フィッシング

「配送手続き完了のお知らせ」を装ったAmazonフィッシングメールを確認(2026年4月)

注意: 本記事は自動解析で収集できた証拠が限定的です。追加の技術検証が推奨されます。

2026年4月6日、Amazon(アマゾン)を騙った日本語フィッシングメールが確認されました。「配送管理部」を名乗り、荷物の配送状況確認を促すリンクへ誘導する手口です。本記事では、メールヘッダー・認証結果・誘導先URLの技術的解析結果を公開し、同様のメールを受け取った方が被害を回避できるよう解説します。

フィッシングメール本文のスクリーンショット
フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません)

メール概要

件名 配送手続き完了のお知らせ
差出人表示名 配送管理部
差出人メールアドレス support[@]updatefh[.]fathinktank[.]com
Return-Path support-[受信者アドレス][@]updatefh[.]fathinktank[.]com
送信日時 2026年4月6日(月)15:41:16 +0900
X-Mailer Apple Mail (Build 3445[.]104[.]7)
文字コード UTF-8
SHA256 220e1977191975f75029d26ac9f20e2411d326c5c43a63f3336dcde1055a85ac
判定 フィッシング(確定)

メール本文(全文引用)

お客様

お届け物を1つ、明日届けるよう手配いたしました。

“お届け日時” の変更手続きは、配送状況確認画面よりお願いいたします。加えて、配達員がお電話( [電話番号] )またはショートメッセージで事前にお知らせする場合がございます。なお、 アマゾン による配達は7時から22時の間に行われます。

配送業者名: アマゾン
お問い合わせ伝票番号: 383998730296

配送状況を見る

本メールは自動送信です。ご返信はお受けできませんのでご了承ください。

「配達員がお電話またはショートメッセージで事前にお知らせする場合がございます」という一文は、受信者に安心感と緊急感を同時に与えるソーシャルエンジニアリング技法です。伝票番号(383998730296)はランダム生成と考えられますが、実在するように見せかけることで信頼性を演出しています。

なりすまし分析

送信元ドメインとAmazon正規ドメインの比較

項目 本メール(確認済み) Amazon正規送信元(一般に知られている)
Fromドメイン updatefh[.]fathinktank[.]com amazon[.]co[.]jp / amazon[.]com 等
Return-Pathドメイン updatefh[.]fathinktank[.]com amazon[.]co[.]jp 等(公式インフラ)
ブランド名の使用 本文中に「アマゾン」を直接記載 正規メールはAmazonドメインから送信

観測事実: Fromアドレスのドメインは fathinktank[.]com の第3レベルドメイン(updatefh[.]fathinktank[.]com)です。Amazonが一般に使用するドメイン(amazon[.]co[.]jpamazon[.]com 等)とは全く異なります。

示唆: メール本文で「アマゾン」を名乗っているにもかかわらず、送信元はAmazon正規インフラとは無関係のドメインから発信されていることを示唆します。

総合判断: Fromドメインの完全不一致・本文中のブランド詐称・後述のURL誘導の複合根拠から、Amazonへのなりすましフィッシングと判断します。

Return-Pathのパターン

Return-Pathには受信者アドレスを含む形式(support-[受信者アドレス][@]updatefh[.]fathinktank[.]com)が使われています。これはVERP(Variable Envelope Return Path)と呼ばれる技法で、一般に正規のメールマガジン配信でも使われます。そのため、この形式単独でフィッシングと断定することはできませんが、送信元ドメインの詐称と組み合わせると、フィッシングインフラが受信者ごとに動的にメールを生成している補助指標となります。

メール認証解析

認証項目 結果 意味
SPF pass 送信IPが fathinktank[.]com のSPFレコードで許可されている(確認済み)
DKIM pass 送信者ドメインによる電子署名が検証された(確認済み)
DMARC 不明(検証結果が付与されていない) 受信サーバーがDMARC評価を実施していないか、ポリシーが未設定の可能性

「SPF/DKIMがpassなのになぜフィッシングか」を理解する

SPF・DKIMはそれぞれ、「送信元IPがそのドメインに許可されているか」「メールがそのドメインの秘密鍵で署名されているか」を検証します。重要なのは、これらはあくまで fathinktank[.]com ドメインの正当性を証明するものであり、Amazonを名乗ることの正当性を証明するものではない点です。

つまり、攻撃者は自分で取得・管理するドメイン(fathinktank[.]com)に対してSPFレコードとDKIM署名を設定することで、メール認証をpassさせることができます。メール本文に「アマゾン」と書いてあっても、認証はそのブランド名を検証しません。

これが「フィッシングメールがスパムフィルターを通過する」仕組みの一つです。

送信元IPアドレス解析

送信元IP 190[.]243[.]244[.]92

観測事実: メールの送信には 190[.]243[.]244[.]92 が使用されています。

示唆: Amazon日本のメール送信インフラが使用するIPアドレス帯とは異なる可能性が高く(公式情報は amazon[.]co[.]jp のSPFレコードで確認可能)、AmazonのSPFレコードには含まれない送信元と考えられます。

X-Mailerについて

観測事実: ヘッダーに X-Mailer: Apple Mail (Build 3445[.]104[.]7) が記録されています。

示唆: 大量配信を行うAmazonの正規送信システムがApple Mailを使用することは一般的ではありません。X-Mailerヘッダーは偽造が容易であるため、これ単独での断定は行いませんが、フィッシングメールが個別送信ツールや偽装ヘッダーを使用していることを示す補助指標となります。

