「カードが一時制限されました」のメールが届いたら要注意！全然アメリカンじゃないアメックス偽装フィッシングメールの正体

2026年6月6日

🔴 緊急度：高

【実録】アメリカン・エキスプレスを装った「カード利用制限」詐欺メールの正体——中華フォントと件名難読化で騙しにくる手口を完全解剖

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

アメリカン・エキスプレス（アメックス）を装い、「カードの利用を一時制限した」と称してフィッシングサイトへ誘導する詐欺メールが確認されました。送信元は gagauhenz.top という、アメックスとは全く無関係の使い捨て .top ドメイン。しかもメールの件名はBase64（文字列を別の文字列に変換してメールフィルターをかわす技術）でエンコードされており、スパムフィルターを回避する工夫が施されています。さらに当スタッフが詳細に確認したところ、メール本文の日本語テキストに中国製フォントが混入していることも判明。「アメリカン・エキスプレス」と名乗りながら、その中身は全然アメリカンではありませんでした。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)
偽装工作精度	★★★★☆ (4/5)
フィルター回避工作	★★★★☆ (4/5)　Base64件名エンコード＋SPS0SEC-LOCK

■ メールヘッダー解析（送信者情報）

件名：[spam]【重要】カードのご利用制限に関する緊急のご案内
※実際の件名はBase64でエンコードされており、メールクライアントが自動デコードして表示しています。スパムフィルター回避が目的です。

送信者名：American Express

送信元アドレス：web@gagauhenz.top

送信元IP：157.17.49.61（gagauhenz.top）

SPF：Pass　／　DKIM：Pass（gagauhenz.topドメインで署名）

受信日時：2026年6月6日（土）03:45:25

このメールはアメリカン・エキスプレスを装った真っ赤な偽物です。リンクをクリックするとカード情報や個人情報が盗まれます。絶対に操作しないでください。

■ 詐欺メール本文の再現

↓実際に届いた詐欺メールのスクリーンショット

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。絶対にクリックしないでください。

AMERICAN EXPRESS

【重要】カードのご利用制限に関する緊急のご案内

いつもアメリカン・エキスプレス®のカードをご利用いただき、誠にありがとうございます。

この度、弊社の不正検知システムによるモニタリングの結果、お客様のカード口座における不審な取引の可能性、または登録情報の確認手続きが必要となったため、セキュリティ保護の観点からカードのご利用を一時的に制限（ロック）させていただきました。

【現在のステータス：一時制限中】
大変お手数ではございますが、以下のボタンより専用サイトにログインいただき、ご本人様確認およびご利用状況のご確認手続きを行ってください。お手続きが完了次第、制限は即時に解除されます。

■対象アカウント情報
現在のカード状態　　　一時制限（一時保留中）
対応期限　　　　　　　本メール受領後、24時間以内

【偽リンク・クリック厳禁】カードの制限解除・ご本人確認はこちら【偽リンク・クリック厳禁】

【配信停止について】
本メールは、カードアカウントのセキュリティに関する極めて重要なお知らせのため、メールの配信を希望されていない会員様へもお送りしております。あらかじめご了承ください。

【発行】アメリカン・エキスプレス・インターナショナル, Inc.
東京都港区虎ノ門4丁目1番1号 虎ノ門タワーズ オフィス

※本メールは自動配信システムよりお送りしております。ご返信は受付できません。
※万が一、本メールの内容に心当たりがない場合は、大変お手数ですが弊社デスクまでお問い合わせください。

SPS0SEC-LOCK

本文末尾の SPS0SEC-LOCK という意味不明な文字列が気になります。スパムフィルターのシグネチャ（フィルターが悪質メールを識別するための特徴パターン）を撹乱するために埋め込まれたノイズ文字列である可能性が高く、本文テキストに混入させることでフィルターをかわす手口です。

🔍 注目ポイント：中華フォントが混入

メール本文の日本語テキストをよく観察すると、「アメリカン・エキスプレス」「インターナショナル」などの文字に中国製フォントの字形が混入していることが確認できます。日本語フォントと中国語フォントでは、同じ漢字でも字形（文字の形）が微妙に異なります。本物のアメリカン・エキスプレスの日本語メールが中国製フォントで作られることはありません。「アメリカン・エキスプレス」と名乗りながら、制作環境は中国であることを自ら証明しています。

■ 送信ルート及び偽装判定

Receivedヘッダー解析（メールの出発点）：

Received: from gagauhenz.top (unknown [157.17.49.61]) by 受信者側サーバー（非公表）(Postfix) with ESMTPS Sat, 06 Jun 2026 03:45:25 +0900 (JST)

【偽装判定】：
正規のアメリカン・エキスプレスからのメールは必ず @americanexpress.com ドメインから送信されます。本メールの送信元 web@gagauhenz.top はアメックスとは一切無関係の第三者ドメインです。SPF・DKIMが「Pass」となっていますが、これは gagauhenz.top というドメイン自体の認証であり、アメックスの公式送信を証明するものではありません。

発信元ロケーション：
IPアドレス 157.17.49.61 のロケーション：[IPロケーション情報：調査中]
【Googleマップで確認する】

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://www.kanqiu-official[.]com/cocoemenz/403

リンクドメイン：kanqiu-official.com

サイトサーバーIP：[IP取得不可：DNS失効の可能性]

【サイトの状態】：当スタッフがPC・スマートフォンの両方からアクセスを試みましたが、いずれも「Sorry, we can’t find that page. It might have been moved or never existed.」というエラーページが表示されました。DNSが既に失効しており、フィッシングサイトとしての機能は停止しています。短期間でドメインを使い捨てる典型的な手口です。

クローキング：なし（PC・スマートフォンともに同一のエラーページが表示）

※DNS失効後も類似ドメインで新たなフィッシングサイトが開設される可能性があります。引き続きご注意ください。

■ 注意点と対処法

送信元アドレスを必ず確認：アメックスの正規メールは @americanexpress.com からのみ送信されます。スマートフォンでは表示名しか見えない場合があるので、アドレスを展開して確認してください。
「24時間以内」の焦らせに乗らない：期限を設けて焦らせるのはフィッシング詐欺の常套手段です。落ち着いて公式アプリからご確認ください。
件名のエンコードに注意：メールクライアントが正常に表示していても、件名が難読化されている場合があります。
公式アプリ・ブックマークからアクセス：カード状況の確認は必ず公式アプリまたはブラウザのブックマークから行ってください。
公式注意喚起の参照：アメリカン・エキスプレス：フィッシング詐欺にご注意

📋 本レポートの結論

「カードが一時制限された」という焦りを煽り、24時間以内の対応を迫る典型的なフィッシング詐欺です。送信元は gagauhenz.top という使い捨てドメインで、本文の日本語には中国製フォントが混入。「アメリカン」と名乗りながら何一つアメリカンではありません。フィッシングサイトはすでにDNS失効で使い捨てられていましたが、今後も同様の手口で新たなサイトが開設される可能性があります。身近な家族や友人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

📲 LINEでシェアする

調査日：2026年6月6日
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net

【免責事項】本記事に掲載のIPアドレス・ジオロケーション情報は調査時点のものであり、今後変更される可能性があります。掲載内容は注意喚起を目的としたものであり、情報の完全性・正確性を保証するものではありません。本情報をもとに行動した結果について、当サイトは一切の責任を負いかねます。