【AMEX】「不正取引防止に伴うカード情報確認のご案内」は詐欺——香港VPS+ロンドン発、日本の家庭回線を偽装したHELO名の正体

HL-META: date=2026-07-11 | brand=AMEX | theme=Charcoal | geo=HongKongVPS(London,UK) | auth=SPF-Softfail

【調査報告】最新の詐欺メール解析レポート

今回ご紹介するのは「アメリカン・エキスプレス(AMEX)」を騙るメールです。件名は「[spam] 不正取引防止に伴うカード情報確認のご案内」。24時間365日稼働の不正利用監視システムを装い、本人確認手続きへ誘導する本人確認系フィッシングです。

解析の結果、送信元は香港の事業者が運用するロンドンのVPSサーバーで、送信ヘッダー上のホスト名だけ日本の家庭用回線を装う偽装が施されていました。誘導先はCloudflare Turnstile(人間確認)を通過させたうえで、精巧なAMEX偽ログイン画面を表示する多段構成です。

⚠️ このメールはアメリカン・エキスプレスを騙った偽物(フィッシングメール)です。メール内のリンクは絶対にクリックしないでください。

届いた詐欺メールの内容

実際に届いたメールの本文を、可能な限り忠実にテキストで再現します(デザインは実際のメールと多少異なる場合があります)。

実際に届いた詐欺メールの表示画面

件名:[spam] 不正取引防止に伴うカード情報確認のご案内

送信者表示:“AMEX" <送信者A>

平素よりアメリカン・エキスプレスカードをご利用いただき、誠にありがとうございます。
近年第三者による不正利用が増加している背景から、当社では24時間365日稼働する不正利用監視システムにより、カード取引の監視を実施しております。
ご本人様のご利用であることを確認させていただきたいお取引がございましたため、誠に恐れ入りますが、安全対策のため一時的にカードのご利用を制限させていただき、本メールを送信いたしました。

下記リンクより本人確認手続きにご協力をお願いいたします。
期限までに確認手続きを完了されない場合、カード利用制限が継続される可能性がございますので、あらかじめご了承ください。

なお、実際に届いたメールのHTMLソースを確認したところ、本文中に本来非表示のはずのCSS指定コード(フォント指定の断片など)がそのまま文字として画面に表示されてしまっていました。これは詐欺メール作成キットのテンプレート崩れによる単純ミスで、手が込んでいるようで詰めが甘い典型例です。

送信ルートの解析

※メールヘッダー詳細は個人情報保護のため非掲載です。以下は当ラボが技術的に解析した結果のみを記載します。

送信元のSPF認証(送信元サーバーが正規に登録されているかを確認する仕組み)は「Softfail(ドメイン所有者がこのホストからの送信を推奨していない状態)」という結果でした。これは、なりすまされた企業側が「このサーバーからは正規のメールを送っていません」とあらかじめ表明しているにもかかわらず、それを無視して送信されたことを意味します。

さらに送信元アドレスの@以降を確認したところ、AMEXとは無関係の某デジタルメディア企業のドメインが使われていました。これは攻撃者が別の実在企業のメールインフラを不正に経由・悪用(またはドメインを詐称)した際の巻き添え型の誤爆と見られます。

実際の送信サーバーを技術的に特定したところ、香港の事業者「LightNode」が運用するロンドンのVPS(仮想専用サーバー)であることが判明しました。一方で、メールヘッダーに記録されていたホスト名は日本の一般家庭向けISPで使われるような命名規則(地域名+ドメイン)になっており、実態とはまったく異なる偽装ホスト名が付けられていました。まるで「メイド・イン・ジャパン」のシールだけ貼り替えた海外製品のような手口です。

💡ここで!VPS(仮想専用サーバー)とは?

1台の物理サーバーを仮想的に分割し、個人や企業が自由に使えるようにしたレンタルサーバーの一種です。安価で契約から数分で使い始められる手軽さから、正規サービスだけでなく、フィッシングメールの送信元として悪用されるケースが後を絶ちません。

フィッシングサイトの正体

誘導先URL:hxxps://dm8z[.]mobi/5dsfSF/d9c2676f9ed4177

最初に表示されるCloudflare Turnstileの確認画面

このURLにアクセスすると(※検証はHeartland-Labが安全な環境で実施)、まず「接続を確認しています」というCloudflare Turnstile(ボットではなく人間のアクセスであることを確認する仕組み)の画面が表示されます。これを通過すると、精巧に作り込まれたAMEXの偽ログイン画面が現れます。

Turnstile通過後に表示される精巧な偽ログイン画面

Turnstileを前段に挟む手口は、単に「人間らしく見せる」だけでなく、機械的にURLを巡回する自動解析ツールやセキュリティ研究者からの検知を遅らせる目的もあると考えられます。一見丁寧な作りに見えますが、正規のAMEXドメイン(americanexpress.com等)とはまったく異なるドメインである時点で、偽物であることは動きません。

まとめ:こんな時はどうする?

  • 「一時的に利用を制限した」「本人確認が必要」など不安を煽る内容は、まず疑ってください。
  • 確認手続きは、メール内のリンクではなく、必ず公式アプリまたはブラウザに直接americanexpress.comと入力してアクセスしてください。
  • SPFが「Softfail」と表示されている時点で、送信元として推奨されていないサーバーからの配信である可能性が高いです。
  • 万が一、リンク先にカード情報を入力してしまった場合は、速やかにカード裏面記載の窓口へ連絡し、カードの利用停止手続きを行ってください。

アメリカン・エキスプレス公式サイトでも、同種のフィッシング事例と見分け方、不審なメールの報告先が公開されています。あわせてご確認ください。

この記事が役に立ったら、ご家族やお知り合いにもぜひ共有してください。

この記事をLINEで送る


Data Provided by Heartland-Lab Security Research Unit
本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月11日)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
使用テーマ:Charcoal

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る