フィッシング

2026/4/3

【American Express】3,000ポイント付与完了｜有効期限をご確認ください ― アメリカン・エキスプレスを騙るフィッシングメールを確認

2026年4月2日、アメリカン・エキスプレスの公式メールに見せかけたフィッシングメールが流通していることを確認しました。件名に「3,000ポイント付与完了」という受け取り有利な文言を用い、ポイント失効不安を煽って偽サイトへ誘導する手口です。本記事では、メール認証・送信インフラ・誘導先URLの技術解析結果とともに注意点を解説します。

フィッシングサイトのスクリーンショット — 誘導先サイトのスクリーンショット（解析時点）

メール概要

見出し

1 メール概要
2 フィッシング判定の根拠
3 送信元インフラ解析
- 3.1 送信元 IP アドレス
4 誘導先 URL・インフラ解析
5 メール本文（全文引用）
- 5.1 本文の不自然な点
6 手口の解説：なぜ引っかかるのか
7 対処方法
- 7.1 このメールを受け取った場合
- 7.2 今後のフィッシングメール対策
8 IOC（侵害指標）一覧
9 技術用語の解説

項目	値
件名	【American Express】3,000ポイント付与完了｜有効期限をご確認ください
差出人（表示名）	アメリカン・エキスプレス <roguin[@]craco[.]com>
Return-Path	<roguin[@]craco[.]com>
受信日時	2026-04-02 08:03:06 +0900
メール SHA256	`27a7b108ab1609e667f8fb39fa57164dd49b6453917fcbb839404c958ffb8d4b`
件名エンコーディング	UTF-8
フィッシング判定	確定

フィッシング判定の根拠

本メールをフィッシング詐欺と判定した根拠は単一の指標ではなく、以下の複合的な証拠に基づいています。

① 差出人ドメインとブランドの不整合（確認済み）

観測事実： メールの From ヘッダーおよび Return-Path はいずれも craco[.]com ドメインを使用しています。アメリカン・エキスプレスの公式送信元として一般に知られているドメイン（公式サイトで確認できる americanexpress[.]co[.]jp 等）とは一致しません。

示唆： 正規の大手金融機関が、自社ブランド名と無関係な第三者ドメインからメールを送信することは通常ありません。表示名を「アメリカン・エキスプレス」と偽ることで、受信者が差出人アドレスを確認しないことを狙っています。

② SPF 認証の失敗（確認済み）

観測事実： SPF（Sender Policy Framework）検証の結果は fail でした。SPF とは、ドメインの正規送信サーバーをあらかじめ DNS に登録し、受信サーバーが「このメールは本当に正規サーバーから来たか」を検証する仕組みです。fail は、送信元 IP がそのドメインの SPF レコードで許可されていないことを意味します。

示唆： craco[.]com の管理者が意図しないサーバー（後述の Google LLC の IP）からメールが送信されたことを示しています。攻撃者が craco[.]com の正規インフラを使っていない、または乗っ取ったアカウントを悪用している可能性を示唆します。

③ DKIM・DMARC の検証結果未付与（確認済み）

観測事実： DKIM（DomainKeys Identified Mail）および DMARC（Domain-based Message Authentication, Reporting and Conformance）の検証結果がヘッダーに付与されていない状態でした。

示唆： DKIM は送信者が電子署名を付与することでメール改ざんを検知する仕組みです。DMARC は SPF/DKIM の結果をポリシーとして統合します。これらの結果が付与されていない状態は、送信インフラが正規の認証設定を備えていないことを示唆します。

④ 総合判断

差出人ドメインとブランドの不整合（craco[.]com からのアメリカン・エキスプレス詐称）、SPF fail による送信元の非正規性、そして DKIM/DMARC 結果の不在という複合的な証拠により、本メールをフィッシング詐欺と確定判断しました。

送信元インフラ解析

送信元 IP アドレス

項目	値
IP アドレス	`34[.]97[.]29[.]172`
所属組織	Google LLC
CIDR ブロック	`34[.]64[.]0[.]0/10`

観測事実： メールの送信元 IP 34[.]97[.]29[.]172 は、Google LLC が管理する 34[.]64[.]0[.]0/10 のアドレスブロックに属しています。

示唆： これは Google Cloud Platform（GCP）のクラウドインフラから送信されたことを示唆します。攻撃者が GCP の仮想マシンやサービスを不正利用してメールを送信する手法は一般的に確認されており、信頼性の高いクラウドサービスの IP を利用することでスパムフィルターをすり抜ける狙いがあると考えられます。SPF fail の結果と合わせて、craco[.]com ドメインの正規送信インフラではないことが確認できます。

