【実録】「アメリカン・エキスプレス本人確認手続きのお願い(再通知)」の徹底調査結果
🌐 最近のスパム動向
今回ご紹介するのは「アメリカン・エキスプレス」を騙る(かたる)メールですが、関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。
【実録】「カードのご利用確認」アメックスを騙る偽メールの手口を徹底分析!プログラムコードが露出したお粗末なフィッシング詐欺を公開
みなさん、こんにちは。
頼れる街のIT専門家が、いま届いている危険な詐欺メールについて丁寧にわかりやすく解説いたします。
不審なメールを受け取ったとき、多くの方は「開くだけなら大丈夫だろうか」と不安になると思います。
結論から申し上げますと、メールを開いた(閲覧した)だけであれば、すぐにクレジットカードを不正利用されるような直接的な被害(実質的被害)は発生しません。
しかし、決して油断はできないのです。
今回のメールのように、画像付きのメール(外部サーバーから画像を読み込む形式)や、開通通知(メールを開いたことを犯人に知らせる仕組み)が仕込まれている場合、あなたがメールを開いた瞬間に「このメールアドレスの持ち主は、今現在も実際にメールをチェックして活動している」という情報が、犯人側に自動で伝わってしまいます。
これによって「アドレス生体通知(本当に使われているアドレスだという証明)」が行われてしまうのです。
その結果、あなたのメールアドレスが「騙しやすい標的」として、今後の新しい詐欺メール送信リスト(カモリスト)に登録され、迷惑メールが急増する可能性が非常に高くなります。
怪しいメールに気付いたときは、中身を確認しようとせず、速やかに削除することが一番の安全策です。
まずは、実際にどのような偽メールが届いているのか、その詳細な手口を一緒に見ていきましょう。
🚨 偽メールの緊急性と基本情報
犯人は、カードが使えなくなるという強い不安を煽り(あおり)、わずか24時間という短い期限を設定することで、あなたに冷静な思考をさせないよう仕向けてきます。
| 危険度評価 | ⚡⚡⚡⚡(星4つ:非常に危険) |
|---|---|
| メール件名 | [spam] 【重要】カードのご利用確認に関する緊急のお知らせ |
| 送信者名 | “American Express” |
| 送信元アドレス | amex@tokyo-nexe.top |
| 受信日時 | 2026年5月31日(日)14時15分23秒 |
💡 件名にある「[spam]」という表示について:
これは、メールを受信したサーバー(プロバイダ)が「このメールは詐欺や迷惑メールの可能性が極めて高い」と自動的に判断し、受信者への注意喚起のために自動で付与した目印です。この文字が付いているメールは、絶対に信用してはいけません。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
📷 【実録スクショ】送りつけられた偽メールの全貌
受信者の手元に届いた実際のメール画面がこちらです。
📸 [メール本文のスクリーンショット]
一見すると、アメリカン・エキスプレスの本物のロゴマークが使われており、公式からの連絡に見えるように精巧(せいこう)に作られています。
しかし、文章の最初をよく見てみると、あまりにも不自然で決定的なボロが出ています。以下に、届いたメールの文面をできる限り忠実に再現いたしました。
送信者: “American Express” <amex@tokyo-nexe.top>
担当者:{{random_jp_name}} 様、ご確認をお願いします。ID: ーーー
平素はアメリカン・エキスプレスのカードをご利用いただき、誠にありがとうございます。
このたび、お客様のカードのご利用状況を確認いたしましたところ、通常のご利用パターンとは異なる可能性のあるお取引を検知いたしました。
カードの不正利用を防止するため、一部機能を制限させていただいております。
誠に恐れ入りますが、至急、以下の「マイページ」より、最近のご利用履歴に心当たりがあるかご確認お願い申し上げます。
※日本時間 2026-05-31時点のご利用履歴に基づきます。
※回答期限:本メール到着後24時間以内
【ご注意】
弊社からメールで暗証番号やカード番号の入力を求めることはありません。不審なサイトへのアクセスには十分ご注意ください。
※本メールは送信専用のため、ご返信いただけません。
※本メールは、重要なお知らせとして、メール配信を希望されていないお客様にもお送りしております。
発行元:アメリカン・エキスプレス・インターナショナル, Inc.
東京都港区虎ノ門4-1-1
【配信停止のご案内】
今後、このような通知の配信を希望されない場合は、お手数ですが以下のURLよりお手続きをお願いいたします。
© 2026 American Express International, Inc. All rights reserved.
