「アカウントが停止されました」「お支払い方法に問題があります」——AmazonをかたるこうしたメールやSMSは、いまや誰のもとにも届きます。フィッシング対策協議会への報告でも、Amazonをかたる手口は長く上位の常連です。やっかいなのは、偽メールも偽サイトも本物そっくりに作られ、ロゴや文面だけでは見抜きにくいことです。
この記事では、文面の雰囲気ではなく「送信元ドメイン」と「リンク先のURL」という、確認できる事実から偽物を見分ける方法を、手順つきで解説します。重要な前提として、メールの送信元表示は偽装できるため、ドメインを見るだけでは足りません。最終的に一番確実なのは、メール内のリンクをたどらず、Amazonの公式アプリやブックマークから自分でアクセスして「メッセージセンター」で確かめることです。買い物の安全は、届いた商品のレビューが本物かを見る段階の前に、まず正規のAmazonにアクセスできているか、から始まります。
偽メールを見分けるコツとして、よく「日本語が不自然」「文面が雑」といった点が挙げられます。しかしこれは、もう当てになりません。翻訳や文章生成の精度が上がり、本物と見分けのつかない自然な日本語のメールが量産されているからです。Amazonのロゴや配色、ボタンのデザインも、本物のメールから画像をコピーすればそのまま再現できます。
偽サイトも同じです。ログイン画面や商品ページのHTMLはコピーでき、見た目だけなら本物と区別がつきません。「鍵マーク(HTTPS)が付いているから安全」という思い込みも危険です。無料で暗号化証明書が取得できる今、フィッシングサイトの多くもHTTPSに対応しており、鍵マークは『通信が暗号化されている』ことを示すだけで、『相手が本物のAmazonである』ことは何も保証しません。
だからこそ、見た目や雰囲気ではなく、偽装しにくい『事実』を見る必要があります。それが、メールの本当の送信元ドメインと、リンク先の本当のURL、そしてAmazon公式サイト内の記録(メッセージセンター)です。
Amazonは公式のヘルプページで、正規のメールに使う送信元アドレスのドメインを案内しています。@マークより後ろの部分が、次のいずれかであれば正規のドメインです(Amazon公式ヘルプ『Amazon.co.jpからの通知メール』の記載に基づく)。逆に、これら以外のドメインから届いたものは、Amazonをかたる偽メールの可能性が高いといえます。
ここが最も誤解されやすいポイントです。上のドメイン一覧は、偽物を『除外する』ためには役立ちます。ドメインが一覧にまったく当てはまらなければ、ほぼ偽物と判断してよいでしょう。しかし、逆は必ずしも成り立ちません。つまり『送信元がamazon.co.jpに見えるから本物』とは言い切れないのです。
理由は、メールの送信元(Fromの表示名やアドレス)は技術的に偽装(なりすまし)が可能だからです。差出人欄に正規のドメインが表示されていても、実際にはまったく別のところから送られていることがあります。とくにスマホのメールアプリは表示名しか見せず、本当のアドレスが隠れていることも多いので、表示名だけで判断するのは危険です。
見るべきなのは、表示名ではなく実際のメールアドレスです。差出人をタップ/クリックして、@より後ろのドメインを確かめてください。ただし前述のとおり、それでも偽装の可能性は残ります。だから送信元の確認は『明らかな偽物を弾く一次フィルター』と位置づけ、本物かどうかの最終判断は次に述べるメッセージセンターで行うのが安全です。
Amazon自身が案内している、最も確実な確認方法がこれです。Amazonがあなたに送った正規のメールは、Amazonアカウント内の『メッセージセンター』にも記録されます。届いたメールと同じ内容の通知がメッセージセンターに見当たらなければ、そのメールはなりすましの可能性が高い、という判断ができます。
手順はシンプルです。まず、届いたメールやSMSのリンクは絶対にタップせず、Amazonの公式アプリ、または自分でブックマークしておいた公式サイトから、いつも通りログインします。次に『アカウントサービス』などから『メッセージセンター』を開き、Amazonからの通知履歴を確認します。ここに同じ通知がなければ、届いたメールを信じてはいけません。
この方法が強いのは、公式サイト内の記録と突き合わせるため、送信元の偽装や巧妙な文面に左右されない点です。『アカウントに問題がある』と急かされても、まずリンクを踏まず、自分でAmazonにアクセスして状況を確認する——この一手間が、フィッシングをほぼ確実に無力化します。
