非公式ドメインである点は補助的な指標として評価します。

送信元インフラの分析

送信元ドメイン

観測事実:差出人アドレスのドメインは updateik[.]flow-kaiyun-sports[.]com です。これはAmazonの公式ドメイン(一般に amazon[.]co[.]jpamazon[.]com として知られています)とは完全に異なります。

示唆:正規のAmazonからのメールが、 flow-kaiyun-sports[.]com というスポーツ関連を示唆するドメインから送信されることはありません。このドメインはAmazonとは無関係の第三者が管理していると考えられます。

送信元IPアドレス

観測事実:送信元IPは 171[.]5[.]121[.]211(CIDR: 171[.]4[.]0[.]0/15)です。RDAP情報によると、このIPはタイ(TH)に割り当てられており、組織名は IRT-TTBP-TH です。

示唆:Amazonジャパンの公式メールインフラが日本国外のタイ所在IPを使用することは一般的ではありません。タイ所在のIPからAmazon配送通知が届いた事実は、正規送信元との乖離を示す指標の一つです。

誘導URLとドメインの分析

メール内のリンクURL

観測事実:「受取内容を確認する」ボタンのリンク先として以下のURLが検出されました。

このURLは2ホップのリダイレクトを経て hxxps://jy-zh-kaiyuntiyu[.]com に誘導する構成でしたが、解析時点では停止・エラー状態でした。

示唆:Amazonの正規リンク(一般に amazon[.]co[.]jp ドメイン配下)とは全く異なるドメインへの誘導は、フィッシングサイトへの誘導手法として典型的なものです。URLの拡張子が .json であることは、静的ファイルを装ってリダイレクト挙動を制御する技術的工夫と考えられます。

誘導先ドメインの登録情報

ドメイン jy-zh-kaiyuntiyu[.]com
レジストラ Gname[.]com Pte. Ltd.
登録日 2025年5月10日
ドメイン年齢 約328日(解析時点)
ネームサーバー clayton[.]ns[.]cloudflare[.]com / jill[.]ns[.]cloudflare[.]com

ドメイン年齢について:フィッシングドメインは短命な傾向があります。2025年5月登録のこのドメインは約1年弱が経過していますが、正規のECサービスのドメインと比較すると運用歴は浅く、また「kaiyun(开云)」「tiyu(体育)」はそれぞれ中国語で「クラウド」「スポーツ」を意味する文字列であり、Amazonの配送サービスとは無関係な命名です。

Cloudflareネームサーバーの使用:攻撃者がCloudflareを経由させることで、実際のサーバーIPを隠蔽し、テイクダウンを困難にする手法は一般的に知られています。これはフィッシングインフラの耐久性を高めるための手口です。

総合判断:Amazonとは無関係のドメイン・短い運用歴・中国語由来と思われる命名・CloudflareによるIP隠蔽という複合的な特徴は、フィッシング目的で急造されたドメインの典型的なプロファイルと一致します。

証拠の総合評価

フィッシング確定の根拠(複合判断)

本メールをフィッシングと確定した根拠は以下の複数の事実の組み合わせです。

  1. 送信元ドメインのブランド詐称(確認済み):
    差出人の表示名は「配送カスタマーサービス」であり受信者にAmazonを連想させますが、実際の送信ドメインは updateik[.]flow-kaiyun-sports[.]com であり、AmazonのFROM、REPLY-TO、Return-Pathのいずれもが正規ドメインと一致していません。
  2. Unicodeホモグリフによる件名・本文の偽装(確認済み):
    件名と本文にキリル文字(U+043E)とスペース挿入による二重偽装が確認されています。正規のAmazon通知メールにこのような加工は行われません。
  3. SPF softfail(確認済み):
    送信元IPがドメインのSPFレコードで明示的に許可されていないことが確認されています。
  4. タイ所在の送信元IP(確認済み):
    RDAP情報により送信元IPがタイ(TH)のインフラであることが確認されています。
  5. 非公式ドメインへの誘導(確認済み):
    メール内リンクがAmazonとは無関係の jy-zh-kaiyuntiyu[.]com へ誘導することが確認されています。