https://www.hourconsum.com/cocoemenz
💡 メールの目的と感想:
もっともらしい注意書きを添えて本物らしく見せていますが、冒頭の 担当者:{{random_jp_name}} 様 という部分で完全に破綻(はたん)しています。これは、詐欺グループが大量送信システムを使う際、受信者の名前に自動で置き換えるためのプログラムの変数(プログラムでデータを一時的に入れておく箱のようなもの)が、バグによってそのまま文字として表示されてしまった状態です。
つまり、「個別の顧客を一切確認せず、プログラムで適当にばら撒いた(ばらまいた)スパムメールである」ということです。
🔍 メールヘッダーの抽出と送信元IPアドレスの解析
次に、メールの裏側に記録されている「通信ルート(メールヘッダー)」を解析します。
※メールヘッダーのスクリーンショットには、受信者側の固有のサーバー情報やプライバシーに関わる文字列が多数含まれているため、安全性を考慮して画像としての掲載は控えております。
解析に必要な重要情報(認証結果と、時系列で一番古い=最初に送信された記録)のみを正確に抽出したデータが以下となります。
by [受信者サーバー] (Postfix) with ESMTPS id 9E0364A1519
for <*****@[受信者ドメイン]>; Sun, 31 May 2026 14:15:24 +0900 (JST)
【なりすまし判定と偽装の解説】
送信者情報にあるメールアドレス amex@tokyo-nexe.top から、ドメイン(tokyo-nexe.top)の現在の情報を割り出すと、このドメインを管理しているサーバーのIPアドレス(インターネット上の住所)が判明します。
| 解析対象 | 抽出IPアドレス | ロケーション(サーバー所在地) |
|---|---|---|
| 送信ドメインのIP | 59.106.213.62 | 日本(東京) 緯度・経度:35.6895, 139.6917 🗺️ Googleマップで確認 🔍 ip-sc.netで詳細を見る |
| 最古のReceived IP | 59.106.213.62 | 日本(東京) (上記と同じ詳細データ) |
※ご注意:IPアドレスから割り出されるサーバーのロケーション情報は、ネットワークの割り当て変更などにより刻々と変化するため、あくまで解析時点の参考データとなります。
今回のヘッダーを解析すると、Received-SPF: Pass となっており、SPF認証(送信元が偽装されていないかを検証するセキュリティ技術)をすり抜けています。これは犯人が自分で取得した本物の使い捨てドメイン tokyo-nexe.top から正当に送信しているためです。
つまり、「メールの送信システム自体は正規のルールを整えて送られているが、中身はアメックスの名前を勝手に借りた完全ななりすまし詐欺メールである」ということです。
🛑 誘導先フィッシングサイトの徹底調査と危険なポイント
メール内に仕込まれていたリンク先URLをクリックした先の状態、およびサーバーの危険性を詳しく調査しました。
📸 [セキュリティソフトの警告画面スクリーンショット]
上記のスクリーンショットの通り、リンクを開しようとするとセキュリティソフト(ウイルスバスタークラウド)が即座に反応し、「このWebサイトは、安全ではない可能性があります」「脅威の種類:フィッシング」としてアクセスを遮断(しゃだん)します。セキュリティ会社のブラックリストに登録されている極めて危険なURLです。
もし、このセキュリティの警告を無理やり突破してアクセスした場合、「アクセス拒否 リクエストがブロックされました。後ほどお試しください。」といったエラーのような画面が表示されることがあります。
これはエラーではなく、犯人側が仕組んだ「クローキング(特定のアクセス者を騙す仕組み)」という悪質な手口です。クローキングとは、セキュリティ会社の調査員やAIプログラムがアクセスしてきたときには無害なエラー画面を見せ、一般の騙したい被害者がアクセスしてきたときにだけ、本物そっくりの偽ログイン画面を表示させるという、サーバーの二面性を利用した隠蔽(いんぺい)工作のことです。
| 確認項目 | 調査結果データ |
|---|---|
| リンクドメイン | hourconsum.com |
| ドメインIPアドレス | 172.67.206.185 |
| サーバー所在地 | アメリカ合衆国(カリフォルニア州サンフランシスコ) Cloudflare(クラウドフレア)の防御ネットワーク網の影に隠れています。 緯度・経度:37.7749, -122.4194 🗺️ Googleマップで確認 🔍 ip-sc.netで詳細を見る |
| 危険と判断できる点 | アメリカン・エキスプレスの公式サイト(americanexpress.com)とは全く異なる、無関係の使い捨てドメインを使用している点。 |
| サイトの稼働状況 | 🔴 稼働中(フィッシング詐欺画面が裏で待機中) |
📸 [本物そっくりに偽装された詐欺ログイン画面スクリーンショット]
このクローキングやセキュリティの目を盗んで表示されるのが、上記の偽ログイン画面です。
公式の画像をそのまま盗用して作られており、見た目だけで偽物と見分けるのは不可能です。
つまり、「ドメイン(URLの文字列)が公式のものかどうかを確認することだけが、騙されないための唯一の防衛策である」ということです。
💡 今後のための注意点と正しい対処方法
このようなメールに出会ったときの安全な行動基準を整理いたしました。
| 総合危険度 | ⚡⚡⚡⚡⚡(星5つ:個人情報窃盗の最大リスク) |
|---|
✅ もしメールを受け取ったら:
何もせず、そのままメールを削除してください。メール本文にあるリンク(「ご利用状況の確認へ」や「配信停止の手続きはこちら」など)は、どちらを触っても同じ詐欺サイトへ繋がっています(つながっています)ので、絶対に触れてはいけません。
⚠️ 万が一、情報を入力してしまったら:
すぐにアメリカン・エキスプレスの公式窓口(カードの裏面に記載されている年中無休の電話番号)へお電話をおかけください。オペレーターの方に「フィッシングサイトにカード情報を入れてしまった」と伝えていただくことで、不正利用される前にカードの利用を一時停止し、新しい番号へ再発行する手続きをスムーズに進めることができます。
公式からの最新の注意喚起、および正しい見分け方については、以下のアメリカン・エキスプレス公式案内ページをいつでもご確認ください。
🔗 公式URL:
アメックスを騙った迷惑メール(フィッシング詐欺)にご注意ください(公式ページ)
💬 まとめ
今回はプログラムのバグによってお粗末な姿が露出した偽メールでしたが、いつ巧妙な文章に進化するか分かりません。
「カードが使えなくなる」という突然のメールを見ても、焦ってリンクを押さず、一度立ち止まってブラウザのブックマークや公式アプリからログインして確認する癖をつけていきましょう。
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
🗂️ 関連する過去の解析事例はこちらから検索できます。
📌 同じ手口の関連記事:
【実録】三井住友カードを騙る詐欺メールも確認されています→こちら
