【フィッシング注意喚起】「【要対応】お支払い機能が停止中です｜お客様情報をご確認ください」——Amazon[.]co[.]jpを騙るフィッシングメールを確認

概要

2026年4月1日（水）、「【要対応】お支払い機能が停止中です｜お客様情報をご確認ください」という件名でAmazon[.]co[.]jpを装ったフィッシングメールが流通していることを確認しました。
メールは支払い機能の停止を口実に、受信者を偽サイトへ誘導し、アカウント情報を窃取しようとするものです。

複数の技術的証拠の複合評価（差出人ドメインの不整合・送信インフラの非公式性・誘導URLの挙動）に基づき、本メールをフィッシングと確定判断しています。

メール基本情報

メール本文（全文）

以下は受信したメールの本文全文です。読者が「このメールが届いた」と検索した際に本記事へ到達できるよう、そのまま掲載します。

※本文中のURLはフィッシング防止のため難読化表記しています。クリックしないでください。

技術的解析

1. ブランド詐称：表示名と実際の送信者の乖離（確認済み）

メールクライアントの「差出人」欄に表示される名前（表示名）は送信者が自由に設定できます。
本メールでは表示名を "amazon[.]co[.]jp" とすることで、一見Amazon公式からのメールに見せかけています。

しかし実際の送信アドレスは noreply[@]mail31[.]zggao[.]com であり、
一般にAmazon[.]co[.]jpの公式送信元として知られる amazon[.]co[.]jp や amazon[.]com ドメインとは完全に異なります（確認済み）。

表示名を正規ドメイン名そのものに設定する手口は、メーラーが「差出人欄」にメールアドレスではなく表示名だけを表示する場合に特に効果を発揮します。
受信者が「差出人をクリックして実際のアドレスを確認する」動作を取らない限り、詐称を見抜けません。

2. Return-Pathによる補助指標

Return-Pathには noreply-info=ccsi[.]jp[@]mail31[.]zggao[.]com が設定されています。
このアドレスには ccsi[.]jp という文字列がローカルパート（@の左側）に埋め込まれており、
一見すると国内組織のアドレスのように見えますが、実際の送信ドメインは mail31[.]zggao[.]com です。

なお、Return-Pathのローカルパートに別ドメイン文字列を埋め込む形式（VERP：Variable Envelope Return Path）は
一般的な配信管理技術としても使われるため、この形式自体は詐欺の証拠にはなりません。
ただし今回の文脈では、FromヘッダーやURLとの整合性がなく、詐称の補助指標として評価します。

3. メール認証（SPF / DKIM / DMARC）

4. 誘導URLの解析（確認済み）

メール本文中のリンクテキストは hxxps://www[.]amazon[.]co[.]jp/update/ と表示されていましたが、
実際のリンク先URLは hxxps://marketinginboundny[.]com/kzF4Pi7bKr でした。

リンクテキストと実際のリンク先URLが異なることは、HTMLメールにおけるURL偽装の典型的な手口です。
受信者がリンクのテキストを見てAmazonの公式URLだと判断し、実際には攻撃者の管理するドメインへ誘導されます。

このURLへのアクセスを調査したところ、2ホップのリダイレクトを経て最終的に hxxps://www[.]a[.]com へ転送されることを確認しましたが、
現時点ではフィッシングページへの到達に至らず、停止またはエラー状態です。
フィッシングサイトは検出を逃れるために短期間で閉鎖・移転するケースが多く、調査時点での停止はフィッシングでないことを意味しません。

5. 送信元IPの分析

送信元IPアドレス 136[.]110[.]70[.]206 は、
mail31[.]zggao[.]com から送信されたメールのMTAサーバーです。
このIPアドレスは一般にAmazon[.]co[.]jpの公式送信インフラとして知られるアドレス帯とは異なります。

