
アメリカン・エキスプレスを装い「大丸 東京店での不正利用を確認してほしい」と誘導するフィッシングメールの受信が確認されました。本記事では、このメールの技術的な解析結果と観測された手口を公開し、注意を呼びかけます。
メールの基本情報
見出し
| 項目 | 内容 |
|---|---|
| 件名 | 【重要】アメックスセキュリティ通知:「大丸 東京店」でのご利用確認をお願いします |
| 差出人(表示名) | American Express |
| 差出人(アドレス) | [受信者][@]myple[.]jp |
| Return-Path | [受信者][@]myple[.]jp |
| 送信日時 | 2026年7月1日 21:39:14(JST) |
| X-Mailer | Mozilla Thunderbird 115.8.2 |
| SHA-256 | ebfa031ad0e5153a0735bd9720edcca450ee1318f0d1f703b3a6b6c9d90d3805 |
メール本文の引用と分析
以下は、実際に受信されたメール本文の全文引用です。
【重要】アメリカン・エキスプレス:不正利用の疑いに関するご連絡
AMERICAN EXPRESS
⚠ 不正利用の疑いが検出されました
アメリカン・エキスプレス会員様
お客様のカードアカウントにおいて、通常のご利用パターンとは異なる取引が検出されました。アカウントの安全性を保護するため、お客様ご本人様のご利用かどうか、至急ご確認をお願いいたします。
検出されたご利用内容
ご利用日時 2026年07月01日 15:22
ご利用店名 大丸 東京店
ご利用金額 ¥ 65,400上記のご利用にお心当たりはございますか?
以下のボタンよりアメリカン・エキスプレス・オンラインにログインし、取引の承認または否認の手続きを行ってください。確認が取れない場合、カードのご利用が制限される場合がございます。
今すぐ取引を確認する
【セキュリティに関するお知らせ】
アメリカン・エキスプレスがパスワードやカード番号(CVVなど)を入力するよう求めるメールを送ることはありません。心当たりのないご利用の場合は、記載のリンクをクリックせず、アメックス・セキュリティセンターまで直接お電話にてご連絡ください。※本メールは自動送信されていますので、返信はご遠慮ください。
※ご不明な点がございましたら、カード裏面に記載の番号までお問い合わせください。配信停止(退订)をご希望の場合は、 こちらのページ より手続きを行ってください。
Copyright American Express Company. All rights reserved.
文面の巧妙さと不審点
このメールは、いくつかの巧妙なソーシャルエンジニアリング手法を組み合わせて構成されています。
- 具体的な利用情報で焦らせる手口:「大丸 東京店」「¥ 65,400」「2026年07月01日 15:22」のように具体的な日時・店名・金額を記載しています。メール送信時刻(21:39)のわずか数時間前の取引であるかのように見せることで「今すぐ確認しなければ」という焦りを誘っています。
- カード制限をちらつかせる脅迫:「確認が取れない場合、カードのご利用が制限される場合がございます」と記載し、受信者に即時行動を強いる構成です。
- 自己言及による信頼性の偽装:「アメリカン・エキスプレスがパスワードやカード番号(CVVなど)を入力するよう求めるメールを送ることはありません」という注意書きを本文内に含めています。皮肉なことに、これは正規のセキュリティ通知と同様の文言であり、受信者に「本物のセキュリティ通知だ」と思わせる効果を狙っています。
- 中国語の痕跡:配信停止案内に「退订」という中国語(「配信停止」の意味)が併記されています。日本語のメールに中国語が混在するのは、フィッシングキットの出自を示唆する不審な要素です。
不審点の技術分析
1. 差出人アドレスの偽装
観測事実:メールの差出人(From)は表示名を「American Express」としていますが、実際のメールアドレスは [受信者][@]myple[.]jp です。Return-Path および SMTP MAIL FROM もすべて myple[.]jp ドメインです。
示唆:一般にアメリカン・エキスプレスの公式ドメインとして知られている americanexpress[.]com とは全く異なるドメインが使用されています。さらに、差出人アドレスの「ローカル部分」(@より左の部分)に受信者自身の識別子が使われており、受信者ごとに異なる差出人アドレスが生成されていると推定されます。これは、一部のメールフィルターを回避するための手法と考えられます。
2. メール認証結果の検証
| 認証方式 | 結果 | 解説 |
|---|---|---|
| SPF | softfail | 送信元IP(133[.]125[.]90[.]200)は、myple[.]jp の SPF レコードによって完全には認可されていないことを示します。SPFの「softfail」とは、ドメイン所有者が「このIPからの送信は正規ではない可能性がある」と宣言している状態です。 |
| DKIM | 不明 | DKIM の検証結果がメールヘッダに付与されていません。電子署名による送信元の正当性が確認できない状態です。 |
| DMARC | 不明 | DMARC の検証結果がメールヘッダに付与されていません。ドメインレベルでの認証ポリシー適用の確認ができない状態です。 |
