【暴露】アメックス「サービス改善アンケート」は詐欺!1万ポイント釣りの新手口とセンチュリオン詐欺と同一キットの正体

【暴露】アメックス「サービス改善アンケート」の正体:1万ポイント釣りとセンチュリオン詐欺との同一キット疑惑を暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

アメリカン・エキスプレスを騙り「サービス改善アンケートにご協力いただくと1万メンバーシップ・リワードポイントを進呈」と持ちかけるフィッシングメールを確認しました。これまで多いカード会社なりすましは「利用停止」「不正利用検知」といった恐怖を煽る手口が中心でしたが、今回は謝礼(報酬)で釣る珍しいパターンです。さらに調査の結果、誘導先の偽ログイン画面が、当ラボが過去に解析した「センチュリオン・カード アップグレード詐欺」と同一のキットである強力な証拠が見つかりました。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★☆☆☆ (2/5)
偽装工作精度 ★★★★☆ (4/5)

■ メールヘッダー解析(送信者情報)

件名:【American Express】サービス改善アンケートご協力のお願い

送信者名:American Express(表示名のみ、実態は別ドメイン)

送信元アドレス:info@ame7.adamsgrou.com

真の送信元IP:157.17.49.34(HELO: mail.ame7.adamsgrou.com)

受信日時:2026年7月9日 04:07

ご覧の通り、このメールはアメリカン・エキスプレス公式を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。


いつもアメリカン・エキスプレスカードをご利用いただき、誠にありがとうございます。
アメリカン・エキスプレス
カスタマーサポート担当でございます。

このたび、サービス品質向上および会員様満足度向上を目的として、
簡単なアンケートへのご協力をお願いしております。

アンケートは数分程度で完了いたします。
ご回答いただいた会員様には、
感謝の気持ちとして10,000メンバーシップリワードポイントを進呈させていただきます。

アンケート回答はこちら
hxxps://meilin-paper.com/index/

回答期限
2026年7月9日(水)まで

特典内容
アンケート回答完了後、
2026年8月1日(金)に10,000ポイントを進呈予定です。

会員様からいただいた貴重なご意見は、
今後のカードサービス改善に活用させていただきます。

実際に届いたメールのスクリーンショット

■ 送信ルート及び偽装判定

Received-SPF解析(サーバー通過証明):
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=157.17.49.34; helo=mail.ame7.adamsgrou.com; envelope-from=info@ame7.adamsgrou.com

【偽装判定】:
正規のアメリカン・エキスプレスからのメールはamericanexpress.comドメインから送信されます。本メールの送信元ame7.adamsgrou.comは同社とは一切無関係の、攻撃者が独自に用意したドメインです。SPF・DKIMともに「認証成功」していますが、これは攻撃者が自分のドメインで正しく認証設定を行っているだけであり、本物である証明には一切なりません。

発信元ロケーション:GeoLite2判定では日本国内に割り当てられたIPアドレスでした。市区町村レベルの詳細は現在確認中です。

💡ここで! 難しい言葉を解説

SPF(エスピーエフ):「このメールは、そのドメインの持ち主が許可したサーバーから送られたか」を確認する仕組み。今回は攻撃者が自分のニセドメインで正しく設定していたため「Pass(合格)」表示になっていますが、これは「本物のアメックス」であることを意味しません。

DKIM(ディーキム):メールが送信途中で改ざんされていないかを確認する電子署名の仕組み。SPFと同様、攻撃者の自前ドメインで正しく設定されているだけなので、安心材料にはなりません。

HELO(ヘロ):メールサーバー同士が通信を始めるときに名乗る「自己紹介名」のようなもの。今回は`mail.ame7.adamsgrou.com`と名乗っており、これも攻撃者インフラの一部です。

Cloudflare(クラウドフレア):世界中に分散したサーバーでWebサイトを高速表示させる仕組み。悪用されると、実際にサイトを運営しているサーバーの場所を隠す「隠れ蓑」としても機能します。

■ フィッシングサイト詳細解析(多段構成)

第1段階:アンケート誘導リンク
誘導先URL(伏せ字):hxxps://meilin-paper[.]com/index/
リンクドメイン:meilin-paper.com
サイトサーバーIP:172.67.150.31(Cloudflare anycast — origin(実サーバー)は隠蔽されており、地理情報は意味を持ちません)

セキュリティソフトが「フィッシングの疑いあり」として自動ブロック

【サイトの状態】:トレンドマイクロ社のウイルスバスターが/index/turnstile-checkパスをフィッシングとして検知・ブロック済みであることを確認しました。

第2段階:偽ログイン画面
警告を突破してアクセスすると、本物そっくりのアメックス会員ログイン画面が表示されます。ここでユーザーID・パスワードの入力を求められます。

偽ログイン画面。表示されたカード券面の名義に注目

攻撃者の凡ミス:ログイン画面上部に表示されたカードのサンプル画像の名義が「ZHU YAMIN」という、日本人名ではない人物名のままになっていました。この名前、実は当ラボが過去に解析した別のアメックス詐欺(センチュリオン・カード招待詐欺)の偽ログイン画面に残っていたものと完全に一致します。ブランドの謳い文句(招待コード型・今回のアンケート謝礼型)は違えど、画面素材そのものを使い回している同一キットであることを示す動かぬ証拠です。攻撃者側も、テンプレートの中身までは毎回チェックしていないようですね(笑)。

第3段階:カード情報認証
ログイン情報入力後、さらにカードのセキュリティコード入力画面に誘導されます。

セキュリティコード入力を求める偽の認証画面

ここにも粗さが:この画面では「4桁のセキュリティコード」と「3桁のセキュリティコード」の両方の入力欄が同時に表示されていました。本来アメックスのカードは表面に4桁のCID(セキュリティコード)が印字されているのが特徴で、3桁のセキュリティコード(他社カードで一般的なCVV)は使いません。複数ブランド分の入力欄をまとめてテンプレート化した使い回しキットの粗さが、ここでも露呈しています。

■ 過去の関連事例:センチュリオン・カード詐欺との同一キット

当ラボでは以前、「センチュリオン・カードへの特別アップグレードのご案内」と称するアメックスなりすましフィッシングを解析し、その際も偽ログイン画面に「ZHU YAMIN」という名義が残存していたことを報じました。今回のアンケート型詐欺とは謳い文句がまったく異なるにもかかわらず、画面素材が完全一致していることから、同一の攻撃者(またはフィッシングキット販売元)による使い回しである可能性が高いと考えられます。詳しくは前回の記事もあわせてご覧ください。
「センチュリオン・カードへの特別アップグレードのご案内」は詐欺!アメックス最高峰カードへの憧れを利用するフィッシングメールの手口を解説

■ 注意点と対処法

  1. URLをクリックしない:「アンケートに答えるだけ」という軽い誘い文句でも、リンク先は情報を盗むための精巧な偽サイトです。
  2. 公式サイト・公式アプリを確認:アメックスからの案内かどうか気になる場合は、メール内のリンクではなく、必ず公式アプリまたはブックマークからアクセスしてください。
  3. 公式注意喚起の参照:アメックスを騙った迷惑メール(フィッシング詐欺)にご注意ください(公式サイト)

本レポートの結論

「アンケートに答えるだけで1万ポイント」という謝礼型の誘い文句は、恐怖を煽る従来型とは異なる新しい切り口ですが、誘導先は過去に解析済みの詐欺キットの使い回しでした。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。

この記事をLINEで送る

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る