【実録】アメックス「メンバーシップ・リワード ポイント有効期限」を騙るフィッシングメール完全解析
⚠ このメールはアメリカン・エキスプレスとは一切関係のない偽物です ⚠
ご家族やお知り合いにも届いているかもしれません。この記事をLINEで共有して、被害を未然に防いでください。
📧 実際に届いた詐欺メールの内容(再現)
まず、実際に届いたメールの内容をそのまま見てみましょう。一見するとアメックスからの正規メールにしか見えない——それがこの詐欺の怖いところなんです。
※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。
いつもアメリカン・エキスプレスをご利用いただき、誠にありがとうございます。 現在、お客様が保有されている「メンバーシップ・リワード®・ポイント」の 一部、または全部の有効期限が近づいております。 貯まったポイントは、マイルや提携ホテルの宿泊券、厳選されたアイテムなど、 多様な特典と交換いただけます。失効前にぜひご利用ください。 ■ 失効予定ポイント数 130,100 ポイント ■ ポイントステータス 現在の総保有ポイント 372,500 ポイント うち、失効予定ポイント 130,100 ポイント ポイント有効期限 2026年6月06日 【 ポイントをアイテムと交換する 】 ← ※このボタンは詐欺サイトへのリンクです。絶対に押さないでください。 ※「メンバーシップ・リワード・プラス」へのご登録状況により、 交換レートが異なる場合がございます。 有効期限を過ぎますと、対象のポイントは自動的に消滅し、 復元はできませんのでご注意ください。 © 2026 American Express International, Inc. All rights reserved.
いかがでしょうか。文章も丁寧で、ポイント数まで具体的に書かれていますよね。「130,100ポイント=数万円分」という高額設定と「3日後に消える」という締め切りが組み合わさって、強烈な焦りを生み出すよう計算されているんです。
🔍 送信ルートを追跡してみました
■ メールが通ってきたサーバーの証跡(Receivedヘッダー解析)
メールには「どのサーバーを経由して届いたか」という記録が残っています。これを辿ると、このメールの本当の出所がわかるんです。
【発信元】さくらインターネット VPS(日本国内)
from jp-connect-ne.top (unknown [133.242.20.135])
日本国内の格安レンタルサーバー(VPS=仮想専用サーバー)から送信されています。攻撃者は海外にいながら、日本のサーバーをリモートで操作して送りつけているんです。
【中継・受信】受信者側サーバー(非公表)
その後、受信者側のメールサーバーを経由して受信トレイに届いています。
【偽装判定】
本物のアメリカン・エキスプレスからのメールは @americanexpress.com や @aexp.com といった公式ドメインから届きます。ところがこのメール、よく見ると送信元は jp-connect-ne.top という見慣れないドメインになっています。「jp」「connect」「ne」と日本っぽい単語を並べて正規っぽく見せているだけで、アメックスとは一切無関係の偽ドメインなんです。
【上級者向け補足】SPF・DKIMがPassする理由
「SPF」「DKIM」とはメールの送信元を証明するセキュリティの仕組みのことです。本来なら偽メールを弾くためのものなのですが、今回の攻撃者は自分で偽ドメインのDNS設定まで組んで、この2つの認証を意図的に通過させています。つまり「偽の身分証を本物そっくりに作って提示している」ような状態なんです。これが今回の詐欺メールが通常より一段危険な理由です。
発信元ロケーション(参考):さくらインターネット・日本
【Googleマップで確認する(さくらインターネット大阪DC周辺)】
※IPジオロケーション情報は参考値です。データベースにより異なる場合があり、表示される位置情報は調査時点と変化していることがあります。実際の攻撃者の所在地とも異なります。
☠ 誘導先の偽サイトを調べました
■ フィッシングサイト詳細解析
今回、メールのヘッダー(メールの内部情報)を詳しく調べたところ、中継サーバーのスキャン記録に誘導先URLがそのまま残っていました。攻撃者が意図したものではなく、受信側のセキュリティシステムが証拠を記録してくれていたんです。
誘導先URL(危険なため一部伏せ字):
hxxps://www.etounamex[.]com/cocoemenz/
ドメイン名のトリック:
etounamex.com というドメインをよく見てください。「amex(アメックスの略称)」という文字が含まれていますよね。「etou」+「namex」を組み合わせて、一瞬アメックスの公式サイトに見えるよう巧みに作られたドメインなんです。こういった手口を「タイポスクワッティング(typosquatting)=本物に似せた偽ドメインを取得する手口」と言います。
サイトサーバーIP・ロケーション:
調査時点でDNSレコードが削除済みのためIPアドレスを取得できませんでした。
【etounamex.com のWhois情報を確認する】
※IPジオロケーション情報は参考値です。データベースにより異なる場合があり、表示される位置情報は調査時点と変化していることがあります。
サイトの現在の状態:
Heartland-Labが調査した時点では、このサイトはすでに閉鎖済みでした(DNSレコード削除・403エラー)。攻撃者は証拠を残さないよう、短期間でサイトを立ち上げて素早く撤収するんです。今回もその痕跡がはっきり確認できました。
※攻撃者はドメインを短期間で使い捨てにすることが確認されています。現在アクセス不能な場合もあります。
🛡 もし届いたら、こうしてください
- リンクは絶対にクリック・タップしない:「ポイントを交換する」ボタンは詐欺サイトへの入口です。どんなに焦っても押さないでください。
- 送信元アドレスを確認する:本物のアメックスは
@americanexpress.com等から送ってきます。@jp-connect-ne.topは偽物の証拠です。 - ポイント残高は公式アプリで確認する:メールのリンクは使わず、いつも使っている公式アプリかブックマークから直接ログインして確認してください。
- もしリンクを押してしまったら:すぐにパスワードを変更して、アメックスのカスタマーサービスに連絡してください。
- 公式の注意喚起も確認を:アメリカン・エキスプレス フィッシング詐欺に関する公式注意喚起ページ
📋 まとめ
📋 まとめ
「130,100ポイントが3日後に消える」という強烈な焦りを演出し、偽のポイント交換サイトに誘導するフィッシング詐欺です。日本国内のサーバーを踏み台に使い、セキュリティの認証チェックまで意図的にパスさせる——通常より一段上の手口が使われていました。アメックスのカードを持っているご家族・お知り合いは今この瞬間も同じメールを受け取っているかもしれません。「気をつけて!」のひと言を添えて、この記事のURLをLINEグループで共有してあげてください。
本記事の調査日:2026年6月3日 ※フィッシングサイトの状態・IPジオロケーション情報は調査日以降に変化している場合があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net / American Express 公式フィッシング注意喚起
