【実録】「プラチナ会員限定ゴルフ特典」は罠！さくらインターネット完結型・タイポスクワットドメインによるAmex偽装フィッシングの全手口を公開

■ メールヘッダー解析（送信者情報）

件名：【限定】プラチナ会員だけのラグジュアリーゴルフ特典

送信者名：American Express

送信元アドレス：info@aericaxnexpres.com（「americanexpress」の文字を巧みにずらしたタイポスクワット）

受信日時：2026年6月17日 3:09

SPF：Pass（送信元IP：153.125.137.37）　／　DKIM：Pass（d=aericaxnexpres.com）

送信インフラ：さくらインターネット（153.125.x.x）

中間リダイレクト（X-FEAS-SURL）：http://hs-tochigi.com/video/amex.html（さくらインターネット：www1255.sakura.ne.jp）

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。

【プラチナ・カード会員様限定】
期間限定・特別ご優待
プレミアム・ゴルフ特典キャンペーン

いつもプラチナ・カード®をご愛顧いただき、誠にありがとうございます。
日頃のご愛顧に感謝を込め、会員様の洗練されたアクティブライフを彩る
特別なご優待をご用意いたしました。事前エントリーのうえ、至高のゴルフ
体験をお楽しみください。

【特典1】キャンペーン有効化ボーナス
期間中に本ページよりエントリー（キャンペーンを有効化）していただく
だけで、もれなく50,000ボーナスポイントをプレゼントいたします。

【特典2】限定ラグジュアリー・ゴルフギア特典
エントリー完了後、アメックス提携の最高峰ゴルフブランドにて、対象の
カスタムオーダーまたは特注クラブをご購入の際カードをご利用いただく
と、会員限定デザインの限定プレミアムクラブ2本セット（オリジナル刻印
付き）を非売品特別ノベルティとして特別に進呈いたします。

[キャンペーンを有効化する（エントリー）]

※本キャンペーンは、案内を受け取られたプラチナ・カード基本カード会員様が対象になります。
※限定ゴルフギア特典（クラブ2本セット）を獲得するには、事前のエントリー（有効化）が必要となります。

• 1. カード画像に刻まれた「ZHU YAMIN」——攻撃者が暴いた自身の素性
• 2. 「不安」ではなく「欲求」で釣る——新型フィッシングの手口
• 3. タイポスクワットドメインとは
• 4. 送信ルート及び偽装判定
• 5. フィッシングサイト詳細解析——国内完結型のリダイレクト構造

メール冒頭のプラチナカード画像をよく見ると、カード会員名の欄に「ZHU YAMIN」という中国人名が刻印されています。本物のアメリカン・エキスプレスが会員向けキャンペーンメールに他人の氏名が入ったカード画像を使うことは100%ありません。おそらく攻撃者が自分（または関係者）名義で取得したカードの画像をそのまま流用したものと考えられます。精巧なデザインで本物らしく見せようとしながら、カードの名前欄という最も目立つ場所に「ZHU YAMIN」と刻んでしまうという、なかなか味のある凡ミスです。

従来のフィッシング詐欺メールの多くは「不正利用の疑い」「アカウントが停止されます」など、受信者を不安・焦りに陥れてリンクをクリックさせる手口をとっています。しかし今回のメールは真逆のアプローチです。

「50,000ポイントが無料でもらえる」「限定ゴルフクラブがプレゼントされる」というプラスの感情（期待・お得感）を刺激することで、受信者の警戒心を下げてリンクを踏ませようとします。「怖いから確認する」ではなく「お得だから登録する」という心理の違いが、見破りにくさにつながります。プラチナカード保有者＝高所得者というターゲットに合わせて、ゴルフという趣味・文化を組み合わせた高精度なターゲティングです。

今回の送信元ドメインは aericaxnexpres.com です。本物のアメリカン・エキスプレスのドメイン americanexpress.com と比べてみましょう。

「american」→「aericaxn」、「express」→「expres」と文字が入れ替わり・省略されています。メールの送信者欄をさっと見ただけでは気づきにくい精巧なタイポスクワット（typosquatting：有名ブランド名のスペルをわずかに変えた偽ドメインを使う手口）です。

■ 送信ルート解析

※Receivedヘッダーの全文には受信者側のサーバー情報が含まれるため掲載を控えています。

送信元IP：153.125.137.37（さくらインターネット）

送信ドメインIP：aericaxnexpres.com → 153.125.137.37（送信サーバーと同一IP）

ロケーション（推定）：日本・大阪（さくらインターネット石狩／大阪データセンター）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【偽装判定】：本物のアメリカン・エキスプレスからのメールは @americanexpress.com から送信されます。aericaxnexpres.com はAmexとまったく無関係のドメインです。

■ hs-tochigi.com 経由のリダイレクト

中間リダイレクトURL（伏せ字）：hxxp://hs-tochigi[.]com/video/amex.html

ドメイン：hs-tochigi.com → IP：219.94.162.65（逆引き：www1255.sakura.ne.jp）

プロバイダー：さくらインターネット（sakura.ne.jp）

ロケーション（推定）：日本・大阪（さくらインターネット大阪データセンター）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【サイトの状態】：スマートフォンからのアクセスで「ページを移動しています」と表示後、「移動できませんでした（Failed to fetch）」エラーが発生。調査時点でフィッシングサイトへの誘導は機能していない状態。

【国内完結型の特徴】：送信サーバー（153.125.x.x）・中間リダイレクター（219.94.x.x）ともにさくらインターネットのIPレンジに属しており、海外サーバーを一切経由しない国内完結型インフラを構成しています。国内IPからの送信はメールフィルターに検知されにくいという利点があり、意図的な選択と考えられます。

■ 注意点と対処法

1. 「お得な情報」こそ疑う：不安を煽るメールと同様、特典・キャンペーンを謳うメールも詐欺の常套手段です。メールの送信元アドレスを必ず確認してください。
2. 送信元ドメインを一文字ずつ確認：本物のAmexは @americanexpress.com から送信します。aericaxnexpres.com のようにわずかに違うドメインは偽物です。流し読みせず一文字ずつ確認する習慣をつけてください。
3. カード画像の名前を確認：今回のメールのカード画像には「ZHU YAMIN」という見知らぬ名前が入っています。本物のAmexが他人の名前入りカード画像を使うことはありません。
4. 公式アプリ・Webで直接確認：キャンペーンの存在が気になる場合は、メールのリンクからではなく、Amex公式アプリまたはブックマーク済みの公式サイトにログインして確認してください。
5. 公式注意喚起の参照：アメックス公式：フィッシング詐欺メールにご注意ください

■ 関連記事

当ブログではアメリカン・エキスプレスや各種クレジットカードを騙るフィッシングメールを多数取り上げています。

【緊急】アメックスを騙る「全国百貨店共通商品券1万円分を発送しました」フィッシングメール発覚

アメリカン・エキスプレス関連詐欺メール記事一覧

本レポートの結論

「プラチナ会員限定ゴルフ特典」を謳うこのフィッシングメールは、不安ではなく期待・欲求を刺激する新型の手口です。精巧なAmexデザイン・SPF/DKIM両Pass・国内インフラ完結という三重の偽装を施しながら、カード画像に「ZHU YAMIN」という名前を残してしまうという惜しい仕上がりでした。キャンペーンや特典を謳うメールも詐欺の可能性があります。送信元ドメインを一文字ずつ確認し、怪しければ公式アプリから直接確認する習慣が身を守ります。この記事を家族のLINEグループで共有し、「お得なAmexメールも詐欺があるよ」と一声かけてあげてください。