誘導先 URL・インフラ解析

検出された URL

URL（難読化）	状態	用途推定
`hxxps://ohannisbergerewwo[.]u31m06r[.]com`	停止/エラー	フィッシング誘導先（主URL）
`hxxps://iili[.]io/qAx1mjR[.]jpg`	稼働中	メール本文内の画像（偽装用）
`hxxps://iili[.]io/qAx1bTv[.]png`	稼働中	メール本文内の画像（偽装用）

主要誘導先ドメイン: ohannisbergerewwo[.]u31m06r[.]com

観測事実： メール本文中にリンクが埋め込まれていた ohannisbergerewwo[.]u31m06r[.]com は、解析時点で停止またはエラー状態でした。ドメイン u31m06r[.]com はランダムな英数字から構成されており、一般的なブランドや実在する組織名との関連を持ちません。

示唆： ランダム英数字ドメインは短期利用・使い捨てを目的として攻撃者が登録するケースが多く確認されています。解析時点での停止は、発覚後の緊急停止またはキャンペーン終了を示唆しますが、再稼働の可能性も排除できません。

画像ホスティング: iili[.]io

観測事実： iili[.]io は一般に無料の画像ホスティングサービスとして知られており、本メールではアメリカン・エキスプレスのロゴや装飾画像のホスティングに利用されていました。Cloudflare 経由で配信されており、解析時点で両画像（JPG: 22,325バイト、PNG: 31,660バイト）は稼働中でした。

示唆： 正規の無料画像サービスを利用することで、画像配信元のドメインの信頼性を借用し、セキュリティフィルターの検知を回避しようとする手法が一般的に確認されています。メール本体には怪しい添付ファイルを含まず、視覚的にはアメリカン・エキスプレスの公式メールに見えるよう作り込まれています。

メール本文（全文引用）

以下は受信したフィッシングメールの本文全文です。同じメールを受信した方が検索で本記事に辿り着けるよう、全文を掲載します。

お客様にとって、一番頼りになる存在でありたい。ブラウザで見る方はこちらアメリカン・エキスプレスのサービスをご利用いただき、誠にありがとうございます。

3000アメックスのポイントを受け取る

ポイントの有効期限の確認を

マイアカウントの「ポイント有効期限を確認する」から確認できますポイントの有効期限は最長3年です。ポイントを獲得したプログラム年度（1年目）から起算して、3年目のプログラム年度の終了日を過ぎると、1年目で獲得したポイントが全て失効します。有効期限が過ぎて失効したポイントの復元は承ることができません。あらかじめご了承ください。ポイント有効期限は、一度交換すると無期限になります。

ポイント有効期限の確認と交換を忘れずにプログラム年度の終了日は各カード会員様で異なります。ログイン後、確認できます。

詳細を確認する

注意事項
・配信アドレスの変更は、マイアカウントにログイン後、”ご登録情報の変更”よりお手続きください。
・本Eメールは送信専用Eメールアドレスから配信されています。ご返信いただいてもお応えいたしかねますのでご了承ください。
・顧客プライバシーにつきましては、こちらをクリックしてご覧いただけます。

【発行】アメリカン・エキスプレス・インターナショナル, Inc. [住所]1号 americanexpress[.]co[.]jp Copyright © Ameri can Expr ess International, Inc. All Rights Reserved. rhnxaggepoeyfwntncqknm

本文の不自然な点

著作権表記の不自然な分割： 「Ameri can Expr ess」と単語が不自然に分割されています。これはキーワードフィルター（スパムフィルター）による検知を回避するための改ざんと考えられます。正規のアメリカン・エキスプレスのメールにこのような表記は存在しません。
末尾のランダム文字列： 「rhnxaggepoeyfwntncqknm」という意味のない文字列が末尾に付加されています。ハッシュベースのフィルターに対し、メール毎に異なる文字列を付与することでシグネチャ一致による検知を回避する手法として一般的に知られています。
住所の不完全な記述： 「[住所]1号」という記述は明らかに不完全であり、正規の企業メールでは法人の正式住所が記載されます。
「3000アメックスのポイントを受け取る」リンク： ポイントが「すでに付与された」と件名で主張しながら、本文では「受け取る」というアクションを促す矛盾が見られます。焦りと期待感を同時に煽ることで、リンクをクリックさせようとする心理的誘導の典型的パターンです。

手口の解説：なぜ引っかかるのか

「ポイント失効」という心理的プレッシャー

このフィッシングメールは「3,000ポイントが付与された」という得をした感覚と、「有効期限が切れると失効する」という損失回避の心理を同時に利用しています。ポイントサービスに加入している利用者は、実際に有効期限の案内メールを受け取ることがあるため、フィッシングメールとの区別が難しく感じられます。

見た目の信頼性の演出

iili[.]io という正規の画像ホスティングサービスからアメリカン・エキスプレスのロゴや装飾画像を読み込ませることで、メールクライアント上での見た目は本物そっくりに表示されます。HTMLメールのレンダリング結果だけを見ると、公式メールと区別がつきにくい場合があります。

