『詐欺メール』アメリカン・エキスプレスから「3,000ポイント付与完了|有効期限をご確認ください」と、来た件

『詐欺メール』アメリカン・エキスプレスから「3,000ポイント付与完了|有効期限をご確認ください」と、来た件

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

アメリカン・エキスプレスを装い、「3,000ポイント付与完了」「有効期限をご確認ください」といった件名で不安を煽るメールが、件名を少しずつ変えながら立て続けに届いています。今回はその代表的な1通を詳しく解析します。送信元にはGoogleの正規クラウドサービスが悪用されており、誘導先の偽サイトにはアクセス元を見分けて表示を切り替える巧妙な仕掛けが確認されました。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★☆☆ (3/5)
偽装工作精度 ★★★★★ (5/5)

■ メールヘッダー解析(送信者情報)

件名:[spam] 【American Express】3,000ポイント付与完了|有効期限をご確認ください

差出人表示:“アメリカン・エキスプレス”(表示のみ、実際のAMEXとは無関係)

送信元アドレス:hohmu@thebagelboyclub.com(AMEXとは無関係の使い捨てドメイン)

送信元IP(Received-SPF解析):35.243.104.63(SPF認証:None=正規の認証記録なし)

IPアドレスの国:日本(Googleクラウドの東京リージョン上の仮想サーバー)

※メールヘッダー詳細(宛先・Message-ID等)は個人情報保護のため非掲載

実際に届いたメール本文の表示画面

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。


お客様にとって、一番頼りになる存在でありたい。

アメリカン・エキスプレスのサービスをご利用いただき、誠にありがとうございます。

3000アメックスのポイントを受け取る

ポイントの有効期限の確認を
マイアカウントの「ポイント有効期限を確認する」から確認できます

ポイントの有効期限は最長3年です。ポイントを獲得したプログラム年度(1年目)から
起算して、3年目のプログラム年度の終了日を過ぎると、1年目で獲得したポイントが
全て失効します。有効期限が過ぎ失効したポイントの復元は承ることができません。
あらかじめご了承ください。ポイント有効期限は、一度交換すると無期限になります。

ポイント有効期限の確認と交換を忘れずに

プログラム年度の終了日は各カード会員様で異なります。ログイン後、確認できます。

[詳細を確認する]

※他にも「3,000ポイントをお受け取りいただけます」「3,000ポイント到着のお知らせ」「3,000ポイント受取期限(〇月〇日まで)」など、件名だけを変えたほぼ同内容のメールが短期間に立て続けに届いており、一斉配信の波状攻撃であることが確認されています。

■ 送信ルート及び偽装判定

【偽装判定】:
本物のアメリカン・エキスプレスからのメールが「thebagelboyclub.com」という無関係などこかのドメインから送信されることはありません。差出人の表示名だけを「アメリカン・エキスプレス」に偽装した典型的なパターンです。

送信インフラの正体:
Received-SPFの記録から、送信元IP(35.243.104.63)の逆引きホスト名が「googleusercontent.com」であることが分かりました。これはGoogleクラウド(Google Compute Engine:Googleが提供するレンタル仮想サーバーサービス)上に自分で立てた仮想サーバーから送信されていることを示しています。大手クラウド事業者のIPアドレスは信頼度が高いと判定されがちで、迷惑メールフィルターをすり抜けやすくなるため、攻撃者がよく悪用する手口です。

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://bberdegullionsluee.dikeroom[.]com/

リンクドメイン:bberdegullionsluee.dikeroom.com

サイトサーバーIP(DNS解決結果):43.165.185.186

ロケーション:日本

スマートフォンからアクセスした場合に表示される偽サイト画面

【サイトの状態・クローキング(閲覧環境によって表示を切り替える偽装手口)】:
同じリンクでも、パソコンからアクセスするとYouTubeに転送され、スマートフォンからアクセスすると本物そっくりの偽ログインページが表示されるという「クローキング」と呼ばれる手口が確認されました。セキュリティ調査員やbotによる自動巡回はパソコン・サーバー経由が多いため、これを察知して無害なYouTubeを見せることで検知や通報を逃れ、実際に狙う一般利用者(スマートフォン利用者)にだけ偽サイトを見せる仕組みです。

※この手口は近年の大手ブランドなりすましフィッシングで増えている傾向があり、通報や調査を難しくするための悪質な工夫です。

■ 注意点と対処法

  1. URLをクリックしない:リンク先は情報を盗むための精巧な偽サイトです。パソコンで確認して無害に見えても、スマートフォンでは危険な内容が表示される場合があります。
  2. 公式サイトやアプリから確認:ポイントの有効期限は、必ず公式アプリまたはブックマークしたマイアカウントページから確認してください。
  3. 件名のバリエーションに惑わされない:件名を変えて何度も送りつけてくる手口です。1通見破れれば、似た件名のメールもすべて疑ってください。
  4. 公式注意喚起の参照:アメリカン・エキスプレス公式「フィッシング詐欺にご注意ください」

本レポートの結論

アメリカン・エキスプレスを騙り、「3,000ポイント」を餌に有効期限への不安を煽るフィッシングメールでした。送信にはGoogleの正規クラウドサービスが悪用され、誘導先の偽サイトはパソコンとスマートフォンで表示を切り替える巧妙な回避策まで備えていました。同じ手口の件名バリエーションが複数確認されているため、1通だけでなく類似の件名にも要注意です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る