【実録・同一犯確定】アメックス「プレミアム・カード保険無償提供」は詐欺！偽ログイン画面に犯人の実名「ZHU YAMIN」が残っていた

2026年6月15日

🔴 緊急度：高

【実録・同一犯確定】アメックス「プレミアム・カード保険無償提供」偽メールの正体：タイポスクワッティングドメインと「leqiuzhibo」同一インフラで三井住友カード偽メールとの繋がりを暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「東京海上日動×アメックス共同開発のプレミアム・カード保険を全会員に無償提供」——そんな魅力的な内容でアメリカン・エキスプレスカード会員を狙うフィッシングメールが2026年6月14日に確認されました。送信元ドメイン aericaxnexprzes.com は americanexpress.com の文字を並べ替えたタイポスクワッティング（正規ドメインに酷似した文字列で偽装する手口）であり、SPF・DKIM認証を両方クリアする高度な偽装が施されています。さらに今回の解析で、フィッシングサイトのインフラに使われたドメインが同日確認された三井住友カード偽メールと同じ「leqiuzhibo」系列であることが判明。同一の攻撃グループが複数のブランドを同時並行で狙っている実態をHeartland-Labが徹底解析します。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)　SPF/DKIM両Pass・タイポスクワッティング・精巧な保険偽装
偽装工作精度	★★★★★ (5/5)　本物そっくりのメール本文・実在する保険会社名の悪用・偽ログイン画面

■ メールヘッダー解析（送信者情報）

件名：【重要】アメリカン・エキスプレス®会員様限定「プレミアム・カード保険」無償提供開始のご案内

送信者名：American Express

送信元アドレス：info@aericaxnexprzes.com

送信元ドメインIP：163.43.129.150（SAKURA Internet Inc. / さくらインターネット、大阪府大阪市）

SPF認証（送信元が本物かどうかを確認する仕組み）：Pass

DKIM署名（メールが改ざんされていないか確認する仕組み）：Pass（d=aericaxnexprzes.com）

受信日時：2026年6月14日（日）19:16

▲ 届いた詐欺メール。「東京海上日動×アメックス共同開発」という実在する保険会社名を悪用した精巧な偽装

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

1. 詐欺メール本文の再現
2. タイポスクワッティング：americanexpress.com を騙った偽ドメインの解剖
3. 送信ルート及び偽装判定・同一犯仮説
4. 【同一犯確定】leqiuzhibo インフラで三井住友カード偽メールとの繋がり判明
5. フィッシングサイト詳細解析
6. 注意点と対処法

詐欺メール本文の再現

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

件名：【重要】アメリカン・エキスプレス®会員様限定「プレミアム・カード保険」無償提供開始のご案内

AMERICAN EXPRESS®

東京海上日動 × アメックス共同開発

【重要】すべての会員様へ無償提供
「プレミアム・カード保険」開始のお知らせ

日本最大の損害保険会社である東京海上日動火災保険株式会社との提携により、日
常のすべてのカード決済に最高峰の安心をお届けします。

いつもアメリカン・エキスプレス®をご愛顧いただき、誠にありがとうございます。

この度、カード決済における安全性をさらに強固なものへ引き上げるため、
すべての会員様（一般・ゴールド・プラチナ・センチュリオン）を対象とした
「プレミアム・カード保険」をご用意いたしました。本案内よりプログラム
をご承認（有効化）いただくことで、1年間の安心補償が無償で付帯されます。

PROTECTION 01　盗難・紛失・不正利用
万が一のカード盗難・紛失、カード情報の漏洩によるインターネットでの不正利用被害を1年間、全額100%完全補償いたします。

PROTECTION 02　ショッピング＆返品
本カードで購入された商品の破損・盗難（最高500万円）や、購入店が返品を拒否した際の払い戻し（最高3万円）を幅広くカバーします。

PROTECTION 03　オンライン・不正アクセス安心補償
フィッシング詐欺被害や、各種オンラインサービスにおけるアカウントの不正な悪用（なりすまし決済）に対しても、会員様専用の特約窓口にてスピーディーに対応いたします。

　　　　　　【無料の補償プログラムを有効化する】←（※フィッシングリンク・クリック禁止）

※本プログラムは、アメリカン・エキスプレス®の基本カード会員様（全てのカードランク）が対象となります。
※無償補償プラン（1年間）の適用を受けるには、上記リンク（マイアカウント）より事前の有効化（エントリー）手続きが必要となります。
※有効化手続き完了後、翌日の午前0時より自動的に補償が開始されます。保険証券等の郵送はございません。
※引受保険会社：東京海上日動火災保険株式会社（共同開発特約プログラム）

⚠️ ここが怪しい！スタッフが気づいた偽物のサイン

送信元が info@aericaxnexprzes.com——「americanexpress」の文字を巧みに並べ替えた偽ドメイン。正規ドメインは americanexpress.com
「東京海上日動火災保険株式会社との提携」——実在する損害保険会社の名前を無断で悪用。このような共同保険プログラムは実在しない
「全額100%完全補償」「最高500万円」など過剰に魅力的な補償内容——不安よりも「お得感」で行動を促す巧妙な心理操作
全カードランク（一般・ゴールド・プラチナ・センチュリオン）が対象——アメックスカードを持つ不特定多数に無差別送信していることの証拠
「保険証券等の郵送はございません」——紙の証拠を残さないための逃げ口上

タイポスクワッティング：americanexpress.com を騙った偽ドメインの解剖

■ タイポスクワッティング（正規ドメインに酷似した偽ドメインを使う手口）の実態

今回の送信元ドメイン aericaxnexprzes.com は、アメリカン・エキスプレスの正規ドメイン americanexpress.com の文字を意図的に並べ替え・変形させたものです。

