判定:フィッシング詐欺(確定)
- 確認日:2026年5月14日
- 詐称ブランド:アメリカン・エキスプレス(センチュリオン・カード)
- 差出人アドレス:admin[@]nerimahikarigaz[.]com(アメリカン・エキスプレスとは無関係)
- 手口:センチュリオン・ウェアラブル(決済機能付きリング)贈呈と50,000ポイント進呈を装い、偽サイトへ誘導
- SHA-256:
eeab1ae3683c6e2059065b806a7d0ac6b6598c8c221c277cc452bd9e1ae5cb39
メールの概要
2026年5月14日頃から、アメリカン・エキスプレスを騙り「センチュリオン・ウェアラブル会員へのアップグレード」を案内するフィッシングメールの配信が確認されています。
このメールは、アメリカン・エキスプレスのセンチュリオン・カード会員向けの「特別招待」を装い、決済機能付きセラミックリングの贈呈や50,000ポイントの進呈といった特典をちらつかせ、受信者を偽サイトへ誘導しようとするものです。差出人表示は「American Express」となっていますが、実際の送信元ドメインはアメリカン・エキスプレスの公式ドメイン(一般に americanexpress[.]com として知られている)とは全く異なるドメインであり、アメリカン・エキスプレスとは一切関係のないフィッシング詐欺です。
メール本文(全文引用)
以下は、受信したフィッシングメールの本文をそのまま引用したものです。件名やメール本文の文面で検索された方が、同じメールを受け取ったかどうか確認できるよう掲載しています。メール内のリンクには絶対にアクセスしないでください。
件名:重要:センチュリオン・ウェアラブル会員へのアップグレード・アクティベーションのご案内
差出人:American Express <admin[@]nerimahikarigaz[.]com>
フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません) 誘導先サイトのスクリーンショット(解析時点)
AMERICAN EXPRESS PRIVATE INVITATION
アメリカン・エキスプレス®・カード会員様
選ばれた方に、
究極の象徴を。平素は格別なるお引き立てを賜り、厚く御礼申し上げます。
この度、会員様の揺るぎないご信頼への感謝を込めまして、センチュリオン・カード会員様だけの特別な「入会ベネフィット」をご用意いたしました。
■ センチュリオン・ウェアラブル(会員専用リング)
職人の手作業により仕上げられた、決済機能付きオリジナル・セラミックリングを贈呈いたします。
※カード発行後、専任コンシェルジュよりサイズ計測キットの送付またはフィッティングのご案内(14日以内)を差し上げます。■ 期間限定・ウェルカムポイント
本招待を通じてご入会いただいた会員様へ、50,000 メンバーシップ・リワード®・ポイントを特別に進呈いたします。ACCEPT INVITATION
RSVP CODE: CNT-8[郵便番号]-PRIV
※リングの製作にはサイズ確定後、約4〜6週間のお時間をいただきます。
※本メールは完全招待制であり、第三者への転送や共有は固くお断りいたします。
※審査によりご希望に沿えない場合もございます。入会金および年会費の詳細はリンク先をご確認ください。
このメールの見分け方
このフィッシングメールは非常に巧妙に作られていますが、以下のポイントを確認することで偽物と判別できます。
1. 差出人のメールアドレスが公式ドメインではない
メールの差出人表示は「American Express」となっていますが、実際のメールアドレスは admin[@]nerimahikarigaz[.]com です。アメリカン・エキスプレスの公式メールは、一般に americanexpress[.]com や americanexpress[.]co[.]jp のドメインから送信されることが知られています。「nerimahikarigaz[.]com」というドメインはアメリカン・エキスプレスとは無関係です。
2. リンク先が偽サイトである
メール本文内の「ACCEPT INVITATION」ボタンのリンク先は hxxps://www[.]onaydinlatma[.]com/contactless/ であることが確認されています。これはアメリカン・エキスプレスの公式サイトではなく、フィッシング用に用意された偽サイトです。メール内のリンクをクリックする前に、リンク先のURLを必ず確認してください。
3. 「完全招待制・転送禁止」という心理的操作
メール末尾には「本メールは完全招待制であり、第三者への転送や共有は固くお断りいたします」という一文があります。これは受信者に特別感を与えると同時に、このメールを他者に転送して相談する行動を抑制する意図があると考えられます。正規の企業がメールの転送を禁じることは一般的ではありません。
4. 受信者個人情報による偽パーソナライズ
