【実録】アメックス「ポイント有効期限のお知らせ」は詐欺！さくらインターネット発・SPF偽装で送られた巧妙な手口を解析

2026年6月29日

【実録】アメックス偽「ポイント有効期限のお知らせ」の正体：さくらインターネット発・SPF偽装の巧妙な手口を暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「American Express（アメリカン・エキスプレス）」を名乗り、「メンバーシップ・リワードポイント有効期限のお知らせ」として67,100ポイントの失効を告げる詐欺メールが確認されました。実はアメックス公式サイトでは、こうした「ポイント有効期限切れ」を告げるメール自体が送信されていないと明確に注意喚起されています。Heartland-Labの調査により、本メールはSPF認証を「Pass」させる巧妙な偽装が施され、送信元は大阪のさくらインターネットの法人向け回線から発信されていることが判明しました。誘導先のフィッシングサイトはCloudflareの背後に隠されています。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★☆☆ (3/5)
偽装工作精度	★★★★☆ (4/5)

■ メールヘッダー解析（送信者情報）

件名：[spam] 【重要】保有ポイントの失効期限が間近です。ご利用をお忘れなく

送信者名：American Express

送信元アドレス：info@caimusi.top

真の送信元IP：153.120.167.143（日本・大阪府／さくらインターネット）

受信日時：2026年6月28日（日）20:09頃（JST）

SPF認証：Pass（authorized） ※要注意

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、このメールは公式American Expressを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

AMERICAN EXPRESS

メンバーシップ・リワード
ポイント有効期限のお知らせ

いつもアメリカン・エキスプレスをご利用いただき，誠にありがとうございます。

お客様が保有されているメンバーシップ・リワードのポイントに有効期限が近づいておりますので，お知らせいたします。

────────────────────
保有ポイント残高
67,100 ポイント

有効期限
2026年6月28日
────────────────────

有効期限を過ぎますと，ポイントは失効し，再取得することができません。失効前のご利用をお勧めいたします。

【ポイントを確認する】

お問い合わせ
カード裏面に記載のカスタマーサービスまでお問い合わせください。
電話：0120-020120(24時間年中無休)

※本メールは，ポイントの失効に関する重要なご案内として，メール配信を希望されていない会員様にもお送りしている場合がございます。
今後このようなお知らせメールの配信停止をご希望の場合は，お手数ですが下記のリンクよりお手続きください。

アメックス公式サイトは「ポイント有効期限切れ」のメールは送信していないと明言しています。「メンバーシップ・リワードのポイントが失効する」という通知自体が、本メールの正体を見破る決定的な手がかりです。

■ 送信ルート及び偽装判定

送信元ドメインの正体：
送信元アドレス「info@caimusi.top」は、American Expressとは一切関係のない、攻撃者自身が取得したとみられるドメインです。「.top」は取得費用が安く、フィッシング目的での悪用が多いドメインとして知られています。

SPF Pass の意味：
本メールはSPF認証（送信元サーバーが正規に登録されているかを確認する仕組み）の結果が「Pass（合格）」となっています。これは攻撃者が「caimusi.top」というドメインを自分で取得・設定し、正規の送信インフラとして構築したためです。「認証に合格しているから本物」とは限りません。送信元アドレスの「@以降」がAmerican Express公式ドメインかどうかを確認することが重要です。

【偽装判定】：
正規のAmerican Expressからのメールは「americanexpress.com」「americanexpress.co.jp」などの公式ドメインから送信されます。「caimusi.top」はこれらとは全く異なります。

発信元ロケーション解析：
真の送信元IPアドレス「153.120.167.143」を調査した結果、大阪府のさくらインターネット（法人向け回線）から送信されたことが判明しました。
詳細：【ip-sc.netで確認する】
Googleマップ：【位置情報を確認する】

※さくらインターネットは国内大手のホスティング事業者であり、同社のサービス自体は正規のものです。攻撃者がこうした正規のレンタルサーバーサービスを契約し、フィッシングメールの送信基盤として悪用しているとみられます。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://www[.]adamwymore[.]com/aoe/login

リンクドメイン：adamwymore.com（American Expressとは無関係の、見覚えのない海外ドメイン）

サイトサーバーIP：104.21.14.98 ／ 172.67.158.156（いずれもCloudflare）

ロケーション（Cloudflare代表地点）：カナダ・オンタリオ州トロント
詳細：【104.21.14.98をip-sc.netで確認する】／【172.67.158.156をip-sc.netで確認する】
Googleマップ：【Googleマップで表示】

【サイトの状態】：セキュリティソフト「ウイルスバスタークラウド」が、このサイトを「安全ではない可能性があります」「脅威の種類：フィッシング」として既にブロック対象としています。警告を無視してアクセスすると、本物そっくりのAmerican Expressログイン画面が表示され、ユーザーID・パスワードの入力を求められます。

※解析データに基づき、本メールはCloudflareのインフラを経由してオリジンサーバーの所在を隠す構成になっていることが確認されています。ロケーション情報は調査時点（2026年6月）のものであり、日々変化する可能性があります。

※実際に届いたメールの画面です。67,100ポイントという具体的な数字で本物らしさを演出しています。

※セキュリティソフトが「安全ではない可能性があります」と警告するブロック画面です。この画面が出たら絶対に先へ進まないでください。

※警告を無視して進むと表示される、本物そっくりの偽ログイン画面です。絶対にユーザーID・パスワードを入力しないでください。

■ 注意点と対処法

「ポイント有効期限切れ」メール自体が詐欺の証拠：アメックス公式は、こうした内容のメールを送信していないと明言しています。
セキュリティソフトの警告は必ず守る：ウイルスバスターなどが「安全ではない可能性があります」と警告したら、絶対に先へ進まないでください。
送信元アドレスの「@以降」を確認する：正規のAmerican Expressからのメールは公式ドメインから届きます。「caimusi.top」のような見慣れないドメインは即削除してください。
SPF認証のPassを過信しない：「認証済み」の表示があっても、攻撃者が自分でドメインを取得・設定している場合があります。
ポイントの確認は公式アプリかブックマークから：メール内のリンクではなく、必ずご自身でブックマークした公式サイトか公式アプリからアクセスしてください。
公式注意喚起の参照：アメックスを騙った迷惑メール（フィッシング詐欺）にご注意ください
万が一情報を入力してしまった場合：カード裏面記載の紛失・盗難受付番号（0120-020-120）へ即時連絡し、カードの利用停止・再発行を依頼してください。

本レポートの結論

「メンバーシップ・リワードのポイント有効期限が間近」と通知する本メールは、SPF認証をPassさせる巧妙な偽装で送られたAmerican Expressの完全な偽物です。送信元には大阪のさくらインターネットの法人向け回線が悪用され、誘導先のフィッシングサイトはCloudflareの裏に隠されていました。アメックス公式が「ポイント有効期限切れメールは送信していない」と明言している通り、この種のメールはすべて詐欺と判断して問題ありません。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

LINEで共有する

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net