✅ 正規ドメイン

americanexpress.com

❌ 偽ドメイン（今回）

aericaxnexprzes.com

パッと見ると似ているように感じますが、american → aericaxn、express → exprzes と文字が入れ替えられています。メールソフトでは送信者名「American Express」として表示されるため、アドレスをよく見ない限り気づきません。

送信ルート及び偽装判定・同一犯仮説

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from mail.aericaxnexprzes.com (unknown [163.43.129.150])

【偽装判定】：
アメリカン・エキスプレスの正規メールは @americanexpress.com から送信されます。本メールの送信ドメイン aericaxnexprzes.com は正規ドメインとは全く別の偽ドメインです。SPF・DKIMを両方Passするよう細工されており、多くのメールフィルターをすり抜けます。

送信サーバーIPアドレス：163.43.129.150

インフラ：SAKURA Internet Inc.（さくらインターネット株式会社）——日本国内、大阪府大阪市の国産レンタルサーバーが悪用されています

発信元ロケーション：大阪府大阪市（緯度：34.706、経度：135.493）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

X-Mailer（送信に使用したソフトウェア）：Mozilla Thunderbird 115.12.0
一般向けの無料メールソフト「Thunderbird（サンダーバード）」を使って送信されていることが判明しています。高度な専用ツールではなく、誰でも入手できるフリーソフトで犯行が行われている点が特徴的です。

【同一犯確定】leqiuzhibo インフラで三井住友カード偽メールとの繋がり判明

■ 「leqiuzhibo」ドメインが結ぶ同一攻撃グループの痕跡

今回のAmexフィッシングサイトのインフラに使用されたドメインは nb-leqiuzhibo.com です。当スタッフが同日（2026年6月13〜14日）に確認した三井住友カード偽メールでは、a8s9d0f1.china-leqiuzhibo.com というドメインが送信元として使用されていました。

確認日	騙ったブランド	leqiuzhiboドメイン
2026/06/13	三井住友カード	`a8s9d0f1.china-leqiuzhibo.com`（送信元）
2026/06/14	American Express	`nb-leqiuzhibo.com`（フィッシングサイト）

「leqiuzhibo」という特徴的な文字列が複数のブランドを狙うフィッシングキャンペーンで共通して使われていることは、同一の攻撃グループが複数ブランドへの攻撃を組織的・並行的に行っている証拠とHeartland-Labは判断します。なお、フィッシングサイト nb-leqiuzhibo.com は調査時点でDNS失効（ドメインが無効化）されており、サイトへのアクセスはできない状態です。

フィッシングサイト詳細解析

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://www.nb-leqiuzhibo[.]com/datacenter/login（一部伏字）

リンクドメイン：nb-leqiuzhibo.com

【サイトの状態】：調査時点でDNS失効済み（ドメインが無効化されておりアクセス不可）。ただし、同系列の別ドメインが引き続き稼働している可能性があります。

偽ログイン画面（調査時点）：American Expressの会員ログイン画面を精巧に模倣。ユーザーIDとパスワードの入力を促します。

▲ 偽Amexログイン画面。カードのサンプル画像の名義欄に「ZHU YAMIN」という中国人名が消し忘れのままになっている

🔍 決定的証拠：「ZHU YAMIN」の消し忘れ

偽ログイン画面に表示されているカードのサンプル画像、その名義欄をよく見ると「ZHU YAMIN」という人名が残っています。これは攻撃者が偽サイトを作成した際に使ったサンプルカード画像から本来は消去すべきだった情報です。消し忘れたまま公開してしまったことで、制作者が中国語圏の人物であることを示す痕跡を自ら残してしまいました。精巧に作られた偽サイトでも、こうした凡ミスが決定的な証拠となることがあります。

※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。

注意点と対処法

■ 注意点と対処法

リンクをクリックしない：「無料の補償プログラムを有効化する」ボタンは偽物です。絶対にクリックしないでください。
送信元アドレスをよく確認する：アメックスの正規メールは @americanexpress.com から届きます。よく似た別のドメインからのメールは偽物です。
「無償保険」の案内は疑う：アメリカン・エキスプレスが突然「東京海上日動との共同保険を無償提供」とメールで連絡してくることはありません。魅力的な内容ほど慎重に。
公式アプリ・ブックマークからアクセスする：カード情報の確認は必ず公式アプリまたは以前登録したブックマークから行ってください。
入力してしまった場合：アメリカン・エキスプレス紛失・盗難受付（24時間）0120-020-120に速やかにご連絡ください。
公式注意喚起の参照：アメックスを騙った迷惑メール（フィッシング詐欺）にご注意ください（公式）

■ 関連記事

当ブログでは過去にもアメリカン・エキスプレスを騙る詐欺メールを取り上げています。あわせてご覧ください。

アメックス関連記事一覧

同日確認の三井住友カード偽メール（leqiuzhibo同一インフラ）：【実録】三井住友カード「セキュリティシステム更新に伴う再認証の手続き」は詐欺！

本レポートの結論

「東京海上日動とアメックスの共同保険を無償提供」という一見魅力的な内容で会員を騙るフィッシングメールが確認されました。送信元ドメインはamericanexpress.comの文字を巧みに並べ替えた偽ドメインで、SPF・DKIMを両方クリアする高度な偽装が施されています。さらにフィッシングサイトのインフラが同日確認の三井住友カード偽メールと同じ「leqiuzhibo」系列であることから、複数ブランドへの同時並行攻撃を行う組織的な犯行グループの存在が浮かび上がりました。偽ログイン画面には犯人の「ZHU YAMIN」という名前まで消し忘れで残っていましたが、笑えないのはその被害の深刻さです。身近な方への一言が被害を防ぎます。

📲 LINEで家族に共有する

調査日：2026年6月15日／ Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元：ip-sc.net