「RSVP CODE: CNT-8[郵便番号]-PRIV」として、受信者の郵便番号がコードに埋め込まれています。さらに、メール内に埋め込まれた画像のファイル名には受信者の電話番号が含まれていることが確認されています。これらの個人情報は過去の情報漏洩等で流通しているデータから取得されたものである可能性があり、「自分だけに届いた本物の招待」だと錯覚させる効果を狙っています。
技術的解析
送信元情報の分析
| ヘッダー項目 | 値 | 評価 |
|---|---|---|
| From(差出人表示) | American Express <admin[@]nerimahikarigaz[.]com> | アメリカン・エキスプレスの公式ドメインではない |
| Return-Path(エンベロープ送信元) | [受信者]+canttzvt[@]example[.]com | Fromドメインとも異なる第三のドメイン |
| 送信元IP | 133[.]125[.]225[.]181 | 日本国内IP(IRT-JPNIC-JP / CIDR: 133[.]125[.]225[.]0/24) |
| X-Mailer | Supmailer 47[.]0[.]1 | 一括メール送信ツール |
観測事実:差出人(From)のドメインは nerimahikarigaz[.]com、Return-Pathのドメインは example[.]com であり、これら2つのドメインは互いに異なります。さらに、いずれもアメリカン・エキスプレスの公式ドメインではありません。
示唆:From と Return-Path で異なるドメインが使用されていることは、攻撃者が送信インフラ(Return-Path 側)と表示用のなりすましドメイン(From 側)を使い分けていることを示唆します。Return-Path に含まれる受信者アドレス+ランダム文字列の形式はVERP(Variable Envelope Return Path)と呼ばれる形式で、受信者ごとのバウンス(配信失敗)を追跡するために使われます。VERP形式自体は正規のメール配信でも使用される手法ですが、本件では他の不審な要素と組み合わさっている点が重要です。
示唆:X-Mailer に記録された「Supmailer」は一括メール送信ツールです。メール本文では「完全招待制」「選ばれた方に」と限定的な招待を強調していますが、一括送信ツールの使用はこの主張と矛盾します。
メール認証(SPF / DKIM / DMARC)の解釈
| 認証技術 | 結果 | 認証対象ドメイン |
|---|---|---|
| SPF | pass | example[.]com(smtp[.]mailfrom) |
| DKIM | pass | (署名ドメイン) |
| DMARC | pass | nerimahikarigaz[.]com(Fromドメイン基準) |
観測事実:SPF・DKIM・DMARCの3つのメール認証はいずれも「pass(合格)」と判定されています。
示唆:認証がすべて合格しているため、一見すると「正規のメール」のように見えます。しかし、ここで重要なのは何が認証されたかです。SPF が認証しているのは example[.]com というドメインからの送信が正当であるということであり、DMARC が認証しているのは From ヘッダーの nerimahikarigaz[.]com に対する整合性です。つまり、「攻撃者が自身の管理するドメインを正しく設定していた」ことを意味しており、「このメールがアメリカン・エキスプレスから送信された」ことを意味するものではありません。
総合判断:メール認証技術(SPF / DKIM / DMARC)は「送信元ドメインが正当に設定されているか」を検証するものであり、「そのドメインが本当にアメリカン・エキスプレスのものか」を検証するものではありません。攻撃者が自前のドメインで正規の認証設定を行った場合、認証はすべて合格します。認証が合格していることは、メールの安全性を保証するものではありません。差出人のドメインそのものを確認することが重要です。
HTMLメール構造の分析
観測事実:メールはHTML形式(5,467文字)とプレーンテキスト形式の両方を含むマルチパート構成です。HTML本文内のリンクは1件のみ確認されており、「ACCEPT INVITATION」という表示文言のボタンが hxxps://www[.]onaydinlatma[.]com/contactless/ にリンクされています。このボタンはHTML上で cta-button クラスが付与されたCTA(Call to Action)要素です。
示唆:HTML内のCSSを確認すると、黒背景にラジアルグラデーション、明朝体フォント(YuMincho / Hiragino Mincho ProN)の使用、ドロップシャドウ効果、レスポンシブデザイン対応など、高級ブランドの公式メールに近い視覚的品質を再現する設計が施されています。受信者がメールの外観だけで判断した場合、正規のメールと誤認する危険性が高い構成です。
