【解析】AMEX「一時的なカード制限」本人確認メールの正体 ― HTMLコード丸見えの雑さと英国発ホスティングの正体

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★☆☆ (3/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam] 【AMEX】一時的なカード制限に関する本人確認のご連絡
送信者表示名:AMEX
送信元アドレス:Amex-check_91b9a@back.zhcn-sport-leisu.com
受信日時:2026年7月6日(月)06:39
※メールヘッダー詳細は個人情報保護のため非掲載
ご覧の通り、これはAMEXを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールの画面です。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。文中に見える不自然な記号列も、実際にそのまま表示されていたものです。
", "Hiragino Kaku Gothic ProN", sans-serif; line-height:1.5;">
【AMERICAN EXPRESS】
カードご利用状況のご確認について
", "Hiragino Kaku Gothic ProN", sans-serif;"> 平素よりアメリカン・エキスプレスカードをご利用いただき、誠にありがとうございます。
", "Hiragino Kaku Gothic ProN", sans-serif;"> 近年第三者による不正利用が増加している背景から、当社では24時間365日稼働する不正利用監視システムにより、カード取引の監視を実施しております。
", "Hiragino Kaku Gothic ProN", sans-serif;"> ご本人様のご利用であることを確認させていただきたいお取引がございましたため、誠に恐れ入りますが、安全対策のため一時的にカードのご利用を制限させていただき、本メールを送信いたしました。
", "Hiragino Kaku Gothic ProN", sans-serif;"> 下記リンクより本人確認手続きにご協力をお願いいたします。
期限までに確認手続きを完了されない場合、カード利用制限が継続される可能性がございますので、あらかじめご了承ください。
", "Hiragino Kaku Gothic ProN", sans-serif;"> ■ご利用確認手続きはこちら(リンク先:hxxps://p634gb[.]info/5t4nXZ) ", "Hiragino Kaku Gothic ProN", sans-serif;"> 一時的な制限でご不便とご不安をおかけし、大変申し訳ございません。何卒ご理解賜りますようお願いいたします。 ", "Hiragino Kaku Gothic ProN", sans-serif;"> 本メールは自動送信専用アドレスより配信しております。返信をいただいても対応できかねますので、あらかじめご了承ください。 ──────────────────────── 発行者:アメリカン・エキスプレス・インターナショナル, Inc. 本文の無断転載・再配布を固く禁じます。 Copyright (c) 2026 American Express International, Inc. All Rights Reserved. ※本通知の配信停止をご希望の場合は、カスタマーサポートまでご連絡ください。 ※本文中に何度も現れる", "Hiragino Kaku Gothic ProN", sans-serif;">という文字列は、本来なら画面に表示されないはずのCSSのfont-family指定がそのまま漏れ出てしまったものです。偽サイト側は後述の通りかなり作り込まれているのに、肝心のメール本文のコードが崩壊しているという、力の入れどころがちぐはぐな一例です(笑)。
💡ここで!
Cloudflareの「人間確認」画面とは
「接続を確認しています」という画面は、本来はロボット(自動巡回プログラム)による不正アクセスを防ぐための正規の仕組みです。しかし近年は、フィッシングサイト側がこの仕組みを悪用し、セキュリティ会社やAIによる自動解析・自動ブロックを一時的にすり抜けるための「隠れ蓑」として使うケースが増えています。この画面が出たからといって、その先のサイトが安全とは限りません。
※リンク先へアクセスすると、まずこの画面が表示されます。
■ 送信ルート及び偽装判定
【偽装判定】:
正規のAMEXからのメールは「americanexpress.com」等の公式ドメインから送信されます。本メールの送信ドメイン「zhcn-sport-leisu.com」はAMEXとは一切関係のない詐称ドメインです。
実際の接続元IPアドレス(Received-SPFのclient-ip):38.60.196.43
ホスト名:Kaopu Cloud(プロバイダ:Light Node Limited/AS154177)
ロケーション:英国 イングランド Greater London シティ・オブ・ロンドン
脅威レベル:低
詳細:ip-sc.netで確認する/
マップ:【位置情報を確認する】
【HELO詐称について】:
接続時に名乗られたHELO名は日本国内のISPを思わせる文字列でしたが、実際の接続元は上記の通り英国のホスティングサーバーでした。HELO名は接続する側が自由に名乗れる値であり、実態と一致するとは限りません。今回のように、無関係な文字列を名乗って調査を混乱させようとする手口が見られます。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://p634gb[.]info/5t4nXZ(一部伏字)
リンクドメイン:p634gb.info(Cloudflareのプロキシ配下)
解決先IPアドレス:172.67.137.254(Cloudflareのエッジサーバー。実際にサイトを運用しているサーバーの所在地はCloudflareの背後に隠れており特定できません)
【サイトの状態】:アクセスするとまずCloudflareの人間確認画面が表示され、通過すると本物そっくりの偽AMEXログイン画面(ユーザーID・パスワード入力欄付き)が表示されます。ページ下部のフッターデザインまで含めて精巧に作られています。
※Cloudflareの確認を通過すると表示される、精巧な偽ログイン画面です。
■ 注意点と対処法
- リンクからユーザーID・パスワードを絶対に入力しないでください。Cloudflareの確認画面が挟まっていても、その先が安全とは限りません。
- 送信元アドレスを確認:AMEXの正規メールは公式ドメイン(@americanexpress.com等)からのみ送信されます。
- 利用状況の確認は公式アプリ・公式サイトから:メール中のリンクではなく、いつも使っている公式アプリやブックマークからアクセスしてください。
- 公式注意喚起の参照:アメリカン・エキスプレス公式「フィッシング詐欺にご注意」(正規のメールドメイン一覧や、不審メールの転送先(spoof@americanexpress.jp)が案内されています)
本レポートの結論
AMEXを騙り「一時的なカード制限」への本人確認を迫るフィッシングメールでした。メール本文はHTMLコードがそのまま見えてしまう粗さがある一方、誘導先はCloudflareの確認画面を挟んだ精巧な偽ログイン画面という、粗さと作り込みが同居する構成でした。送信元は英国のホスティングサーバーで、HELO名には無関係な文字列が詐称されていました。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
