これら5つの独立した証拠が重なることで、本メールはフィッシング詐欺と確定します。

IOC一覧(Indicators of Compromise)

送信元ドメイン・アドレス

  • 差出人ドメイン: updateik[.]flow-kaiyun-sports[.]com
  • 差出人メール: support[@]updateik[.]flow-kaiyun-sports[.]com
  • Return-Pathドメイン: updateik[.]flow-kaiyun-sports[.]com

送信元IPアドレス

  • IP: 171[.]5[.]121[.]211
  • CIDR: 171[.]4[.]0[.]0/15
  • 所在: タイ(TH)/ IRT-TTBP-TH

誘導URL・ドメイン

  • URL: hxxps://jy-zh-kaiyuntiyu[.]com/data/BqTIrlYqsDbe[.]json
  • ドメイン: jy-zh-kaiyuntiyu[.]com
  • ネームサーバー: clayton[.]ns[.]cloudflare[.]com, jill[.]ns[.]cloudflare[.]com

メールハッシュ

  • SHA256: b8fb4e21235897b09454f0ae7faace33a574989469fc8fb2a6ac5f29151203d9

PhishTank登録状況

  • hxxps://jy-zh-kaiyuntiyu[.]com/data/BqTIrlYqsDbe[.]json: 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

対処方法

このメールを受け取った場合

  1. リンクを絶対にクリックしない:
    「受取内容を確認する」ボタンは jy-zh-kaiyuntiyu[.]com に誘導します。現時点では停止していますが、攻撃者が再度有効化する可能性があります。
  2. 本物のAmazon注文状況はAmazonの公式サイトから直接確認する:
    ブラウザのアドレスバーに直接 amazon[.]co[.]jp と入力し、アカウントにログインして注文履歴を確認してください。荷物番号「796366681051」に対応する注文が存在するか確認できます。
  3. 件名の文字に注意する:
    件名「A m a z о n」の「о」はキリル文字です。通常のメールクライアントでは区別できませんが、キリル文字混入はブランド詐称の典型的手法です。今後同様の件名のメールを受信した場合も同じ手口の可能性があります。
  4. メールの差出人アドレスを確認する:
    表示名ではなく、実際のメールアドレスを確認してください。 @amazon[.]co[.]jp 以外のドメインからのAmazon名乗りメールは詐欺の疑いがあります。
  5. リンクをクリックしてしまった場合:
    ページが表示された場合は、入力フォームには何も入力せず直ちにページを閉じてください。Amazonのパスワードや支払い情報を入力した場合は、直ちにAmazonのパスワード変更と、同じパスワードを使いまわしているすべてのサービスのパスワード変更を行ってください。

セキュリティ担当者向け

  • メールゲートウェイで flow-kaiyun-sports[.]com ドメインおよび送信元IP 171[.]5[.]121[.]211(CIDR: 171[.]4[.]0[.]0/15)をブロックすることを検討してください。
  • jy-zh-kaiyuntiyu[.]com へのDNSクエリをブロックするよう、DNSフィルタリングの設定を確認してください。
  • 件名にU+043E(キリル小文字o)を含むメールを検出するルールの追加を検討してください。
  • DKIM/DMARCが通過していても詐欺メールである事例として、ユーザー教育に活用してください。
検出されたドメイン・URL一覧
ドメイン 区分 状態 検出方法 登録情報
jy-zh-kaiyuntiyu.com 入口URL 停止/エラー メール本文 登録: 2025-05-10 / Gname.com Pte. Ltd.

本記事は2026年4月3日に受信・解析したサンプルに基づいています。URLの停止状態は解析時点のものであり、将来的に変化する可能性があります。IOCは防御目的での使用を前提として公開しています。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,