【詐欺判定】ポイント繰越申込のご案内（アメックス詐称）の解析レポート

今回ご紹介するのは「アメリカン・エキスプレス」を騙るメールですが、その前に最近のスパムの動向を解説します。現在、年度末や新生活シーズンを控え、ポイントの失効や「無料繰り越し」を餌にしたフィッシング詐欺が急増しています。特にカード会員の心理的な焦りを突く「期間限定」の訴求が目立ちます。

件名： [spam] 【重要】ポイント繰越申込のご案内
※見出しに[spam]とあるのは、サーバー側が送信元ドメインの信頼性（SPF/DKIM等）を検証し、公式ではないと自動判定した証拠です。

送信者名： “American Express Card”
送信元アドレス： <noreply@emailcore.lendmeyourgear.com>
受信日時： 2026-02-27 15:56

【送信者に関する専門的見解】
表示名は公式ですが、ドメイン「lendmeyourgear.com」はアメリカン・エキスプレスとは無関係な第三者のドメインです。

【メールのデザインと特徴】
このメールの最大の特徴は、ロゴ画像が直接本文に埋め込まれず「添付ファイル（..png）」として処理されている点です。これはセキュリティソフトの画像解析（ブランドロゴ検知）を回避し、かつ受信者の受信トレイで「画像が含まれる正規メール」と誤認させるための狡猾な手法です。

【犯人の目的】
この犯人の目的は、キャンペーン申込を装って偽のログインページへ誘導し、カード番号、有効期限、セキュリティコード、および個人情報を盗み取ることです。一度入力してしまうと、即座に不正利用が開始される恐れがあります。

【特有の怪しい点】
・宛名が「お客様」という抽象的な表現（本物はフルネームが多い）。
・送信ドメインが公式サイト（americanexpress.com）と完全に乖離している。
・リンク先URLが偽装されている。

【公式サイトの注意喚起】
アメックス公式サイトでも、こうしたフィッシング詐欺への注意が呼びかけられています。
⇒ アメリカン・エキスプレス公式：不審なメールに関する注意喚起

送信ホスト： emailcore.lendmeyourgear.com
送信元IPアドレス： 157.85.104.235
ホスティング社： Siamdata Communication Co., ltd.
設置国：タイ

【技術的解説】
上記のIPアドレスは送信に利用された実データであり、信頼できる送信元情報です。公式サイトのドメインと不一致であることから、攻撃者が用意した、あるいは踏み台にされたサーバーであることが判明しました。
⇒ [ip-sc.net] 送信元IPアドレスの完全な解析データを確認

本文内リンク： https://oq●ky.com/verifi●ation/
※本文には公式URLが直書きされていますが、実際のリンク先は上記ドメインへ偽装されています。

【リンク先サーバー情報】
IPアドレス： 157.85.104.235
ホスト名： oqsky.com
設置国：タイ
ドメイン登録日： 2026-02-26

【判定理由】
ドメイン登録日が数日以内である場合、それは「詐欺目的で取得された使い捨てドメイン」である可能性が極めて高く、通常の企業サイトではあり得ない挙動です。ウイルスバスター等のセキュリティソフトでも「危険サイト」としてブロック対象となっています。

[リンク先の現在の状態]
(現在は通信タイムアウトによるエラーページが表示されています)

過去の類似事例と比較しても、今回のメールは「添付ファイル形式のロゴ」や「2026年の著作権表記」など、最新のフィルタリング回避策が講じられた危険な個体です。宛名が不自然なメールには絶対に反応せず、必ずブックマークした公式サイトからログインするようにしてください。

改めて、公式の注意喚起ページを確認し、被害を未然に防ぎましょう。
⇒ アメリカン・エキスプレス公式：セキュリティに関するお知らせ