誘導先URL・TDS(Traffic Direction System)の分析
「ACCEPT INVITATION」ボタンの誘導先URLについて、以下の分析結果が得られています。
| 項目 | 内容 |
|---|---|
| 誘導先URL | hxxps://www[.]onaydinlatma[.]com/contactless/ |
| 稼働状態 | 稼働中(確認済み) |
| TDS検出 | あり |
| 中間ページ | hxxps://www[.]onaydinlatma[.]com/contactless/turnstile-check(602 bytes / Cloudflare) |
観測事実:誘導先URLにはTDS(Traffic Direction System)の存在が検出されています。TDSとは、アクセスしたユーザーの環境(IPアドレス、地域、デバイス、ブラウザなど)に応じて、異なるURLにリダイレクト(転送)する仕組みです。
示唆:TDSが使用されている場合、セキュリティ研究者がアクセスした際には無害なサイトに転送し、一般ユーザーがアクセスした場合にのみフィッシングページを表示するといった振り分けが可能です。これにより、フィッシングサイトの検出・テイクダウン(閉鎖)が困難になります。また、中間ページの /turnstile-check というパスとCloudflareサーバーの使用から、Cloudflare Turnstile(ボット検知サービス)を利用して自動解析を妨害していることが示唆されます。
総合判断:TDSとボット検知の二重の防御を持つフィッシングインフラであり、組織的かつ技術的に高度な攻撃基盤が使用されています。
画像トラッキングの分析
| 項目 | 内容 |
|---|---|
| 画像URL | hxxps://file[.]expresscompanynetwork[.]com/download/elp/data/image/[電話番号]810809975[.]png |
| 稼働状態 | 稼働中(確認済み) |
| サーバー | Tengine |
| ファイルサイズ | 159,581 bytes(約156 KB) |
観測事実:メール内に埋め込まれた画像は file[.]expresscompanynetwork[.]com というドメインでホストされており、画像のファイル名には受信者の電話番号が含まれています。また、ホスティングサーバーにはTengine(Alibaba Groupが開発したNginxベースのWebサーバー)が使用されています。
示唆:画像ファイル名に受信者の電話番号を埋め込むことで、メールが開封されたかどうか、どの受信者が画像を読み込んだかを個別に追跡することが可能になります。また、ドメイン名に「express」「company」「network」という単語を組み合わせることで、アメリカン・エキスプレスの関連サービスであるかのような印象を与える命名がなされています。
送信インフラの分析
| 項目 | 内容 |
|---|---|
| 送信元IP | 133[.]125[.]225[.]181 |
| 所在国 | 日本(JP) |
| 管理組織 | IRT-JPNIC-JP |
| CIDR | 133[.]125[.]225[.]0/24 |
観測事実:メールの送信元IPアドレスは日本国内のIPアドレス帯に属しています。
示唆:日本国内のIPアドレスから送信されていることで、海外からの不審メールとしてフィルタリングされにくくなる効果があります。攻撃者が日本国内のサーバーやVPSを利用して送信インフラを構築していることが示唆されます。
フィッシング判定の総合根拠
本メールがフィッシング詐欺であると判定した根拠は、単一の証拠ではなく、以下の複数の証拠を総合的に評価した結果です。
- 差出人ドメインの不整合(確認済み):Fromドメイン(nerimahikarigaz[.]com)がアメリカン・エキスプレスの公式ドメインではない
- Return-Pathドメインの不整合(確認済み):エンベロープ送信元(example[.]com)がFromドメインとも公式ドメインとも異なる
- 誘導先URLの不正(確認済み):CTAボタンのリンク先(onaydinlatma[.]com)がアメリカン・エキスプレスの公式サイトではない
- TDSインフラの検出(確認済み):誘導先でアクセス先を動的に切り替えるTDSが検出されている
- 受信者追跡の実施(確認済み):画像ファイル名への電話番号埋め込み、RSVP CODEへの郵便番号埋め込みによる個人特定
- PhishTankへの登録(確認済み):誘導先URLがフィッシングとしてPhishTankに報告されている(phish_id: 9423537)
IOC(侵害指標)一覧
| 種別 | 値 | 用途・説明 |
|---|---|---|
