【解析】AMEXを装う「セキュリティ確認のお願い」は中国発のフィッシング詐欺！

最近のスパム動向

最近は、単なる「ログイン通知」だけでなく、「セキュリティプロトコルが作動した」といった技術用語を並べてユーザーを委縮させる手口が増加しています。

今週のスパム傾向

AMEXを騙るケースでは、公式サイトのHTML構造をコピーし、見た目では区別がつかないほど精巧な偽メールを送りつける傾向が顕著です。

前書き

「セキュリティプロトコルが作動しました」だなんて、SF映画のAIでも言わないような大層な文句で攻めてきましたね。
海外IPからのアクセスを心配してくれるのはありがたいですが、そもそもこのメール自体が海外（中国）の怪しいサーバーから届いているというギャグのような状況です。
では、詳しく見ていくことにしましょう。

件名

[spam] セキュリティ確認のお願い：ご利用状況に関する重要なお知らせ

件名に[spam]が付与されています。これは受信サーバーのスパムフィルターが、送信元のIPや本文中の不審なURLを総合的に判断して「黒」と断定した結果です。

件名の見出し

緊急性を装い、ユーザーに中身を確認させるための典型的なフィッシングタイトルです。

送信者,受信日時

本文（画像再現）

危険なポイント

送信者アドレス dmail.fobtbek@jlflw.cn に注目してください。
本物のアメリカン・エキスプレスであれば、ドメインは必ず @amex.co.jp や @welcome.americanexpress.com などになります。今回の「.cn（中国）」ドメインは100%偽物です。

推奨される対応

メールは即削除してください。本文にある電話番号「03-6625-9100」は本物の番号を記載して信用させようとしていますが、ボタンのリンク先は全く別の詐欺サイトです。

Received関連

※メールヘッダーから抽出した、送信経路の真実です。

（Receivedのカッコ内は、サーバー間で直接やり取りされた信頼できる送信者情報です）

リンク関連

「本人確認を実施する」ボタンのリンク先：
h**ps://courseeous.wddeq.cn/jp/accunt/lgino/
※安全のためURLの一部を伏せ字（h**ps）にし、リンクを無効化しています。

URLが危険と判断できるポイント

ドメイン名 courseeous.wddeq.cn は、正規のAMEXとは無関係な使い捨てドメインです。
また、パスに含まれる「accunt」「lgino」といったスペルミス（正しくはaccount, login）も、杜撰な詐欺サイトに特有の傾向です。

リンク先が稼働中かどうか

現在も元気に活動中。絶対にアクセスしないでください。

詐欺サイトの画像

まとめ

今回のメールは、見た目こそ本物に似せていますが、送信元ドメインを確認するだけで簡単に見破れるものでした。
「アカウント制限」という言葉に惑わされず、公式アプリやブックマークから確認する習慣をつけましょう。