【警告】American Express「センチュリオン・ウェアラブル会員アップグレード」は詐欺:さくらインターネット国内サーバーと大阪の医療機関ドメイン盗用の手口を解析

HL-META: date=2026-07-03 | brand=American Express(アメリカン・エキスプレス) | sender_geo=日本・東京都千代田区(さくらインターネット) | site_geo=不明(Cloudflareプロキシ配下のため特定不可) | spf=softfail | dkim=不明 | cloaking=不明

【警告】American Express「センチュリオン・ウェアラブル会員アップグレード」は詐欺:国内サーバーと医療機関ドメイン盗用の手口を解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

今回ご紹介するのは「American Express」の最上位カード「センチュリオン」を騙る招待メールです。以前にも似た招待状型のメールをご紹介したことがありますが、今回は「ウェアラブル会員特典」という新しい切り口で届きました。調査を進めると、これまで海外発が多かった当ラボの観測の中では珍しく、国内の正規レンタルサーバーが踏み台にされていることが判明しました。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★☆☆ (3/5)
偽装工作精度 ★★★★★ (5/5)

メールのデザインは黒地に金文字という高級感を演出した、かなり作り込まれたものでした。誘導先のログイン画面も本物そっくりです。順を追って見ていきましょう。

※実際に届いたメールの画面です。黒地に金文字でセンチュリオンカードらしい高級感を演出しています。

■ メールヘッダー解析(送信者情報)

件名:[spam] 重要:センチュリオン・ウェアラブル会員へのアップグレード・アクティベーションのご案内

送信者名:American Express

送信元アドレス:info@radio-gazo.jp

ドメインIP解析:133.242.230.28(さくらインターネット株式会社、東京都千代田区)

受信日時:2026年07月03日 08時22分頃

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、このメールはAmerican Expressを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

💡ここで!

「SPF:Softfail」とは

送信元のドメインを管理している側が「このサーバーからのメール送信は推奨しませんが、一応届けてもよい」というあいまいな設定にしていることを示す認証結果です。完全に拒否する「Fail」とは違い、メールサーバーによっては受信トレイにそのまま届いてしまいます。今回のメールも、この緩い設定を突かれて届いたと考えられます。

■ 送信ルート及び偽装判定

Receivedヘッダー解析(サーバー通過証明):
当ラボの受信サーバーに直接着信したのは、国内のさくらインターネット上のサーバー(133.242.230.28、ホスト名:mail.jp-connect-ne.top)からでした。近年は海外のクラウド基盤からの送信が主流でしたが、今回は珍しく国内の正規レンタルサーバーが踏み台として悪用されているとみられます。

【偽装判定】:
正規のAmerican Expressからのメールは「americanexpress.com」等の公式ドメインから送信されます。本メールの送信ドメイン「radio-gazo.jp」を調べたところ、American Expressとは無関係の実在する某医療機関(画像診断・人間ドック関連)の正規ドメインでした。無関係の第三者ドメインが盗用されており、公式サーバーとは一切関係がありません。SPF設定が緩め(Softfail)だったことが、盗用を許した一因と考えられます。

発信元ロケーション解析:
日本・東京都千代田区(さくらインターネット)
Googleマップ:【位置情報を確認する】

高級感あふれる招待状の中身が、実は大阪の医療機関から盗んだ「送信権限」だったとは、なんとも皮肉な話です(笑)。カードの格式とはうらはらに、手口の中身は使い回しの盗用インフラでした。

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://www.wintersolsticerun[.]com/aoe/login

リンクドメイン:www.wintersolsticerun.com

サイトサーバーIP:Cloudflareのプロキシ配下(172.67.198.133)のため、真の設置場所は特定できませんでした。

【サイトの状態】:American Express公式ログイン画面を精巧に模倣した偽ページが表示されます。ドメイン名自体はAmerican Expressと無関係の英単語(冬至ランニングイベントを意味する語)で構成されており、無関係の既存サイトが乗っ取られたか、サブディレクトリを勝手に間借りされている可能性があります。ユーザーIDとパスワードを入力するとアカウント情報が攻撃者に渡ってしまいます。

※「ACCEPT INVITATION」ボタンを押すとこの画面が表示されます。公式サイトそっくりに作られています。

※解析データに基づき、攻撃者は正規サイトの間借りやドメイン盗用を組み合わせ、短期間でインフラを使い捨てていることが確認されています。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。


AMERICAN EXPRESS

PRIVATE INVITATION

アメリカン・エキスプレス®・カード会員様

選ばれた方に、究極の象徴を。

平素は格別なるお引き立てを賜り、厚く御礼申し上げます。

この度、会員様の揺るぎないご信頼への感謝を込めまして、センチュリオン・カード会員様だけの特別な「入会ベネフィット」をご用意いたしました。

■ センチュリオン・ウェアラブル(会員専用リング)
職人の手作業により仕上げられた、決済機能付きオリジナル・セラミックリングを贈呈いたします。
※カード発行後、専任コンシェルジュよりサイズ計測キットの送付またはフィッティングのご案内(14日以内)を差し上げます。

■ 期間限定・ウェルカムポイント
本招待を通じてご入会いただいた会員様へ、50,000メンバーシップ・リワード®・ポイントを特別に進呈いたします。

【 ACCEPT INVITATION 】(=フィッシングサイトへのリンク。実際にはクリックできないようになっています)

RSVP CODE: CNT-8800-2026-PRIV

※リングの製作にはサイズ確定後、約4〜6週間のお時間をいただきます。
※本メールは完全招待制であり、第三者への転送や共有はお控えいただきます。
※審査によりご希望に沿えない場合もございます。入会条件および年会費の詳細はリンク先をご確認ください。

■ 注意点と対処法

  1. 「ACCEPT INVITATION」ボタンは絶対にクリックしないでください。リンク先はID・パスワードを盗むための精巧な偽サイトです。
  2. カードの案内を確認したい場合:メール内のリンクからではなく、必ずAmerican Express公式サイトまたは公式アプリから直接ログインしてご確認ください。
  3. 「センチュリオン」「特別招待」といった高級感のある言葉に惑わされないでください。本物のセンチュリオンカードの案内がメールで一方的に届くことはありません。
  4. 公式注意喚起の参照:American Express公式「フィッシング詐欺にご注意」ページ

本レポートの結論

「センチュリオン・ウェアラブル会員へのアップグレード・アクティベーション」を騙るメールは、American Expressの最上位カードの権威を利用した詐欺メールです。送信には国内の正規レンタルサーバーと、無関係の医療機関の正規ドメインが盗用されており、誘導先も本物そっくりの偽ログイン画面でした。「選ばれた方だけの特別招待」という甘い言葉に判断力を鈍らされないよう注意してください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。

調査日:2026年7月3日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る