誘導先URL解析

リンク構造

誘導先URL hxxps://pilihanindo3388[.]com/?format=json&callback=ADidgAVkbzlb
リダイレクト 2 hop → hxxps://pilihanindo3388[.]com
アクセス状態 停止 / エラー(本記事作成時点)

観測事実: 本文中の「配送状況を見る」リンクは pilihanindo3388[.]com ドメインに誘導します。URLには ?format=json&callback=ADidgAVkbzlb というパラメータが付与されており、リダイレクト後もベースドメインに到達します。

示唆: Amazon公式サービスが一般に使用するドメイン(amazon[.]co[.]jpamazon[.]com 等)とは全く異なります。コールバックパラメータの付与は、TDS(Traffic Distribution System:アクセス制御システム)による振り分け機能を持つフィッシングインフラで一般的に見られます。

総合判断: 非Amazonドメインへの誘導・TDS的URLパラメータ・アクセス制御による取得困難という3点の組み合わせから、フィッシングページ配信インフラと判断します。

TDS(Traffic Distribution System)について

フィッシングキャンペーンでは、セキュリティ研究者のIPや自動解析ツールからのアクセスを検知・遮断し、一般ユーザーにのみフィッシングページを表示する「TDS」が使われることがあります。本件では誘導先サイトのスクリーンショット取得に失敗しており(アクセス制御により不可)、TDS導入の可能性があります(未確認)。サイトが現在停止・エラー状態であることは、キャンペーン終了またはインフラ破棄の可能性を示唆します。

IOC(侵害の痕跡)一覧

メールハッシュ

  • SHA256: 220e1977191975f75029d26ac9f20e2411d326c5c43a63f3336dcde1055a85ac

送信元

  • From: support[@]updatefh[.]fathinktank[.]com
  • Return-Path domain: updatefh[.]fathinktank[.]com
  • 送信IP: 190[.]243[.]244[.]92

誘導先URL / ドメイン

  • URL: hxxps://pilihanindo3388[.]com/?format=json&callback=ADidgAVkbzlb
  • ドメイン: pilihanindo3388[.]com

PhishTank登録状況

本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

  • 対象URL: hxxps://pilihanindo3388[.]com/?format=json&callback=ADidgAVkbzlb:未登録

手口のまとめ:なぜ見破りにくいか

  1. SPF・DKIMがpassで迷惑メールフィルターをすり抜けた可能性(確認済み)
    攻撃者は自前のドメイン fathinktank[.]com のメール認証を正しく設定することで、メールフィルターの認証チェックを通過しています。SPF/DKIMのpassはブランドの正当性とは無関係です。
  2. 自然な日本語文面とAmazon風の構成
    「配達員から電話する場合がある」「7時〜22時の配達」という記述はAmazonの実際の配送案内に近い表現で、受信者に本物と誤認させます。
  3. 実在のような伝票番号
    「383998730296」という番号は実在しない可能性が高いですが、形式が本物に似ており確認を促す心理効果があります。
  4. アクセス制御による解析妨害(可能性あり)
    誘導先URLにセキュリティ研究者のアクセスを遮断するTDSが導入されている可能性があり、自動スキャンツールによる検知を困難にします。

対処方法

このメールを受け取った場合

  1. リンクをクリックしない
    「配送状況を見る」リンクは絶対にクリックしないでください。URLが amazon[.]co[.]jp 以外であれば、どれだけ本物らしく見えても偽サイトです。
  2. Amazonアカウントを直接確認する
    荷物の状況を確認したい場合は、メールのリンクを使わず、ブラウザのアドレスバーに直接 amazon[.]co[.]jp と入力するか、Amazonの公式アプリからログインして確認してください。
  3. Fromアドレスのドメインを確認する
    Amazonからの正規メールは @amazon[.]co[.]jp@amazon[.]com 等から送信されます(公式サイトで確認可能)。本件の @updatefh[.]fathinktank[.]com はAmazonとは無関係のドメインです。
  4. すでにクリックしてしまった場合
    もしリンクをクリックして個人情報や支払い情報を入力してしまった場合は、直ちにAmazonのパスワードを変更し、登録しているクレジットカード会社へ連絡してください。また、Amazonの公式ページ(amazon[.]co[.]jp)からフィッシングとして報告することを推奨します。
  5. メールを報告・削除する
    メールクライアントの「フィッシング報告」または「迷惑メール報告」機能を使って報告した後、削除してください。

技術担当者向け:遮断推奨IOC

  • 送信元IPのブロック: 190[.]243[.]244[.]92
  • Fromドメインのブロック: fathinktank[.]comupdatefh[.]fathinktank[.]com
  • 誘導先ドメインのブロック: pilihanindo3388[.]com
  • メールハッシュでの検知: 220e1977191975f75029d26ac9f20e2411d326c5c43a63f3336dcde1055a85ac

関連情報・参考

  • Amazon 公式:不審なメールの見分け方 — amazon[.]co[.]jp の公式ヘルプページで確認可能
  • 総務省 国民のためのサイバーセキュリティサイト — フィッシング被害の相談窓口:フィッシング対策協議会(antiphishing[.]jp)
検出されたドメイン・URL一覧
ドメイン 区分 状態 検出方法 登録情報
pilihanindo3388.com 入口URL 停止/エラー メール本文

本記事は2026年4月6日に確認されたフィッシングメールの解析に基づきます。IOCは難読化して掲載しています。掲載情報はセキュリティ調査・防御目的に限り使用してください。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,