| メールアドレス | admin[@]nerimahikarigaz[.]com | From(差出人偽装) |
| ドメイン | nerimahikarigaz[.]com | 差出人Fromドメイン |
| メールアドレス形式 | [受信者]+canttzvt[@]example[.]com | Return-Path(エンベロープ送信元 / VERP形式バウンス追跡) |
| ドメイン | example[.]com | Return-Pathドメイン / SPF認証対象 |
| IPアドレス | 133[.]125[.]225[.]181 | メール送信元IP(JP / IRT-JPNIC-JP / CIDR: 133[.]125[.]225[.]0/24) |
| URL | hxxps://www[.]onaydinlatma[.]com/contactless/ | フィッシング誘導先(TDS検出) |
| ドメイン | www[.]onaydinlatma[.]com | TDSホスト / Cloudflare |
| URL | hxxps://file[.]expresscompanynetwork[.]com/download/elp/data/image/[電話番号]810809975[.]png | 画像トラッキング用 |
| ドメイン | file[.]expresscompanynetwork[.]com | 画像ホスティング / Tengine |
| SHA-256 | eeab1ae3683c6e2059065b806a7d0ac6b6598c8c221c277cc452bd9e1ae5cb39 | メールファイルのハッシュ値 |
| X-Mailer | Supmailer 47[.]0[.]1 | 一括メール送信ツール |
PhishTank登録状況
| URL | 登録状況 | 備考 |
|---|---|---|
hxxps://www[.]onaydinlatma[.]com/contactless/ |
登録済み・未検証 | phish_id: 9423537 |
hxxps://file[.]expresscompanynetwork[.]com/download/elp/data/image/[電話番号]810809975[.]png |
未登録 | 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います |
このメールを受け取った場合の対処法
メールを開いただけの場合
- メール本文内のリンク(「ACCEPT INVITATION」ボタン)をクリックしていなければ、メールを削除してください
- HTMLメールの画像が自動読み込みされた場合、受信者の電話番号に紐づいた開封追跡が行われている可能性があります。今後、同じ電話番号宛に類似のフィッシングメールが届く可能性があるため注意してください
リンクをクリックしてしまった場合
- 誘導先にはTDS(アクセス振り分けシステム)が使用されています。クリックしただけで、ご利用の環境情報(IPアドレス、ブラウザ種別など)が攻撃者に記録されている可能性があります
- クレジットカード番号、暗証番号、ログイン情報などを入力した場合は、直ちにアメリカン・エキスプレスのカード裏面に記載の電話番号(メール内のリンクからではなく)に連絡し、カードの利用停止と再発行を依頼してください
- 同じパスワードを他のサービスでも使用している場合は、速やかに変更してください
今後の防御策
- 差出人のドメインを必ず確認する:表示名が「American Express」でも、@以降のドメインがアメリカン・エキスプレスの公式ドメインでなければフィッシングです。本件のように、メール認証(SPF / DKIM / DMARC)がすべて合格していても、攻撃者自身のドメインで認証を通過しているだけであり、安全性の証明にはなりません
- メール内のリンクからアクセスしない:特典や招待の案内を受け取った場合、メール内のリンクではなく、ブラウザのブックマークや公式アプリから直接アメリカン・エキスプレスの公式サイトにアクセスして確認してください
- 「転送禁止」の文言に惑わされない:フィッシングメールは、他者に相談されることを防ぐために「転送禁止」「招待制」といった制約を設けることがあります。不審なメールは遠慮なく家族や詳しい人に相談してください
- 個人情報の一致に騙されない:郵便番号や電話番号などの個人情報が含まれていても、過去の情報漏洩で流出したデータを利用している可能性があります。個人情報が記載されているからといって正規のメールであるとは限りません
- メーラーの画像自動読み込みを無効にする:HTMLメールの画像自動読み込みを無効にすることで、開封追跡を防止できます
本記事は、フィッシング詐欺の手口を証拠に基づいて解説し、被害防止を目的とするものです。記載されたドメイン、IPアドレス、URLはすべて難読化処理を施しています。