[解析] アメックスを装う「3,000ポイント付与」詐欺メールの技術調査報告

【調査報告】最新の詐欺メール解析レポート
解析対象:アメリカン・エキスプレスを騙るフィッシング詐欺
■ 最近のスパム動向
今回ご紹介するのは「アメリカン・エキスプレス」を騙るメールですが、その前に最近のスパムの動向を解説します。現在、年度末から新年度にかけてのポイント失効や、キャンペーン付与を口実にしたフィッシング詐欺が非常に活発化しています。特にカード会社を装うケースでは、視覚的に公式サイトと見分けがつかないほど精巧なロゴやレイアウトが多用される傾向にあります。
■ メール基本情報

件名: [spam] 【American Express】ポイント有効期限のご確認(3,000ポイント付与済み)
件名の見出し: 冒頭の[spam]タグは、受信サーバーが既にこのメールを「迷惑メール」としてマーキングしている証拠であり、内容の信憑性が極めて低いことを示しています。
送信者: “アメリカン・エキスプレス” <pasuwado@creema.jp>
受信日時: 2026-03-31 19:47
■ 送信者に関する情報
送信者のメールアドレス末尾が「creema.jp」となっており、アメックスとは全く無関係のドメインです。本来のアメックスであれば「americanexpress.co.jp」等から送られます。これは、他社の正当なドメインを悪用、あるいは偽装して配信されている典型的な詐欺メールの特徴です。
■ メール本文(再現)
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。


アメリカン・エキスプレスのサービスをご利用いただき、誠にありがとうございます。

3000アメックスのポイントを受け取る

ポイントの有効期限の確認を
マイアカウントの「ポイント有効期限を確認する」から確認できます

ポイントの有効期限は最長3年です。ポイントを獲得したプログラム年度…(中略)…一度交換すると無期限になります。

ポイント有効期限の確認と交換を忘れずに

プログラム年度の終了日は各カード会員様で異なります。ログイン後、確認できます。

詳細を確認する

誘導先:https://becomeslearnedba●●.uhuxyty.com/

注意事項:東京都港区虎ノ門4丁目1番1号 americanexpress.co.jp
■ 解析・犯人の目的

犯人の目的: ユーザーを偽のログイン画面へ誘導し、ID、パスワード、およびカード番号を盗み取ることです。取得した情報は、不正決済やポイントの他者転送に悪用されます。
専門的解説: 宛名が個人名ではなく「お客様」などの一般名称である点は、不特定多数に送りつけている証拠です。ロゴ画像まで使用し、一見公式サイトに見えますが、リンク先のURLがデタラメな文字列であることが最大の「おかしな点」です。
■ 危険なポイントと対処法

チェックポイント: 送信元アドレスが「creema.jp」であり、公式とは完全に異なります。また、住所記載があるものの電話番号の記載が欠落しており、連絡を遮断してサイトへ誘導する意図が明白です。
対処法: 決してリンクをクリックせず、ブックマークや公式アプリからログインして状況を確認してください。
■ 送信元(Received)回線情報

Received情報: from aaa-0331173906-000144.asia-northeast1-a.c.wwnguyenthinghi171978.internal (35.189.154.43)
※(35.189.154.43)は送信に利用された信頼できるIPアドレスです。
ドメイン: bc.googleusercontent.com (Google Cloud利用による偽装)
IPアドレス: 35.189.154.43
ホスティング社: Google Cloud
国名: 日本 (Tokyo)
ドメイン登録状況: WHOISデータ確認
詳細解析: https://ip-sc.net/ja/r/35.189.154.43
■ リンク先ドメイン情報

リンク箇所: 「詳細を確認する」ボタン
誘導先URL: https://becomeslearnedba●●.uhuxyty.com/ (伏字加工済み)
ブロック状況: ウイルスバスター等のセキュリティソフトにて「詐欺サイト」としてブロック対象。
リンク先IPアドレス: 172.67.147.169 (調査時点)
ホスティング社: Cloudflare, Inc.
国名: アメリカ合衆国
ドメイン登録日: 2026-03-20付近 (攻撃直前に取得された極めて新鮮な使い捨てドメインです)
サイト回線関連情報: https://ip-sc.net/ja/r/172.67.147.169
稼働状況: 現在は「NXDOMAIN(ドメイン未検出)」または「このサイトにアクセスできません」と表示され、閉鎖済み。
■ 詐欺サイト(閉鎖後)の状態
アクセスした際の画面イメージ:

■ まとめと公式リンク

本件は、ポイントをフックにした典型的な手口です。過去の事例と比較しても、ドメインの取得から数日で攻撃を開始し、即座にドメインを捨てるという「スピード重視」の傾向が見られます。

アメリカン・エキスプレス公式サイト:
https://www.americanexpress.com/ja-jp/security/phishing/

詐欺メール,アメリカン・エキスプレスアメックス,アメリカンエキスプレス,スパムメール,セキュリティレポート,なりすまし,フィッシング詐欺,ポイント詐欺,個人情報流出,注意喚起,詐欺メール

Posted by heart