【緊急】アメックスを騙る「全国百貨店共通商品券1万円分を発送しました」フィッシングメール発覚——「adricanexpress.com」という瓜二つの偽ドメインを使った巧妙な手口を解析
🔴 緊急度:高
このメールはアメリカン・エキスプレスとは一切無関係の真っ赤な偽物です。リンクをクリックしてしまった方は至急パスワードを変更してください。この情報を家族のLINEグループに転送して注意喚起してください。
タイポスクワッティング——1文字違いで騙す高度なドメイン偽装
今回の攻撃の核心はタイポスクワッティング(typosquatting)と呼ばれる手口です。タイポ(typo)とはタイプミス(打ち間違い)のことで、有名サービスのドメイン名によく似た偽ドメインを取得して騙す手口を指します。
■ ドメイン比較——どこが違うか
| 種別 | ドメイン | 違いのある部分 |
| ✅ 本物 | americanexpress.com | 「american」 |
| ❌ 偽物 | adriexpress.com | 「adric」(「ameri」→「adric」に変化) |
一見すると非常に似ており、流し読みでは気づきにくいよう巧妙に設計されています。メールを受け取ったら必ず送信元アドレスの一文字一文字を確認してください。
このドメインを攻撃者自身が取得してSPFレコード(送信サーバーを指定する設定)とDKIM署名(メール内容の正当性を証明する仕組み)を自前で設定しているため、メールセキュリティの認証チェックを両方ともPassさせることに成功しています。「SPFもDKIMも通っているから安全」という判断が通用しない典型例です。
メール本文の手口:実在しない特典で心理的な先手を取る
※以下の内容は届いたフィッシングメールを技術検証のために忠実に再現したものです。
件名:【重要】特典賞品「全国百貨店共通商品券」発送のお知らせ アメリカン・エキスプレス® カード会員様 いつもアメリカン・エキスプレスをご利用いただき、誠にありがとうございます。 このたび、カード会員様限定の特別なベネフィットとして提供しております「メンバー シップ・リワード®」にて、お客様がお申し込みいただきました極上の特典賞品 (プレミアム・リワード)の発送手続きが完了いたしましたのでご案内申し上げます。 本賞品は、厳選された会員様だけにお届けする特別なアイテム(セキュリティ対象品) となります。お手数ですが、到着後はお早めにお受け取り(ご査収)いただき、 上質なひとときをお楽しみください。 お届けする特典賞品 日本百貨店協会 全国百貨店共通商品券 10,000円分 ※配送方法:簡易書留(または宅配便)にて郵送 ※ご不在のためお受け取りいただけなかった場合は、不在票をご確認の上、 配送業者の保管期限内に再配達の手続きをお願いいたします。 【 配送状況を確認する 】 (アメリカン・エキスプレス公式オンライン・サービスへ遷移します) アメリカン・エキスプレス・インターナショナル, Inc. 〒105-0001 東京都港区虎ノ門四丁目1番1号 神谷町トラストタワー Copyright © 2026 American Express International, Inc. All Rights Reserved.
この手口が巧妙な理由は「すでに発送済み」という既成事実を作り出している点です。「お申し込みいただきました賞品の発送が完了しました」と書くことで、受信者は「いつ申し込んだんだろう?確認しなければ」と思わず反応してしまいます。また「セキュリティ対象品」「ご査収」などの表現で公式らしさを演出しつつ、「不在だと再配達が必要」という現実的なシナリオで焦りを煽っています。
送信ルート解析:国内インフラを悪用
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過記録):
Received: from adricanexpress.com (59.106.214.110)
送信元IP:59.106.214.110
このIPアドレスはIDCフロンティア(日本国内のホスティングサービス)のIPアドレス範囲に属しています。攻撃者は日本国内のサーバーインフラを利用してメールを送信しています。
【偽装判定】:
アメリカン・エキスプレスの正規メール送信ドメインは @americanexpress.com です。今回の adricanexpress.com はアメリカン・エキスプレスとは一切無関係の偽ドメインです。
発信元ロケーション:IDCフロンティア(日本・東京/大阪)
Googleマップ:【推定エリアを確認する(東京)】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
偽ログインサイト解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://www.countantrequir[.]com/curewaenopen/login
ドメイン:countantrequir.com(アメリカン・エキスプレスとは無関係の使い捨てドメイン)
サーバーIP:172.67.163.190(Cloudflare CDN配下)
【偽サイトの特徴】:
- アメックスの「マイアカウントにログイン」画面をロゴ・カラー・レイアウトすべて精巧に模倣。
- 「ユーザーID」「パスワード」入力欄・「次回からID入力を省略」チェックボックスまで本物と同一構成。
- フッターには「Copyright © 2026 American Express International, Inc.」の表記まで再現。
- 正規のアメックスログインURLは
https://www.americanexpress.com/配下であり、countantrequir.comとは全く異なります。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
▲ 偽ログインサイト(countantrequir[.]com)。本物のアメックスログイン画面と見分けがつかないほど精巧に模倣されている。URLを必ず確認すること。
注意点と対処法
■ 注意点と対処法
- 送信元アドレスを一字一句確認する:アメリカン・エキスプレスの正規ドメインは
@americanexpress.comです。adricanexpress.comなど似て非なるドメインからのメールはすべて偽物です。流し読みせず必ず確認してください。 - 「発送完了」メールに即反応しない:身に覚えのない賞品の発送通知が届いても、メール内のリンクをクリックしてはいけません。アメックスの公式アプリまたはブックマーク済みの公式サイトから直接ログインして確認してください。
- SPF・DKIM認証が通っていても安全とは限らない:攻撃者が偽ドメインを自前で取得・設定すれば、SPF・DKIMの両認証をPassさせることができます。認証結果だけで安全を判断しないでください。
- ユーザーID・パスワードを入力してしまった場合:至急、公式サイト(americanexpress.com)からパスワードを変更し、カードの不正利用がないか明細を確認してください。
- 公式注意喚起を確認:アメックスを騙った迷惑メール(フィッシング詐欺)にご注意ください(American Express公式)
■ 関連記事
当ブログではアメリカン・エキスプレスや各種クレジットカードを騙るフィッシングメールを多数取り上げています。あわせてご覧ください。
本レポートの結論
「americanexpress」を「adricanexpress」に置き換えたタイポスクワッティングドメインを自前で取得・設定し、SPF・DKIM両方の認証をPassさせる高精度な偽装が施されたフィッシング攻撃です。「全国百貨店共通商品券10,000円分を発送済み」という実在しない特典で受信者の注意を引き、身に覚えがないからこそ確認しようとする心理を巧みに利用しています。送信元アドレスの「@以降」を一文字一文字確認する習慣が最大の防御です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年6月10日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
