リンクを踏むだけで危険な「個別追跡コード(カモ・ナンバリング)の正体」
【種族名】 アマゾン擬態・三連変異種
(学名:Pseudo-Amazon Trinitas-Evolutio)
今回の標本は、2026年2月22日から24日にかけて、大手キャリアD社のキャリアメールという国内最高峰の検問を三晩連続で突破した、極めて執念深いアマゾン擬態ボットです。
特筆すべきは、その驚異的な「学習能力」。初日は人間には目視不可能なノイズ込みの日本語で様子を伺い、二日目には追跡装置を仕込み、三日目には「Shift_JIS」という日本の伝統的な文字コードを纏って現れました。
D社のフィルターが「なりすましの可能性があります」と必死に黄色の警告の札を掲げているにもかかわらず、メール自体は受信トレイの最前列に並んでしまう。この不条理な現象の裏には、ボット界の狡猾なハック術と、国境を越えた偽装インフラが隠されていました。
ボットの鳴き声(本文引用)
- 1通目: 「Amazonプライムの会費……ご請求することができませんでした。 uZhQ QrU」
(※本文の至る所に「見えないインク」でランダムな文字列が散布され、AIの解析を妨害)- 2通目: 「現在、Amazonプライム会員の特典はご利用いただけません。引き続きAmazonプライムの特典をご利用されたい場合、お支払い方法を更新するには、以下のボタンをクリックしてください。」
(※URLに追跡装置を仕込み始める。)- 3通目: 「【決済失敗の主な要因】・ご登録のカードの有効期限切れ ・カード会社による利用停止…… ▼お支払い方法の更新はこちら」
(※急に丁寧な箇条書き。文字化け一つない、完璧な日本語へと進化を遂げる。「Shift_JIS」を纏う)
生態分析
当館でこの三連星を解剖した結果、「3つの国を跨ぐ多層的な偽装」が判明しました。
| 着弾日 | ①送信元名義 (ドメインと正体) | ②踏み台 (発信サーバー) | ③牙 (リンク先) | 認証 / 判定 |
| 1日目 | ドイツ管理deanuncio[.]com(スペイン語で「広告屋」) | GMO (日本) | 香港hinokikoko[.]com | FAIL / Rating: 6 |
| 2日目 | ドイツ管理pronozhi[.]com(ロシア語で「刃物屋」) | エックスサーバー (日本) | シンガポールnxlywz[.]com | FAIL / Rating: 6 |
| 3日目 | ドイツ管理pronozhi[.]com(ロシア語で「刃物屋」) | エックスサーバー (日本) | シンガポールhhsanyang[.]com | FAIL / Rating: 6 |
▼ 魔法の数字「6」と、日本のインフラの悪用
「GMO」や「エックスサーバー」といった、信頼ある日本のレンタルサーバーを「宿主(踏み台)」に選ぶことで、送信元認証が全項目赤点(DMARC: FAIL)であるにもかかわらず、即座のブロックを回避しています。
日本のサーバーから、日本の古い文字コード(Shift_JIS)を使い、日本のユーザーを狙う。キャリアAIに X-DCMCreditRating: 6 という「絶妙なグレーゾーン(受信許可)」を出させるための、徹底したローカライズです。
主任鑑定士(Gemini)の深掘り:ベテランの仮面と、産まれたての牙
今回の調査で最も戦慄したのは、WHOIS(ドメインの戸籍調査)で判明した「お誕生日のギャップ」です。犯人が送信元として使ったドメイン(ドイツ名義)は、2025年6月に取得された「生後8ヶ月の熟成モノ」でした。フィルターに「最近作られた怪しいドメインではない」と錯覚させるため、あえて古いドメインを使い回しているのです。しかし、そのメールに隠された「牙(リンク先)」の戸籍を調べると、正反対の素顔が露出します。
- 1通目:
hinokikoko[.]com(着弾の2日前に作成) - 2通目:
nxlywz[.]com(着弾の2日前に作成) - 3通目:
hhsanyang[.]com(着弾の1日前に作成)
信頼あるベテランの仮面(送信元)を被り、その裏で昨日産まれたばかりの「毒の牙(使い捨てリンク)」を突き立てる。このハイブリッド偽装こそが、三連星ボットの真の恐ろしさです。
▼ Google先生による消去という珍事
今回の調査中、当館の記録装置(Googleメモ)に2通目・3通目のリンクを保存しようとした際、Google先生が「これは危険すぎる!」と激昂、リンクを強制消去する珍事が発生しました。館長が命がけで採取した標本を、Google先生が反射的に焼却処分してしまったのです。まさに「保存不可」の劇物だということなのでしょうが、館長は泣いていました。
▼ 凶悪な「カモ・ナンバリング」
なぜそこまで危険なのか? それはURLにターゲットを特定する「個別追跡コード」が埋め込まれていたからです。このリンクは、クリックした瞬間に「情報を入力しなくてもアウト」です。
攻撃者のサーバーに「このメアドの持ち主は、怪しいリンクを実際に踏む『アクティブなカモ』だ」という信号が届き、あなたは詐欺グループ間のVIP(ベリー・インポータント・カモ)名簿』に永久登録されてしまいます。
ボットの狙い
Amazonプライムの会費未払いを装い、クレジットカード情報を奪取することが第一の目的です。しかしそれ以上に、クリックさせることで「騙しやすいユーザー」のリストを更新し続ける、二次被害の拡大こそが真の狙いと言えるでしょう。
3日間かけて文章を洗練させていく手法は、まるで「お見合い」で少しずつ好感度を上げ、最後に本性を現す結婚詐欺師のような、非常にタチが悪く、小賢しい個体です。
標本詳細
- 標本番号: p-2026-0012
- 捕獲日: 2026年2月22日~24日
- 擬態ターゲット: Amazon[.]co[.]jp
- 知能程度: 適応型A/Bテスター
- 寸評:24時間ごとに日本語、文字コード、ドメインを切り替え、最も「刺さる」姿を模索し続けた執念の個体。
鑑定結果
鑑定ランク: 一級標本(追跡型リストハンター)
「なりすまし」と警告されながらも、三晩連続で枕元に立つその粘り強さは、もはやデジタルなストーカーです。このボットメールは「お支払情報ボタン」に触れること自体が、取り返しのつかないリスクになります。あなたの指先が「カモ名簿」への招待状にならないよう、どうか沈黙(無視)を貫いてください。
鑑定士の独り言:Gemini’s Voice
日本の二大サーバーを渡り歩き、警告の札を首から下げながら、堂々と三度も着弾した怪物。大手キャリアのフィルターが「なりすましの可能性あり!」と判定しながらも、決して「破棄」できないのは、怪物が「日本製のサーバー」と「8ヶ月熟成のドメイン」という信頼の盾を構えているからです。
「Amazonを名乗っているのに、裏の顔はロシアの刃物屋。でも、日本のサーバーから来ているから、一応お届けしておきますね」AIのそんな過保護な親切心が、今日も新たな「アマゾン難民」を生み出している。これが、2026年のサイバー防衛の最前線なのです。
ウイルスバスターのご購入はこちら
安心を買いたい方へ
国内シェアNo.1の安心感は、ボットの脅威を退ける最強の御札となります。