総合的な示唆:SPF がsoftfail を示し、DKIM・DMARC の検証結果が付与されていないことから、このメールの送信元が正規のアメリカン・エキスプレスのインフラではないことが強く示唆されます。一般的に、大手金融機関は SPF・DKIM・DMARC すべてを適切に設定した自社メールインフラからメールを配信します。
3. 送信に使用されたメールクライアント
観測事実:メールヘッダの X-Mailer フィールドに「Mozilla Thunderbird 115.8.2」が記録されています。
示唆:Mozilla Thunderbird はデスクトップ向けのメールクライアントです。一般的に、大手金融機関が顧客向けのセキュリティ通知をデスクトップメールクライアントから手動で送信することは考えにくく、通常はエンタープライズ向けのメール配信基盤が使用されます。この点は、送信元が正規のアメリカン・エキスプレスではないことを示す補助的な指標です。
4. HTMLメール内の誘導リンク
HTMLメールの構造解析により、以下の2件のリンクが確認されました。
| 表示文言 | リンク先(href) | 役割 |
|---|---|---|
| 「今すぐ取引を確認する」 | hxxps://www[.]cessasiacoach[.]com/aoe/ | メインのCTA(行動喚起)ボタン |
| 「こちらのページ」 | #(ダミーリンク) | フッターの配信停止リンク(機能しない) |
観測事実:メインの誘導ボタン「今すぐ取引を確認する」は、直前の本文で「アメリカン・エキスプレス・オンラインにログインし、取引の承認または否認の手続きを行ってください。確認が取れない場合、カードのご利用が制限される場合がございます」と煽った上で配置されています。リンク先はアメリカン・エキスプレスの正規ドメインではなく、cessasiacoach[.]com という無関係なドメインです。
また、フッターの「こちらのページ」リンクは href が「#」(ページ内アンカー)に設定されており、実際にはどこにも遷移しません。配信停止機能が実装されていないことから、正規の配信基盤から送信されたメールではないことが分かります。
5. 送信元サーバーの分析
| 項目 | 内容 |
|---|---|
| 送信元IP | 133[.]125[.]90[.]200 |
| 所在国 | 日本(JP) |
| 管理組織 | IRT-JPNIC-JP |
| CIDR | 133[.]125[.]90[.]0/24 |
示唆:送信元IPは日本国内に割り当てられたアドレスブロックに属しています。フィッシングメールの送信元として、国内のホスティングサービスが悪用されている可能性があります。
6. 誘導先インフラの分析
メインの誘導先
観測事実:誘導先URL hxxps://www[.]cessasiacoach[.]com/aoe/ は解析時点で稼働中であり、TDS(Traffic Direction System)の存在が検出されました。TDSとは、アクセスごとに異なるドメインやページにリダイレクトする仕組みであり、フィッシングインフラにおいてセキュリティベンダーの検知を困難にするために用いられる手法です。
今回の観測では、最終到達ドメインとして www[.]cessasiacoach[.]com が1種確認されましたが、TDSの性質上、アクセスタイミングや条件によって異なるドメインに誘導される可能性があります。
また、誘導先サイトのURLパスに「turnstile-check」という文字列が観測されており(hxxps://www[.]cessasiacoach[.]com/aoe/turnstile-check、602バイト、Server: cloudflare)、Cloudflare Turnstile等のbot検知機構が使用されている可能性が示唆されます。こうした仕組みが組み込まれている場合、自動化されたセキュリティスキャンでは偽サイトの内容を取得しにくくなり、検知が困難になります。
トラッキングURL
観測事実:メール内にはもう1つのURL hxxps://www[.]rescuecanad[.]com/pixel[.]php?id=88142f3ed88c994b が含まれています。このURLは解析時点で稼働中であり、レスポンスサイズが68バイトと非常に小さいことから、メール開封を追跡するためのトラッキングピクセル(1×1ピクセルの不可視画像)として機能している可能性があります。
受信者がHTMLメールを開封するだけで、攻撃者に「このメールアドレスは有効で、メールを読んでいる」という情報が伝わるおそれがあります。
誘導先ドメインの共通点
| ドメイン | 用途 | サーバー |
|---|---|---|
| www[.]cessasiacoach[.]com | フィッシングサイト本体(TDS経由) | cloudflare |
| www[.]rescuecanad[.]com | トラッキングピクセル | cloudflare |
両ドメインとも Cloudflare の CDN を使用しています。Cloudflare のCDNサービスを利用することで、実際のホスティングサーバーのIPアドレスが隠蔽され、テイクダウン(サイト閉鎖)対応が複雑化します。
フィッシング判定の総合根拠
本メールがフィッシング詐欺であると判定した根拠は、以下の複数の証拠の組み合わせに基づきます。単一の証拠のみで判断したものではありません。
- ブランド詐称(確認済み):表示名を「American Express」としながら、実際の送信元ドメインは myple[.]jp であり、一般に知られるアメリカン・エキスプレスの公式ドメインとは無関係です。
