【解析】アメックス偽メール「電話番号変更のお知らせ」の正体を暴く
【調査報告】最新の詐欺メール解析レポート
メールの解析結果と技術的根拠の提示 | 最近のスパム動向と前書き
今回ご紹介するのは「アメリカン・エキスプレス」を騙るメールですが、その前に最近のスパム動向を解説します。昨今のフィッシング詐欺は、セキュリティソフトの自動巡回を逃れるために、偽の「人間確認ページ(CAPTCHA)」をクッションページとして挟む手法が主流となっています。本件でも、リンクをクリックした直後に正規の認証を装う高度な仕掛けが確認されました。
| 不審メールの基本解析データ | 件名 | [spam] [American Express]電話番号変更のお知らせ<重要> | | 件名の見出し判断 | 冒頭の [spam] 表記は、メールサーバーが過去の攻撃パターンや送信ドメイン認証の結果に基づき「有害」と判断した結果付与されたものです。正規の通知にこの文字列が含まれることはあり得ません。 | | 送信者 | “American Express” <qlxmjqr@littlefinger-net.com> | | 受信日時 | 2026-02-06 19:53 | メール本文の再現(Active!mail風レイアウト) | 件名: [spam] [American Express]電話番号変更のお知らせ<重要> | 操作を選択 ▼ | 送信者: “American Express” <qlxmjqr@littlefinger-net.com> |
平素はアメリカン・エキスプレスのカードをご利用いただき、誠にありがとうございます。電話番号の変更が完了しました
お客様の電話番号は、以下の通り変更されました。
変更後:*****3553 セキュリティ保護のため、ご登録情報の一部のみ表示しています。
Eメールにお心当たりのない場合、または内容に誤りがある場合は、お手数ですが、カード裏面のアメリカン・エキスプレスの電話番号までご連絡ください。 オンライン・サービスにログイン
hXXps://amexountn.yamatoskino.com/ ◆◆◆お取引きに関するお問合せ◆◆◆
24時間(メンテナンス時間を除く)
——————————————
【発行】アメリカン・エキスプレス・インターナショナル, Inc.
東京都港区虎ノ門4丁目1番1号
americanexpress.co.jp
—————————————— Copyright (C) American Express International, Inc. All Rights Reserved. EJP_PI_0323_J03-387342 | | ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。安全のためURLは一部を伏字にしリンクを無効化しています。 専門家による解析と推奨対応 メールの感想・デザイン:
全体的にあっさりして素っ気ない感じを受けます。公式の通知メールであれば、よりブランドイメージを反映したリッチなHTML構成や、パーソナライズされた適切な宛名が含まれますが、本メールは簡素なテキストベースで、不特定多数へ効率的に送りつけるスパムの特徴を呈しています。
危険なポイント:
送信者のメールアドレス「littlefinger-net.com」は、正規のアメリカン・エキスプレス(americanexpress.co.jp)とは全く異なるドメインです。
注意点と対処法:
公式サイトでも注意喚起がなされている通り、メール内のリンクからログインを試みるのは大変危険です。
▶ アメリカン・エキスプレス公式サイト:注意喚起ページへ | Received(送信元情報)の解析 本データはメールが送信された際の物理的な通信記録です。カッコ内のIPアドレスは偽装が困難な信頼できる送信者情報です。 | 送信者ドメイン | littlefinger-net.com | | 送信者IPアドレス | 122.103.200.79 | | ホスティング / ISP | s79.BMT-w1.vectant.ne.jp / VECTANT (日本) | | ドメイン登録日 | 2025年以降(公式とは無関係に最近取得されたもの) |
▶ 本レポートの根拠データ:送信元IP解析結果を表示
リンク先サイトの技術的解析 | 誘導URL | hXXps://amexountn.yamatoskino.com/(一部伏字処理済) | | IPアドレス | 172.67.147.164 | | ホスティング / 国 | Cloudflare, Inc. / アメリカ | | ドメイン登録日 | 2026年2月初旬(メール送信日の直前) | 独自コメント: 調査ドメイン「yamatoskino.com」の登録日は2026年2月初旬。メール送信のわずか数日前に取得されています。これは信頼できる企業ドメインではあり得ず、フィッシング詐欺専用に急造された「使い捨てドメイン」の決定的な証拠です。
▶ 本レポートの根拠データ:リンク先IP解析結果を表示
詐欺サイトの視覚的調査 | 【詐欺サイト稼働状況:稼働中】 サイトへアクセスすると、「検証中…」という文言と共にインジケーターが回転し「成功しました」と書かれたページで停止する不審な検証ページが表示されます。
これはセキュリティソフトの自動スキャンを妨害しつつ、ユーザーが「本物のサイトへの接続待ち」と誤認するように設計された高度なフィッシング手法です。
| まとめと最終警鐘
今回の事例は、過去のフィッシング事例と比較しても「クッションページ」を用いるなど、攻撃者の検知回避の意志が強く感じられます。
送信元が日本のISP(VECTANT)である点も、国内ユーザーをターゲットにした巧妙な狙いが見て取れます。
■ 改めて公式サイトで確認してください
不審なメールを受け取った際は、絶対にリンクは開かず、公式アプリまたは正規サイトから直接状況を確認してください。
▶ アメリカン・エキスプレス公式:セキュリティセンター
| |
