「【重要】メンバーシップ・リワード®ポイント有効期限のお知らせ」は詐欺!165,100ポイント失効の恐怖で誘導する偽アメックスメールと同一犯グループによる連続攻撃を緊急公開
🔴 緊急度:高
| 緊急性レベル | ★★★★★(5/5) |
| 偽装工作精度 | ★★★★☆(4/5)SPF・DKIM両Pass+タイポスクワッティング(ただし凡ミスあり) |
■ メールヘッダー解析(送信者情報)
件名:【重要】メンバーシップ・リワード®ポイント有効期限のお知らせ
送信者名:“American Express”(表示名のみ偽装)
送信元アドレス:web@aericaxnexprzes.com
⚠️ タイポスクワッティング:
正規:americanexpress.com → 偽物:aericaxnexprzes.com
「americanexpress」の文字を並べ替えた巧妙な偽ドメインです。一読しただけでは気づきにくい手口です。
送信元ドメインIP:163.43.70.226
受信日時:2026年6月8日(月)23:03:13 +0900
SPF認証:Pass(送信元が正規サーバーかどうかを確認する仕組みを通過)
DKIM署名:Pass(メールが改ざんされていないことを証明する電子署名も通過。d=aericaxnexprzes.com)
送信ツール:Mozilla Thunderbird 115.4.0
▲ 実際に届いたフィッシングメール。「失効予定のポイント数:165,100ポイント」という具体的な数字で焦りを煽り、「有効期限を過ぎると自動的に失効し、復元することはできません」という警告で冷静な判断を奪う。
ご覧の通り、このメールはアメリカン・エキスプレスを装った詐欺メールです。どんなに大きなポイント数が表示されていても、リンクは絶対にクリックしないでください。この解析結果を家族のLINEグループに転送して注意喚起してください。
詐欺メール本文(忠実再現)
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
カード会員様 いつもアメリカン・エキスプレスをご利用いただき、誠にありがとうございます。 お客様が保有されている「メンバーシップ・リワード®」のポイントにつきまして、 間もなく有効期限を迎える分がございますので、お早めのご確認とご利用をお願い 申し上げます。 失効予定のポイント数 165,100 ポイント ※有効期限を過ぎますと、対象のポイントは自動的に失効し、復元することはでき ませんのでご注意ください。 [ ポイントを確認・交換する ](※リンク無効化済み) (アメリカン・エキスプレス公式オンライン・サービスへ遷移します) ※本メールは、ポイント有効期限に関する重要なご案内として、メール配信を希望 されていない会員様にもお送りしている場合がございます。 アメリカン・エキスプレス・インターナショナル, Inc. 〒105-0001 東京都港区虎ノ門四丁目1番1号 神谷町トラストタワー Copyright © 2026 American Express International, Inc. All Rights Reserved.
タイポスクワッティングドメインの解析
■ 「americanexpress」を並べ替えた偽ドメイン
送信元ドメイン「aericaxnexprzes.com」は、「americanexpress」の文字を巧みに並べ替えた「タイポスクワッティング(公式ドメインに似せた偽ドメインを取得する手口)」です。
【本物のドメイン】
americanexpress.com
【偽ドメイン(詐欺)】
aericaxnexprzes.com
使われている文字はほぼ同じですが、並び順が異なります。メールアドレスをじっくり確認しないと見抜くのが難しい巧妙な偽装です。
■ 同一犯グループ確認——ZHU YAMINとURLパスが完全一致
今回の偽ログイン画面を調査したところ、当ブログが昨日解析した「センチュリオンカードへの特別アップグレード」詐欺と以下の2点が完全に一致しました。
- 偽ログイン画面のカードに「ZHU YAMIN」という中国人名が残存:攻撃者がフィッシングサイト作成時に使用したテスト用の名前を差し替え忘れたという凡ミス。昨日と全く同じミスを繰り返しています。
- URLパスが「/cocoemenz/login」で完全一致:今回のURL(accounting-etcete.com/cocoemenz/login)と昨日のURL(minfrastructu.com/cocoemenz/login)のパス部分が完全に同じです。ドメインだけを変えて同じフィッシングキットを使い回していることが確認されました。
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダー(メールがどのサーバーを経由してきたかの通過記録)の全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from aericaxnexprzes.com (unknown [163.43.70.226]) by 受信者側サーバー(非公表) with ESMTPS
【偽装判定】:
正規のアメリカン・エキスプレスからのメールは americanexpress.com ドメインから送信されます。本メールの送信元 web@aericaxnexprzes.com はアメックスとまったく無関係の偽ドメインです。SPF・DKIMが両方Passしているのは、攻撃者がこの偽ドメインのDNS設定(インターネット上の住所録のような仕組み)を正しく構成し、そのドメインとしての認証を意図的に通過させているためです。
送信元ドメインIP:163.43.70.226
Googleマップ:【位置情報を確認する(日本・東京付近)】
フィッシングサイト詳細解析
▲ 偽アメリカン・エキスプレス会員ログイン画面。カードに「ZHU YAMIN」という中国人名が残ったまま——昨日解析したセンチュリオン詐欺サイトとまったく同じ画面・同じ凡ミスが確認された。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://www.accounting-etcete[.]com/cocoemenz/login(一部伏せ字)
フィッシングドメイン:accounting-etcete.com(DNS失効確認済み)
サイトIP:[IP取得不可:DNS失効の可能性]
🔗 同一グループ確認:偽ログイン画面のカード名義「ZHU YAMIN」および URLパス「/cocoemenz/login」が、当ラボが昨日解析したセンチュリオンカード詐欺メールと完全に一致。同一の攻撃グループが同じフィッシングキット(詐欺サイト作成ツール)を使い回して複数の手口でアメックス会員を標的にし続けていることが確認されました。
注意点と対処法
■ このようなメールが届いた場合の対処法
- リンクをクリックしない:「165,100ポイントが失効する」という内容に焦っても、メール内のリンクは絶対にクリックしないでください。
- 送信元アドレスをよく確認する:「americanexpress」と「aericaxnexprzes」は使われている文字がほぼ同じですが別のドメインです。メールアドレスの「@」以降をゆっくり確認する習慣をつけてください。
- 公式アプリまたはブックマークからアクセス:ポイント残高や有効期限の確認は必ず公式アプリまたはブラウザのブックマークから直接アメリカン・エキスプレスにアクセスして行ってください。
- 既に入力してしまった場合:すぐにアメリカン・エキスプレスのパスワードを変更し、カスタマーサービス(0120-020-120)に連絡してカードの不正利用確認を依頼してください。
- 公式注意喚起の参照:アメックスを騙った迷惑メール(フィッシング詐欺)にご注意ください(アメリカン・エキスプレス公式)
■ 関連記事
同一グループによるアメックス偽装詐欺メールを当ブログで複数確認しています。あわせてご覧ください。
【実録】「センチュリオン・カードへの特別アップグレード」詐欺——同一犯グループ・ZHU YAMIN・/cocoemenz/loginが一致
本レポートの結論
本件はSPF・DKIM認証を両方通過させる高度な偽装に加え、「americanexpress」の文字を並べ替えたタイポスクワッティングドメインで受信者の目を欺き、「165,100ポイントが失効する」という恐怖で冷静な判断を奪うフィッシングメールです。偽ログイン画面の「ZHU YAMIN」と「/cocoemenz/login」というURLパスが当ブログが昨日解析したセンチュリオン詐欺と完全一致しており、同一グループが手口を変えながらアメックス会員を連続攻撃していることが確認されました。メールのリンクからではなく、必ず公式アプリやブックマークからアクセスしてポイント残高を確認してください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月10日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