6. メール末尾のランダム文字列

メール本文の末尾に 9HBXDjBe という文字列が含まれています。
このような意味不明な文字列は、スパムフィルターのパターンマッチングを回避するための「フィンガープリント擾乱」または
受信者ごとに固有の追跡IDとして使用されるケースが確認されています。
正規のトランザクションメールにこのような文字列が含まれることは一般的ではありません（補助指標）。

手口の解説：なぜ騙されやすいのか

①「お支払い機能の停止」という緊急性の演出

ECサービスにおける「支払いができない＝注文ができない」は受信者に即座に行動を促す緊急性を持ちます。
「セキュリティチェックの結果、登録情報に誤りが確認された」という表現は具体的に見えますが、
実際にはどの情報のどのような誤りなのかが一切示されていません。
緊急性を煽る曖昧な根拠と、「30分で自動再開」という具体的な時間提示を組み合わせ、
受信者が冷静に判断する前に行動するよう心理的に誘導しています。

②表示されるURLと実際のリンク先の乖離

HTMLメールではリンクテキストとリンク先URLを別々に設定できます。
本メールでは hxxps://www[.]amazon[.]co[.]jp/update/ と表示しながら、
実際のクリック先は hxxps://marketinginboundny[.]com/kzF4Pi7bKr という全く異なるドメインです。
メーラーのリンクテキストだけを見ている受信者は正規URLだと誤認します。
リンクをクリックする前に、マウスカーソルをリンク上に置いてステータスバーに表示される実際のURLを確認することが重要です。

③短縮・リダイレクトによる検出回避

フィッシングURLはランダムなパス（/kzF4Pi7bKr）を使用した上、
2段階のリダイレクトを経由します。これにより、URLフィルタリングや静的解析ツールが
最終的なフィッシングページに到達しにくくなります。
また、フィッシングサイト自体は短期間で閉鎖・移転するため、
調査時点での停止確認は安全性を担保しません。

④メール認証の「pass」を逆手に取る手口

本メールはSPFもDKIMもpassです。これは攻撃者が自分で管理する送信サーバーと
mail31[.]zggao[.]com ドメインを適切に設定しているためです。
一部の「フィッシング対策」解説で「SPFがpassなら安全」と誤解されることがありますが、
正しくはFROMヘッダーのドメインとのアライメントまで確認するDMARCが重要です。
攻撃者はあえてFromの表示名詐称にとどめ、認証はpassさせることで、
技術的なチェックをすり抜ける手法を採っています。

総合判断

IOC一覧

このメールが届いた場合の対処方法

1. リンクは絶対にクリックしない

本メールのリンクテキストにはAmazon[.]co[.]jpのURLが表示されていますが、
実際のリンク先は全く異なるドメインです。
「Amazonのページに見える」確認はリンクテキストからはできません。
必ず手動でブラウザに amazon[.]co[.]jp と入力してアクセスし、
ログイン後にアカウントのステータスを直接確認してください。

2. 本当にアカウントに問題があるか確認する方法

Amazonからのお知らせは、ブラウザから直接ログインした後の「メッセージセンター」（アカウントサービス内）で確認できます（公式サイトで確認可能）。
メールのリンクを経由せず、メッセージセンターに同じ内容の通知が存在しない場合は、そのメールは偽物です。

3. すでにリンクをクリックして情報を入力してしまった場合

• 直ちにAmazon[.]co[.]jpへ手動でアクセスし、パスワードを変更してください。
• 同じパスワードを他のサービスでも使用している場合は、それらのパスワードも変更してください。
• クレジットカード番号や銀行情報を入力した場合は、発行元のカード会社・銀行へ速やかに連絡してください。
• Amazonカスタマーサービスへ不正アクセスの可能性を報告してください。

4. メールの通報先

• Amazonへの報告：stop-spoofing[@]amazon[.]com（一般に公開されているAmazonの不正メール報告先として知られています）
• フィッシング対策協議会（一般社団法人）：報告フォームは公式サイトで確認してください
• 総務省・警察庁が連携する「フィッシング対策協議会」への報告も推奨します

更新履歴

• 2026-04-01：初版公開。フィッシング確定、PhishTank未登録のため申請実施。