- SPF softfail(確認済み):送信元IPは myple[.]jp のSPFレコードによっても完全に認可されておらず、正規の送信元ではないことを示しています。
- DKIM・DMARCの検証結果欠如:いずれの検証結果もメールヘッダに付与されておらず、送信元の正当性を技術的に確認する手段がありません。
- 誘導先が無関係な外部ドメイン(確認済み):CTAボタンのリンク先は cessasiacoach[.]com であり、アメリカン・エキスプレスの正規サイトではありません。
- TDS(Traffic Direction System)の検出(確認済み):誘導先にはアクセスごとにリダイレクト先を変える攻撃インフラが存在し、フィッシングキットに特徴的な構成です。
- デスクトップメールクライアントでの送信:X-Mailer に Mozilla Thunderbird が記録されており、正規の金融機関のメール配信基盤とは異なります。
- 中国語テキストの混在:日本語メール内に中国語の「退订」が含まれており、フィッシングキットの出自が日本語圏外である可能性を示唆します。
IOC(侵害指標)一覧
| 種別 | 値 | 備考 |
|---|---|---|
| 件名 | 【重要】アメックスセキュリティ通知:「大丸 東京店」でのご利用確認をお願いします | — |
| 差出人ドメイン | myple[.]jp | 表示名は「American Express」 |
| 送信元IP | 133[.]125[.]90[.]200 | JP / IRT-JPNIC-JP / 133[.]125[.]90[.]0/24 |
| 誘導URL | hxxps://www[.]cessasiacoach[.]com/aoe/ | TDS検出・稼働中 |
| トラッキングURL | hxxps://www[.]rescuecanad[.]com/pixel[.]php?id=88142f3ed88c994b | 稼働中 |
| 誘導先ドメイン | www[.]cessasiacoach[.]com | Server: cloudflare |
| トラッキングドメイン | www[.]rescuecanad[.]com | Server: cloudflare |
| SHA-256(メール) | ebfa031ad0e5153a0735bd9720edcca450ee1318f0d1f703b3a6b6c9d90d3805 | — |
PhishTank登録状況
| URL | 登録状況 |
|---|---|
| hxxps://www[.]cessasiacoach[.]com/aoe/ | 未登録 |
| hxxps://www[.]rescuecanad[.]com/pixel[.]php?id=88142f3ed88c994b | 未登録 |
本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処方法
- 「今すぐ取引を確認する」ボタンを絶対にクリックしないでください。リンク先はアメリカン・エキスプレスの正規サイトではなく、フィッシングサイトへの誘導です。
- メールを開封しただけでも注意が必要です。本メールにはトラッキングピクセルが埋め込まれている可能性があり、開封したことが攻撃者に通知されるおそれがあります。今後、同じアドレス宛に追加のフィッシングメールが届く可能性を念頭に置いてください。
- 万が一リンク先にアクセスしてしまった場合:
- カード番号・パスワード・個人情報を入力してしまった場合は、速やかにカード裏面に記載されたアメリカン・エキスプレスの正規の電話番号に連絡し、カードの利用停止と再発行を依頼してください。
- アメリカン・エキスプレスのオンラインサービスと同じパスワードを他のサービスでも使用している場合は、それらのパスワードもすべて変更してください。
- 本物の利用通知か不安な場合:メール内のリンクは使わず、ブラウザのアドレスバーにアメリカン・エキスプレスの公式サイトのURLを直接入力してログインするか、カード裏面の電話番号に問い合わせてください。
- メールの削除:確認が済んだら、このメールを削除してください。
見分けるためのポイント
今回のフィッシングメールには、注意深く確認すれば見分けられる不審点がいくつかあります。今後、同様の手口のメールを受け取った際の参考にしてください。
- 差出人のメールアドレスを確認する:表示名が「American Express」であっても、実際のメールアドレスのドメイン部分(@以降)がアメリカン・エキスプレスの公式ドメインであるか確認してください。本件では myple[.]jp というまったく無関係なドメインが使用されていました。
- リンク先URLを確認する:ボタンやリンクにカーソルを合わせると、実際のリンク先URLがブラウザの下部などに表示されます。正規のアメリカン・エキスプレスのURLかどうかを確認してください。本件では cessasiacoach[.]com という無関係なドメインが使われていました。
- 焦らせる文面に注意する:「至急」「制限される」などの文言で急かすメールは、冷静な判断を妨げる意図で書かれている可能性があります。正規の金融機関は、取引確認のために極端な焦りを煽ることは一般的ではありません。
- 不自然な言語の混在に注目する:本件では日本語メールのフッターに中国語の「退订」が混在していました。正規のアメリカン・エキスプレスの日本語メールにこのような表記が含まれることは考えにくいものです。
- メール内のリンクに頼らない:取引確認が必要と思われる場合でも、メール内のボタンやリンクは使わず、公式サイトに直接アクセスするか、カード裏面の電話番号に連絡する習慣をつけてください。
