【調査報告】沖縄の家庭用回線とiPhoneから送信された、アメックス×楽天を騙る二重ブランド偽装フィッシング

HL-META: date=2026-06-23 | brand=American Express（なりすまし） | sender_geo=日本・沖縄（So-net個人回線） | site_geo=不明 | spf=softfail | dkim=なし | cloaking=不明

■ メールヘッダー解析（送信者情報）

件名：[spam]【重要】アメリカン・エキスプレス®会員様限定「プレミアム・カード保険」無償提供開始のご案内

表示上の送信者名：“American Express”

送信元アドレス：americanexpress-Administrator-Qykj@24criterion.jp

受信日時：2026年6月23日 12:29

SPF認証（送信元のサーバーが、名乗っているドメインの正規の送信担当者として登録されているかを確認する仕組み）：Softfail（「正式に許可された送信元ではないが、ドメイン側が強い拒否設定にしていないため、完全な失格ではない」という、いわばグレーゾーンの判定です）

DKIM署名（メールの内容が途中で改ざんされていないことを証明する電子的な署名）：なし（ヘッダー上に確認できず）

ご覧の通り、このメールはアメリカン・エキスプレスを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。なお図表部分は文章として再構成しています。

---

件名：[spam]【重要】アメリカン・エキスプレス®会員様限定「プレミアム・カード保険」無償提供開始のご案内
送信者："American Express" <americanexpress-Administrator-Qykj@24criterion.jp>

AMERICAN EXPRESS®
[東京海上日動×アメックス共同開発]
【重要】すべての会員様へ無償提供「プレミアム・カード保険」開始のお知らせ

いつもアメリカン・エキスプレス®をご愛顧いただき、誠にありがとうございます。

この度、カード決済における安全性をさらに強固なものへ引き上げるため、すべての会員様（一般・ゴールド・プラチナ・センチュリオン）を対象とした「プレミアム・カード保険」をご用意いたしました。本案内よりプログラムをご承認（有効化）いただくことで、1年間の安心補償が無償で付帯されます。

PROTECTION 01　盗難・紛失・不正利用
万が一のカード盗難・紛失、カード情報の漏洩によるインターネットでの不正利用被害を1年間、全額100%完全補償いたします。

PROTECTION 02　ショッピング＆返品
本カードで購入された商品の破損・盗難（最高500万円）や、購入店が返品を拒否した際の払い戻し（最高3万円）を幅広くカバーします。

PROTECTION 03　オンライン・不正アクセス安心補償
フィッシング詐欺被害や、各種オンラインサービスにおけるアカウントの不正な悪用（なりすまし決済）に対しても、会員様専用の特約窓口にてスピーディーに対応いたします。

［無料の補償プログラムを有効化する］（クリック不可）

※本プログラムは、アメリカン・エキスプレス®の基本カード会員様（全てのカードランク）が対象となります。
※無償補償プラン（1年間）の適用を受けるには、上記リンク（マイアカウント）より事前の有効化（エントリー）手続きが必要となります。
※有効化手続き完了後、翌日の午前0時より自動的に補償が開始されます。保険証券等の郵送はございません。
※引受保険会社：東京海上日動火災保険株式会社（共同開発特約プログラム）

■ 送信ルート及び偽装判定——珍しい「個人回線＋iPhone」パターン

Receivedヘッダー（メールがどのサーバーを経由してきたかという通過記録）の解析：
※メールヘッダー詳細は個人情報保護のため非掲載

送信元IP：2.59.152.151

HELO名（メールサーバーが自己紹介として名乗る、送信元のサーバー名）：i62702-okinawa132.okinawa.so-net.ne.jp

【偽装判定・特異な点】：
当日ここまでに確認した詐欺メールはいずれもGoogle CloudやAlibaba Cloud等の大規模なクラウドサーバーから一斉配信されたものでしたが、今回のメールは沖縄のSo-net（一般家庭向けインターネット回線）を経由して送信されていました。さらにヘッダーには「X-Mailer: iPhone Mail」という記録があり、iPhoneの標準メールアプリから送られたことを示す痕跡も残っています。これは大量配信用の専用システムを使わず、実在する個人の家庭用回線とスマートフォンから送信された可能性を示しており、もし本当に個人の端末が使われているとすれば、何らかの形で乗っ取られた機器やインターネット回線が悪用されている懸念があります。

■ フィッシングサイト詳細解析——2つの実在ブランドを組み合わせた偽装ドメイン

誘導先URL（伏せ字）：hxxps://americanexpress.rakutenmastercard[.]com/lmSmswFF/（一部伏字）

リンクドメイン：このドメインを実際に管理しているのは「rakutenmastercard.com」であり、「americanexpress」はその前に付け足された、攻撃者が自由に設定できる文字列（サブドメイン）にすぎません。さらに言えば「rakutenmastercard.com」自体も、楽天やMastercardの公式ドメインとは無関係です。アメックス・楽天・Mastercardという3つの実在する金融ブランド名を一つの偽ドメインに詰め込むことで、どのブランドの利用者が見ても「関係がある会社かもしれない」と思わせる、欲張りな作りになっています。

サイトサーバーIP：195.86.16.200
IPアドレス調査：【ip-sc.netで詳細を確認する】

【サイトの状態】：トレンドマイクロ「ウイルスバスター クラウド」が、このサイトを安全でない可能性があるとして自動的にブロックしていました。警告を超えて進むと、アメリカン・エキスプレスの公式ログインページをそのまま模写したと思われる、精巧な偽ログイン画面が表示されます。

■ 注意点と対処法

1. URLの「ドメインの本体」を確認する：アドレスの中に「americanexpress」という文字列が見えても、本当の管理者は末尾から2つ目のまとまり（今回は「rakutenmastercard.com」）です。複数の有名ブランド名が並んでいても安心しないでください。
2. 「無償提供」「無料で有効化」という言葉に注意：本来の保険・補償サービスは、カード会員規約にあらかじめ明記されているもので、メールで「今すぐ有効化」を急かされることはありません。
3. セキュリティソフトの警告を無視しない：「安全でない可能性があります」という表示が出た時点で、それ以上進まないでください。
4. 公式サイト・公式アプリから確認する：カードの特典・保険に関する案内は、必ず公式サイトまたは公式アプリから直接ご確認ください。
5. 公式注意喚起の参照：American Express「セキュリティセンター」

本レポートの結論

「プレミアム・カード保険」の無償提供を案内するこのメールは、海外のクラウドサーバーからの一斉配信ではなく、沖縄の家庭用回線とiPhoneという珍しい経路で送信され、誘導先もアメックス・楽天・Mastercardという3つの実在ブランド名を組み合わせた欲張りな偽装ドメインでした。見た目の作り込みは精巧でも、送信元の認証はSPFがグレーゾーンの「Softfail」、DKIM署名も存在しないという、かなり脆弱な土台の上に成り立っています。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。