GCP 経由の送信による到達率の向上

Google LLC の IP アドレスからの送信は、一般に信頼性が高いとして扱われるケースがあります。攻撃者はこれを悪用し、迷惑メールフォルダへの振り分けを回避しようとします。ただし、SPF fail というメール認証の失敗は、適切に設定された受信サーバーであれば検知可能です。

対処方法

このメールを受け取った場合

メール内のリンクは絶対にクリックしないでください。 「詳細を確認する」「ポイントを受け取る」等のボタン・リンクはすべて偽サイトへの誘導です。
差出人アドレスを確認してください。 表示名が「アメリカン・エキスプレス」であっても、実際の送信元が roguin[@]craco[.]com のような無関係ドメインであれば偽物です。
ポイント残高の確認は必ず公式アプリまたは公式サイトから直接行ってください。 メールのリンクを経由せず、ブラウザのアドレスバーに直接 URL を入力するか、公式アプリを使用してください。
すでにリンクをクリックしてしまった場合： 情報を入力していなければ直ちにブラウザを閉じてください。カード番号や ID・パスワード等を入力してしまった場合は、すぐにアメリカン・エキスプレスの公式窓口（公式サイトで確認できる番号）に連絡してカードの利用停止と再発行を依頼してください。
迷惑メールとして報告し、削除してください。

今後のフィッシングメール対策

金融機関・カード会社からのメールは、件名や文面に関わらず、メール内のリンクを使わず公式アプリ・公式サイトへ直接アクセスする習慣をつけてください。
「ポイント失効」「アカウント停止」「不審なアクセス」など、緊急性を煽る件名のメールは特に注意が必要です。焦らず、送信元アドレスを確認する習慣をつけてください。
メールクライアントで「送信者認証の結果」が確認できる場合は、SPF/DKIM/DMARC の pass/fail を確認することが有効です。

IOC（侵害指標）一覧

セキュリティ製品への登録やブロックリスト作成にご活用ください。

メールヘッダー

種別	値
SHA256	`27a7b108ab1609e667f8fb39fa57164dd49b6453917fcbb839404c958ffb8d4b`
送信元メールアドレス	`roguin[@]craco[.]com`
Return-Path	`roguin[@]craco[.]com`
送信元 IP	`34[.]97[.]29[.]172`
送信元 CIDR	`34[.]64[.]0[.]0/10`（Google LLC）

URL・ドメイン

種別	値	状態
誘導先 URL	`hxxps://ohannisbergerewwo[.]u31m06r[.]com`	停止/エラー
画像 URL	`hxxps://iili[.]io/qAx1mjR[.]jpg`	稼働中
画像 URL	`hxxps://iili[.]io/qAx1bTv[.]png`	稼働中
誘導先ドメイン	`ohannisbergerewwo[.]u31m06r[.]com`	―
親ドメイン	`u31m06r[.]com`	―
画像ホスト	`iili[.]io`	稼働中

PhishTank 登録状況

URL	登録状況
`hxxps://ohannisbergerewwo[.]u31m06r[.]com`	本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
`hxxps://iili[.]io/qAx1mjR[.]jpg`	本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
`hxxps://iili[.]io/qAx1bTv[.]png`	本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

技術用語の解説

SPF（Sender Policy Framework）: メールドメインの管理者が「このドメインから送信してよいサーバーの IP アドレス」を DNS に登録しておく仕組みです。受信サーバーは送信元 IP とこのリストを照合します。fail はリストに含まれないサーバーからの送信を意味し、なりすましメールの重要な指標になります。
DKIM（DomainKeys Identified Mail）: 送信者がメールに電子署名を付与し、受信側が署名を検証することで、メールの改ざんと送信元の正当性を確認する仕組みです。検証結果がヘッダーに付与されていない状態は、送信インフラが DKIM 署名を行っていないことを示します。
DMARC（Domain-based Message Authentication, Reporting and Conformance）: SPF と DKIM の両方の結果を統合し、認証に失敗したメールをどう扱うか（隔離・拒否等）をドメイン管理者がポリシーとして設定できる仕組みです。DMARC が適切に設定されていれば、SPF/DKIM 失敗時にメールを自動的に隔離・拒否できます。
Return-Path: メール送信時に設定される「配送失敗通知の返送先」アドレスです。差出人表示（From）とは独立して設定でき、フィッシングメールでは From と Return-Path が同一でも、ともに詐称されている場合があります。
IOC（Indicator of Compromise：侵害指標）: サイバー攻撃やフィッシングキャンペーンと関連する技術的な証拠情報（IP アドレス、ドメイン、URL、ファイルハッシュ等）のことです。セキュリティ製品のブロックリストや調査に活用されます。