メール内のリンクをどうしても確認したいときは、クリックせずに『リンク先URL』だけを確かめます。パソコンならリンクにマウスを乗せると実際の飛び先が表示され、スマホなら長押しでURLをプレビューできます。Amazon公式も『URLをコピーしてメモ帳などに貼り付け、アドレスだけを確認する』方法を案内しています。
本物のAmazon(日本)のページは、必ず amazon.co.jp というドメインの下にあります。URLの『一番右の“.co.jp”の直前がamazon』になっているかを見てください。たとえば https://www.amazon.co.jp/ や https://ドメイン名.amazon.co.jp/ は正規ですが、amazon が入っていても別ドメインにぶら下がっているものは偽物です。
偽サイトは、この『ドメインの区切り』を悪用します。amazon の文字を紛れ込ませつつ、本当の持ち主は別、という形にするのが典型です。次のような見た目の違いに注意してください。
手口は次々変わりますが、『本物のAmazonがやらないこと』を覚えておくと、細かい見分けができなくても危険を察知できます。次のような要求が来たら、文面がどれだけ本物らしくても疑ってください。
Amazonがメールやショートメッセージのリンクから、暗証番号(PIN)やアカウントのパスワード、クレジットカード番号の全桁やセキュリティコードといった機微な情報を入力させることは基本的にありません。また『いますぐ確認しないとアカウントを停止する』『24時間以内に支払え』などと極端に急かして、リンクへ誘導するのも典型的なフィッシングの型です。
支払い方法にも注意が必要です。コンビニで買うプリペイド型のギフトカードの番号を教えるよう求められたり、正規の注文手続きを経ずに送金を指示されたりしたら、まず詐欺と考えてよいでしょう。支払いや設定の変更は、メールのボタンからではなく、必ず自分でアクセスしたAmazonの正規サイト・アプリの中だけで行ってください。
「うっかりリンクを開いてしまった」だけなら、多くの場合、慌てる必要はありません。危ないのは、その先の偽サイトでログイン情報やカード情報を『入力・送信』してしまったときです。心当たりがあれば、まずAmazonの正規サイトからパスワードを変更し、2段階認証を設定しましょう。カード情報を入力してしまった場合は、カード会社にも連絡します。
不審なメールやSMSは、報告するとほかの人の被害防止につながります。Amazonは公式ヘルプで、なりすましメールの報告方法を案内しています。報告先のアドレスは変わることがあるため、『Amazon 迷惑メール 報告』でAmazon公式ヘルプを開き、最新の案内に沿って転送するのが確実です。日本のフィッシング全般については、フィッシング対策協議会(antiphishing.jp)でも情報提供を受け付けています。
そして大切なのは、報告のためであっても、偽メール内のリンクを踏んだり返信したりしないことです。報告は、メールごと転送する・URLをコピーして知らせる、といった形で、偽サイトにアクセスせずに行いましょう。
偽サイト・偽メールを避けて、正規のamazon.co.jpに安全にたどり着けたとしても、買い物の安全はもう一段あります。それは、そのAmazon上で見ている『商品やレビューが信用できるか』です。正規サイトの中にも、評価が不自然に操作された(サクラ・やらせ)疑いのある商品は存在します。
そこで役立つのが、無料ツールの『良品チェッカー』です。トップページにAmazonの商品URLを貼るだけで、★分布の偏り・認証購入率・投稿日の集中といった『構造シグナル』から、その評価が操作されている疑いの度合いを判定します。見ているのはレビュー本文ではなく、商品ページに公開された数字のパターンなので、巧妙な文章にも惑わされません。
何を買うか決めかねているときは、カテゴリ別に厳選した結果をまとめたランキング(/ranking)から探すのもおすすめです。『偽サイトを避けて本物のAmazonへ』『そのうえで評価が信用できる商品を選ぶ』——この2段構えで、失敗しない買い物に近づけます。
本サービスはAmazonアソシエイト・プログラムの参加者として、適格販売により収入を得ています。判定は公開ページの構造データ(★分布・件数・投稿日・認証購入率)からの推定で、真偽を保証するものではありません(誤判定はありえます)。レビュー本文の保存・転載は行いません。掲載順位・推薦内容は紹介料の有無に影響されません。