【American Express】3,000ポイント受取手続きのお知らせは詐欺!東京リージョンのGCPから送信、PCはYouTubeへ逃がすクローキングも

このメールはアメリカン・エキスプレス公式を装った真っ赤な偽物です。3,000ポイントは存在しません。この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 詐欺メール本文
件名:[spam] 【American Express】3,000ポイント受取手続きのお知らせ / 送信者:”アメリカン・エキスプレス” <login@(実在の第三者企業ドメイン)>
お客様にとって、一番頼りになる存在でありたい。 アメリカン・エキスプレスのサービスをご利用いただき、誠にありがとうございます。 【3,000アメックスのポイントを受け取る】 ご受取期限:2026年7月10日 23:59まで 【ポイントを受け取る】 ■ポイントの有効期限の確認を マイアカウントの「ポイント有効期限を確認する」から確認できます ポイントの有効期限は最長3年です。ポイントを獲得したプログラム年度(1年目)から 起算して、3年目のプログラム年度の終了日を過ぎると、1年目で獲得したポイントが 全て失効します。有効期限が過ぎて失効したポイントの復元は承ることができません。 あらかじめご了承ください。ポイント有効期限は、一度交換すると無期限になります。 ■ポイント有効期限の確認と交換を忘れずに プログラム年度の終了日は各カード会員様で異なります。ログイン後、確認できます。 注意事項 ・配信アドレスの変更は、マイアカウントにログイン後、"ご登録情報の変更"よりお手続きください。 ・本Eメールは送信専用Eメールアドレスから配信されています。ご返信いただいてもお応えいたしかねますのでご了承ください。 ・顧客プライバシーにつきましては、こちらをクリックしてご覧いただけます。 【発行】アメリカン・エキスプレス・インターナショナル, Inc. 東京都港区虎ノ門4丁目1番1号 americanexpress.co.jp Copyright © American Express International, Inc. All Rights Reserved.
届いたAmerican Express偽装詐欺メールの全体像。本家のデザインをかなり忠実に再現している
本文はよくできていますが、メールのプレーンテキスト版を確認すると、末尾に本来は表示されないはずの謎の文字列が残っていました。
プレーンテキスト版の末尾。本来は表示されないはずの英数字の羅列が残っている
おそらく詐欺メール自動生成システムのテンプレート変数か、キャンペーン管理用のIDがそのまま出力されてしまった痕跡です。HTML版では隠れていても、プレーンテキスト版に切り替えると化けの皮が剥がれる典型例と言えます。
■ 送信ルート及び偽装判定
■ メールヘッダー解析(送信者情報)
※メールヘッダー詳細は個人情報保護のため非掲載。送信元IPはReceived-SPF: client-ip=の値から特定しています。
送信元IP:34.146.50.171(逆引き:googleusercontent.com)
HELO:Google Cloud Platformの内部ホスト名で、リージョン名としてasia-northeast1(東京)が確認できました。
SPF結果:Permerror(Void lookup limit of 2 exceeded)——送信元ドメインのSPF設定に不備があり、認証が正しく機能していないエラーです。
envelope-from:実在する外国為替関連企業のドメインが使われていました。攻撃者が意図的にこの企業になりすましたというより、詐欺メール配信システムの設定に実在の第三者ドメインが誤って紛れ込んだ(誤爆)可能性が高いパターンです。このドメイン自体は現在DNS解決できず、実際の運用には使われていません。
【偽装判定】:
アメリカン・エキスプレスの公式メールは同社の正規ドメインから送信されます。本メールはGoogle Cloud Platform上に用意された送信元から発信されており、公式サーバーとは一切関係がありません。
💡ここで! 専門用語を解説
SPF(送信ドメイン認証)/Permerror:メールが正しいサーバーから送られたかを確認する仕組みがSPFです。「Permerror」はその設定自体に不備がありチェックが正常に行えなかった、というエラー状態を指します。
GCP(Google Cloud Platform):Googleが提供するクラウドサービス。本来は正規の企業も広く利用する信頼性の高い基盤ですが、攻撃者が一時的なサーバーとして悪用するケースもあります。
クローキング:アクセスしてきた端末(パソコン/スマートフォン)や地域を判別し、見せる内容を意図的に変える手口。調査ツールや検索エンジンから偽サイトの中身を隠すために使われます。
■ フィッシングサイト詳細解析(PC/スマホで異なるクローキング)
■ アクセス端末による表示の違い
PCからアクセスした場合:詐欺サイトではなくYouTubeへ強制的にリダイレクトされます。これは検索エンジンや調査ツール(多くがPC環境からアクセスする)の目を欺くための典型的なクローキング手口です。
スマートフォンからアクセスした場合:
hxxps://undergraduatestudss[.]1008052[.]com/#/(伏字)
という着地先に、アメリカン・エキスプレス公式サイトを模したポイント受取ページが表示されます。
スマートフォンでアクセスした際に表示される偽の「メンバーシップ・リワード」ポイント受取ページ
この着地先サーバーのIPアドレスをGeoLite2データベースで調べたところ日本と判定されましたが、この帯域はTencent Cloud系の可能性もあり、断定はできません。
※解析データに基づき、この着地先ドメインは短期間で使い捨てにされる可能性が高いと考えられます。
■ 注意点と対処法
- ポイントの有効期限切れ通知にご注意:アメリカン・エキスプレスは有効期限切れのお知らせメールを送信していません。届いたら閲覧せずに削除してください。
- URLをクリックしない:PC・スマホどちらでアクセスしても、リンク先は公式とは無関係です。
- 公式アプリ・サイトで確認:ポイントの状況は必ず公式アプリまたはブックマークからログインして確認してください。
- 二段階認証の設定を:万が一に備え、アカウントの二段階認証を設定しておきましょう。
- 公式の注意喚起を参照:アメックスを騙った迷惑メール(フィッシング詐欺)にご注意ください(アメリカン・エキスプレス公式)
本レポートの結論
アメリカン・エキスプレスを騙る「3,000ポイント受取手続きのお知らせ」は、Google Cloud Platform東京リージョンから送信され、PC・スマホでアクセス先を切り替えるクローキングまで実装された、手の込んだ詐欺メールでした。デザインの完成度が高いだけに、身近な人ほど信じてしまう危険があります。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
















