アメックス偽メール注意!「3月請求金額確定のご案内」の正体と偽サイトの通信記録
【調査報告】最新の詐欺メール解析レポート
最近のスパム動向
今回ご紹介するのは「アメリカン・エキスプレス」を騙るメールですが、その前に最近のスパムの動向を解説します。
現在、3月の年度末・決算時期を狙い、クレジットカードの「請求金額確定」を装って偽サイトへ誘導する手口が急増しています。
特に今回の事例のように、**日本の教育機関(.ed.jp)の正規サーバーが悪用される**ケースが目立っており、フィルターを潜り抜けやすくなっているため、非常に危険な状態です。
メールの基本情報と送信者解析
| 件名 | [spam] <<重要>>(3月請求金額確定のご案内) |
|---|---|
| 件名の見出し | 件名に**[spam]**とあるのは、受信側のメールサーバーが「このメールは信頼できない」と自動的にラベルを貼った証拠です。 |
| 送信者 | “American Express” <americanexpress-Administrator-H5aH@kita9.ed.jp> |
| 受信日時 | 2026-03-08 3:51 |
送信者に関する専門的な解説
送信者のドメイン「kita9.ed.jp」は日本の教育機関のものです。アメックスが外部の教育機関からメールを送ることはあり得ません。
犯人は正規のサーバーを乗っ取るか、偽装して配信しています。
メール本文の再現(忠実再現版)
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
平素はアメリカン・エキスプレスのカードをご利用いただき、誠にありがとうございます。
ご請求金額が確定しましたので、「オンライン・サービス」へログインのうえ、ご確認ください。
「口座振替のお知らせ」も合わせてご利用ください。
口座の振替金額と振替日を、振替日の2-5日前にEメールでお知らせする便利なサービスです。この機会にぜひ、ご登録ください。 詳細はこちら
- お客さま情報保護のため、ご利用明細の詳細などはEメールでご案内いたしておりません。
- カードのご利用がない月は「オンライン明細書」は作成されません。また、Eメールによるご案内もございません。
- 「オンライン明細書サービス」にご登録されていても、分割払いおよびリボルビング払いのご利用がある場合、ボーナス払いの請求月・支払い完了月、キャッシング、カード・ローンご請求残高がある場合(法令に定められている書面交付義務に基づきます)、またその他当社が必要と認めた場合には、「カードご利用代金明細書」を郵送させていただきます。
- ご入力いただいたEメールアドレスに誤りがあったり、通信障害等によりEメールをお送りできない場合は、ご登録のご利用代金明細書送付先へ、その旨を記載したお手紙を郵送させていただく場合がございます。
- 配信アドレスの変更は、「オンライン・サービス」の”ご登録情報の変更“よりお手続きください。
- このメールは送信専用メールアドレスから自動送信されています。ご返信いただいてもお応えいたしかねますので、ご了承ください。
【配信元】
アメリカン・エキスプレス・インターナショナル,Inc.
〒105-6920 東京都港区虎ノ門4丁目1番1号 americanexpress.co.jp
Copyright (c) 2025 American Express International, Inc. All Rights Reserved.
AGNJACRS0029001
メールの目的及び感想
**犯人の目的:** 偽のログイン画面に誘導し、カード情報のフルセット(番号・期限・コード)と個人情報を盗み取ることです。
**専門的感想:** 右側の青いサイドバーや「カード番号(下5桁):*****」という記述など、本物の通知メールを徹底的に研究しています。
しかし、**宛名(氏名)が一切ない**こと、および署名に**正しい電話番号の記載がない**ことは、機械的に大量送信された詐欺メール特有の不自然さです。
送信元(Received)回線解析情報
これは送信に利用した情報であり、カッコ内のIPアドレスは信頼できる送信者情報です。
| Received情報 | from C202603071872906.local (unknown [77.90.181.135]) |
|---|---|
| 送信IPアドレス | 77.90.181.135 |
| ホスト名 | (詳細はip-sc.net参照) |
| 設置国 | ドイツ (Germany) |
[詳細解析] 送信元IP 77.90.181.135 の解析ページ(ip-sc.net)
リンク先(詐欺サイト)の解析
メール内の「ログイン」ボタンに設定されていたURLの正体です。
- リンク箇所: 本文中の「ログイン」などの青文字箇所
- リンク先URL: https://americanexpress.karenjeanna.shop/ind**/**.jp/ (伏字を含む)
- ブロック状況: ウイルスバスター等のセキュリティソフトにて「フィッシング詐欺サイト」として警告されます。
リンクドメインのWhois/回線情報
| 解析ドメイン | americanexpress.karenjeanna.shop |
|---|---|
| IPアドレス | 104.21.75.185 |
| ホスティング社 | Cloudflare, Inc. |
| 設置国 | アメリカ合衆国 (United States) |
| ドメイン登録日 | 2026年3月初旬 |
**考察:** ドメイン登録日が非常に最近である理由は、通報によるサイト閉鎖を逃れるために、**攻撃の直前に「使い捨て」として取得されたドメイン**だからです。
[詳細解析] リンク先IP 104.21.75.185 の解析ページ(ip-sc.net)
リンク先サイトの現在の状態
**URLが危険なポイント:** 現在、サイトは上記のようなタイムアウトエラーを表示しています。これはサイトがすでに閉鎖されたか、あるいは**特定のアクセス元(解析用端末など)を弾く設定**にしている可能性があります。
本物であればこのような不誠実なエラーは出ません。
危険なポイントと対処法
- 送信元アドレスの不一致: 送信元がアメックスとは無関係な「kita9.ed.jp」である。
- 宛名の欠如: カード所有者本人に対する通知なのに、氏名が書かれていない。
- URLの偽装: ドメインの一部に名前が含まれていても、親ドメイン(karenjeanna.shop)が正規のものではない。
まとめ
今回ご紹介した「アメリカン・エキスプレス」を騙るメールは、視覚的には本物に非常に近くなっていますが、通信経路やドメイン情報を紐解くと明らかな詐欺であることが判明しました。
過去の事例と比較しても、3月という時期を狙った組織的な犯罪であると考えられます。
アメリカン・エキスプレスの公式サイトでも、最新の詐欺事例について強い注意喚起が行われています。以下のリンクから必ず公式情報を確認してください。