【実録】アメックス「阪神 大分店」不正利用通知は詐欺!さくらインターネット発、カナダ・トロント経由の偽ログインサイトを解析

HL-META: date=2026-07-02 | brand=American Express(アメックス) | sender_geo=日本・東京都千代田区(さくらインターネット) | site_geo=カナダ・オンタリオ州トロント(Cloudflare) | spf=pass | dkim=不明 | cloaking=no

【実録】アメックス「阪神 大分店」不正利用通知は詐欺!さくらインターネット発、カナダ・トロント経由の偽ログインサイトを解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

今回ご紹介するのは「American Express」を騙る「阪神 大分店でのご利用確認をお願いします」というメールです。「¥64,400」という具体的な金額と店舗名を提示することで、受信者に強い焦りを抱かせる典型的な「取引確認型」フィッシングです。送信元は日本国内のさくらインターネット、誘導先はカナダ・トロントのCloudflareという、複数の国をまたいだインフラが使われていました。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★★★ (5/5)
偽装工作精度 ★★★★☆ (4/5)

■ メールヘッダー解析(送信者情報)

件名:[spam]【重要】アメックスセキュリティ通知:「阪神 大分店」でのご利用確認をお願いします

送信者表示名:“American Express”

送信元アドレス:info@asthalegalcons.com

送信元IP解析:133.125.90.160(日本・東京都千代田区/さくらインターネット)

SPF判定:Pass(送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、アメックスの正規メールであることの証明にはなりません)

受信日時:2026年07月02日(木)9時04分頃

ご覧の通り、このメールはアメックスを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※実際に届いたメールの画面です。アメックスの公式デザインを模しています。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。


AMERICAN EXPRESS

⚠ 不正利用の疑いが検出されました

アメリカン・エキスプレス会員様

お客様のカードアカウントにおいて、通常のご利用パターンとは異なる取引が検出されました。アカウントの安全性を保護するため、お客様ご本人様のご利用かどうか、至急ご確認をお願いいたします。

検出されたご利用内容
ご利用日時:2026年07月01日 18:22
ご利用店名:阪神 大分店
ご利用金額:¥64,400

上記のご利用にお心当たりはございますか?

以下のボタンよりアメリカン・エキスプレス・オンラインにログインし、取引の承認または否認の手続きを行ってください。確認が取れない場合、カードのご利用が制限される場合がございます。

[今すぐ取引を確認する](リンク先:hxxps://www.cessasiacoach[.]com/aoe/login)

【セキュリティに関するお知らせ】
アメリカン・エキスプレスがパスワードやカード番号(CVVなど)を入力するよう求めるメールを送ることはありません。心当たりのないご利用の場合は、記載のリンクをクリックせず、アメックス・セキュリティセンターまで直接お電話にてご連絡ください。

※本メールは自動送信されていますので、返信はご遠慮ください。
※ご不明な点がございましたら、カード裏面に記載の番号までお問い合わせください。

配信停止(退訂)をご希望の場合は、こちらのページより手続きを行ってください。

Copyright American Express Company.
All rights reserved.

メール本文には「アメリカン・エキスプレスがパスワードやカード番号を入力するよう求めるメールを送ることはありません」という、本物さながらの注意書きまで用意されています。まさにその直後のボタンでパスワード入力画面に誘導しているという、盛大な自己矛盾です(笑)。また「配信停止(退訂)」という表記も、日本語として不自然な言い回しで、海外製テンプレートを流用した痕跡がうかがえます。

💡ここで!

「取引確認型」フィッシングとは

「口座が制限されます」といった漠然とした警告ではなく、「〇〇店でのご利用〇〇円」のように具体的な店舗名・金額・日時を提示するのが「取引確認型」と呼ばれる手口です。実在しそうな店名と、高すぎず不自然でもない金額を組み合わせることで、「もしかして本当に不正利用されたのかも」と受信者に思わせ、冷静な判断力を奪って偽サイトへのアクセスを急がせる狙いがあります。今回の「阪神 大分店」「¥64,400」もこのタイプの典型例です。

■ 送信ルート及び偽装判定

送信元の正体:送信者表示名は「American Express」となっていますが、実際のメールアドレスのドメイン(@より後ろ)は「asthalegalcons.com」。アメックスが利用する正規ドメインは「americanexpress.com」であり、このドメインは一切関係がありません。

送信元サーバーの解析:メールヘッダーの「Received-SPF」に記載された実際の送信元IPアドレスは133.125.90.160。このIPアドレスは日本・東京都千代田区に割り当てられた、さくらインターネット(法人向けホスティングサービス)のサーバーでした。送信元ドメイン「asthalegalcons.com」自体もこの同じIPアドレスに割り当てられており、攻撃者は国内のレンタルサーバーを使って自前のメール送信基盤を構築していることが分かります。

※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。

送信元IPアドレスの詳細情報(ip-sc.net)

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://www.cessasiacoach[.]com/aoe/login

リンクドメイン:cessasiacoach.com

サイトサーバーIP:172.67.191.118(Cloudflare, Inc./カナダ・オンタリオ州トロント)

誘導先サーバーIPの詳細情報(ip-sc.net)

【サイトの状態】:リンクを開くと、まず盾アイコンをタップさせる偽の「セキュリティ確認」画面が表示されます。これを突破しようとすると、ウイルスバスター クラウドが「脅威の種類:不正プログラム配信」として即座に警告・ブロック。それでも先に進むと、アメリカン・エキスプレスの公式サイトを忠実に再現した偽の「マイアカウントにログイン」画面が表示され、ユーザーID・パスワードの入力を求められます。

■ 注意点と対処法

  1. URLをクリックしない:具体的な金額や店舗名が書かれていても、リンク先は情報を盗むための偽サイトです。
  2. ユーザーID・パスワードを入力しない:アメックスがメールでこれらの入力を求めることはありません。
  3. 公式サイトを確認:必ず公式アプリまたはブックマークからアクセスしてください。アメックスが利用する正規ドメインは「americanexpress.com」のみです。
  4. 身に覚えのない請求が心配な場合:メール内のリンクではなく、カード裏面に記載された電話番号、または公式サイトから直接お問い合わせください。
  5. 公式注意喚起の参照:American Express公式「アメックスを騙った迷惑メール(フィッシング詐欺)にご注意ください」

本レポートの結論

「阪神 大分店でのご利用確認」という名目で届く今回のメールは、アメリカン・エキスプレスを名乗る巧妙な偽メールでした。具体的な金額と店舗名で焦りを誘う「取引確認型」の手口で、送信元は日本国内のさくらインターネット、誘導先はカナダ・トロントのCloudflareという、国境をまたいだインフラが使われています。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る