【実録】アメックスのポイントが消える?偽装メールの「犯行手口」を完全公開
【実録】「[spam] 【アメリカン・エキスプレス】ポイントの有効期限が近づいています」を徹底解析!偽ログインサイトの罠を暴く 1. アメックスを装い、ID・パスワードを盗み出すフィッシング詐欺
2. 送信元ドメイン偽装に加え、 Cloudflareを悪用した匿名サイトへ誘導
3. ログイン画面は本物と見分けがつかない「鏡」のような偽装サイト! | 最近のスパム動向と解析の前書き 今回ご紹介するのは「アメリカン・エキスプレス」を騙るメールですが、その前に最近のスパムの動向についてお伝えします。最近の攻撃者は、単なるバラまきではなく、ターゲットが利用している可能性の高いサービスを絞り込み、ポイント失効や不正利用検知といった「即座の行動」を促す文言を多用します。特にアメックスのようなハイステータスカードは、ポイント価値が高いため、狙われやすい傾向にあります。 | 【調査報告】最新の詐欺メール解析レポート | 件名 | [spam] 【アメリカン・エキスプレス】ポイントの有効期限が近づいています | | 件名の見出し | 「[spam]」というプレフィックスは、サーバーのスパムフィルタが送信元ドメインの不一致を検知し、自動的に危険判定を下した証拠です。 | | 送信者 | “American Express” <editor@next.rikunabi.com> | | 受信日時 | 2026-04-20 8:29 | ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。 | メール本文の忠実再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 メンバーシップ・リワード
ポイント有効期限のお知らせ いつも アメリカン・エキスプレスをご利用いただき、誠にありがとうございます。 お客様が保有されているメンバーシップ・リワードのポイントに有効期限が近づいておりますので、お知らせいたします。 保有ポイント残高
175,080 ポイント有効期限
2026年4月21日 | ポイントを確認する
hxxps://www.ametsukushiwel.com/ayccz*** (一部伏せ字・リンク無効化)
お問い合わせ
カード裏面に記載のカスタマーサービスまでお問い合わせください。
電話:0120-020120(24時間年中無休) © American Express Travel Related Services Company, Inc.
本メールは配信専用です。ご返信いただいてもお答えできませんのでご了承ください。 | 【署名情報の確認】
メール内に記載されている電話番号「0120-020120」はアメックスの正規番号ですが、犯人は安心させるためにあえて本物の番号を記載し、リンク先だけを偽物に設定しています。番号が正しいからといって安全とは限りません。 | 犯行の目的および専門的な感想 【犯人の目的】
本メールの目的は、アメックスの「オンライン・サービス」のログイン情報(ユーザーID/パスワード)と、その後の画面で入力させるクレジットカード詳細(番号、有効期限、セキュリティコード)の詐取です。
【専門的見解】
リクルート社のドメインを送信元に偽装しつつ、ロゴやレイアウトを完璧に模倣する手口は、高度なフィッシングキットを使用している証拠です。宛名に個人名が入っていない点、および受信者のドメインと関係のない「rikunabi.com」から送信されている点が最大の発覚ポイントです。 | 【Received解析】送信元の正体 Received: from haitangxuede.shop (unknown [163.43.70.170]) このIPアドレス **163.43.70.170** は、犯人がメール送信に使用した拠点の直接的なデータです。 | ドメイン(送信者) | haitangxuede.shop | | IPアドレス | 163.43.70.170
| | 国名 | 日本 大阪市 | | ホスティング会社 | SAKURA Internet Inc. | | ドメイン登録日 | 2026-03-15 (攻撃のわずか1ヶ月前に取得された使い捨てドメイン) | → ip-sc.netでメール回線情報の詳細を確認 | 【サイト回線解析】潜伏するフィッシングサイト 誘導先URL: hxxps://www.ametsukushiwel.com/ayccz*** (伏せ字を含む。物理リンク無効化済) | リンクドメイン | www.ametsukushiwel.com | | IPアドレス | 172.67.147.168
| | 国名 | カナダ トロント | | ホスティング会社 | Cloudflare, Inc. | | ドメイン登録日 | 2026-04-10 (登録からわずか10日。犯行直前の準備です) | 【URLが危険な理由】
公式サイトのドメイン `americanexpress.com` とは全く無関係な文字列 `ametsukushiwel.com` が使われています。Cloudflareを利用するのは、犯人が自身の足跡を消すためにGoogleやCloudflareの巨大なクラウドインフラを「隠れ蓑」として悪用している決定的な証拠です。この匿名性の高いインフラを使い捨ての「発信基地」にする手口は、現代の組織的な詐欺の典型です。 → ip-sc.netでサイト回線関連情報を確認 | 【閲覧注意】これが詐欺サイトの実態だ! 
ご提示いただいた2枚目の画像にある通り、ログイン画面は公式サイトを精巧にコピーしています。しかし、ブラウザのアドレスバーを確認すれば、ドメインが全くの別物であることがわかります。見た目の「信頼感」に騙されないでください。 | まとめ:犯行予告に屈しないために 今回の「ポイント失効」を煽る手口は、焦りを生ませる心理的犯行予告です。アメックス公式サイトでも「フィッシングメールへの注意」が繰り返し報じられています。 → アメリカン・エキスプレス公式:不審なメールに関する重要なお知らせ 身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。 | |
🛡️ Heartland 管理者が推奨する「究極の対策セット」
① 【最強の物理防壁】YubiKey 5 NFC 🔑
パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。
Amazonで詳細を見る
② 【定番の安心】ウイルスバスター クラウド 3年版 🛡️
巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。
Amazonで詳細を見る
