フィッシング

「【アメリカン・エキスプレス】ポイントの有効期限が近づいています」はフィッシング詐欺メール ― 手口と見分け方を徹底解説

フィッシングメール本文のスクリーンショット
フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません)
フィッシングサイトのスクリーンショット
誘導先サイトのスクリーンショット(解析時点)
注意: 本記事は自動解析で収集できた証拠が限定的です。追加の技術検証が推奨されます。

記事を作成します。解析結果を精査し、全ルールに準拠したHTML記事を出力します。

⚠ このメールはフィッシング詐欺であることが確認されています

アメリカン・エキスプレスを装い、「ポイントの有効期限が迫っている」と偽って個人情報やカード情報を窃取しようとする詐欺メールです。メール内のリンクは絶対にクリックしないでください。

検出概要

検出日時 2026年4月19日 16:00(JST)
分類 フィッシング(確定)
偽装ブランド アメリカン・エキスプレス(なりすまし確認済み)
カテゴリ 金融(finance)
件名 【アメリカン・エキスプレス】ポイントの有効期限が近づいています
SHA256 c58ac3feeaab24af711df22bb276216fdb0a3da7a1c0bee8f172e5a68732b64a

受信したメールの全文

以下は、実際に送信されたフィッシングメールの本文です。読者が同一のメールを受信した際に照合できるよう、全文を引用します。

メンバーシップ・リワード ポイント有効期限のお知らせ

メンバーシップ・リワード ポイント有効期限のお知らせ

いつもアメリカン・エキスプレスをご利用いただき、誠にありがとうございます。

お客様が保有されているメンバーシップ・リワードのポイントに有効期限が近づいておりますので、お知らせいたします。

保有ポイント残高 171,000 ポイント

有効期限 2026年4月20日

有効期限を過ぎますと、ポイントは失効し、再取得することができません。失効前のご利用をお勧めいたします。

ポイントを確認する

お問い合わせ カード裏面に記載のカスタマーサービスまでお問い合わせください。

電話: 0[郵便番号]20(24時間年中無休)

© American Express Travel Related Services Company, Inc.

本メールは配信専用です。ご返信いただいてもお答えできませんのでご了承ください。

技術解析:なぜフィッシングと判断できるのか

本メールをフィッシングと判断した根拠は単一の指標ではなく、複数の技術的証拠の組み合わせに基づいています。以下、各観点から解析結果を解説します。

1. 差出人情報の偽装(確認済み)

From(差出人) American Express <[受信者][@]takanashicamz[.]com>
Return-Path(返信先) [受信者]+canttzvt[@]online-farewell[.]com
smtp[.]mailfrom [受信者]+canttzvt[@]online-farewell[.]com

【観測事実】 差出人の表示名は「American Express」ですが、実際のメールアドレスのドメインは takanashicamz[.]com です。さらに、Return-Path(エンベロープ差出人)のドメインは online-farewell[.]com であり、Fromヘッダーとも異なります。

【示唆】 アメリカン・エキスプレスは、一般に americanexpress[.]com ドメインからメールを配信していることが公式サイトで確認できます。本メールの送信に使われた takanashicamz[.]comonline-farewell[.]com は、同社とは無関係のドメインです。

【判断】 差出人ドメインがアメリカン・エキスプレスの正規ドメインと一致せず、FromとReturn-Pathでも異なるドメインが使用されていることから、第三者がブランド名を騙って送信したメールであることが確認されました。

なお、Return-Pathに付与された「+canttzvt」のようなタグ文字列は、正規の配信システムでもVERP(Variable Envelope Return Path)形式として使われることがあるため、これ単体では不正の根拠とはなりません。しかし、ドメイン自体が正規のものでないという事実と組み合わせると、攻撃者による送信基盤の使用を示す補助的指標となります。

2. メール認証結果の解説

SPF pass
DKIM pass
DMARC pass

重要:メール認証がすべて「pass」でも、正規メールとは限りません

【観測事実】 SPF・DKIM・DMARCの3つのメール認証はいずれも「pass」(合格)となっています。一見すると、正規のメールであるように見えるかもしれません。

【示唆】 ここで理解すべき重要な点は、これらの認証が証明するのは「メールアドレスのドメイン(この場合は takanashicamz[.]comonline-farewell[.]com)の管理者がこのメール送信を許可した」という事実のみであるということです。アメリカン・エキスプレスが送信したことを証明するものではありません。

各認証の意味を解説します:

  • SPF(Sender Policy Framework):送信サーバーのIPアドレスが、Return-Pathドメイン(online-farewell[.]com)のDNSに登録された許可リストに含まれていることを確認する仕組みです。passは「online-farewell[.]com のドメイン管理者がこのIPからの送信を許可している」ことを意味します。
  • DKIM(DomainKeys Identified Mail):メール本文とヘッダーに電子署名を付与し、送信後に改ざんされていないことを確認する仕組みです。passは署名が有効であることを意味します。
  • DMARC(Domain-based Message Authentication, Reporting and Conformance):SPFまたはDKIMの認証ドメインがFromアドレスのドメインと一致(アライメント)しているかを確認する仕組みです。passは、Fromドメイン(takanashicamz[.]com)とDKIM署名ドメインが一致していることを意味します。

【判断】 攻撃者は独自に取得したドメインに対してSPF・DKIM・DMARCを適切に設定しており、メール認証チェックをすべて通過するよう設計しています。これは、メール認証だけに頼ったフィルタリングを回避する巧妙な手法です。メール認証がpassしていても、Fromアドレスのドメインが正規ブランドのドメインと一致するかどうかを確認することが重要です。

3. メーラー情報

【観測事実】 メールヘッダーの X-Mailer フィールドには「Yxtjuinue 2」と記録されています。

【示唆】 この名称は一般的に知られているメールクライアントやメール配信システムには該当しません。アメリカン・エキスプレスのような大手企業は、一般的に専用の配信プラットフォームを使用しており、このようなメーラー名が使われることは考えにくい状況です。正規のメーラー名ではない可能性を示す補助的な指標です。

4. 送信元サーバー

送信元IP 133[.]125[.]225[.]59
所在国 日本(JP)
管理組織 IRT-JPNIC-JP
CIDR 133[.]125[.]225[.]0/24

【観測事実】 メールは日本国内のIPアドレス 133[.]125[.]225[.]59(IRT-JPNIC-JP管理下)から送信されています。

【示唆】 日本国内のサーバーから送信されているため、「海外からの不審メール」としてフィルタリングされにくく、受信者の警戒を下げる効果があります。攻撃者が日本国内のホスティングサービスを利用している、あるいは侵害されたサーバーを踏み台にしている可能性があります。

5. 誘導先URLの解析(確認済み)

本メールには2種類のURLが埋め込まれています。

(A)正規ブランドロゴの悪用

URL hxxps://cdaas[.]americanexpress[.]com/akamai/axp/comms/logos/logo[.]png
状態 稼働中
サイズ 1,598 bytes

【観測事実】 メール本文中のロゴ画像は、アメリカン・エキスプレスの正規CDN(cdaas[.]americanexpress[.]com)から読み込まれています。

【示唆】 攻撃者は正規のブランドロゴを公開CDNから直接参照することで、メールの見た目を本物そっくりにしています。正規ドメインからのリソース読み込みは、メールセキュリティ製品のホワイトリストに合致しやすく、フィルタリングを回避する効果もあります。ロゴが本物であっても、メール自体が正規であることの証明にはなりません。

(B)フィッシング誘導URL ― TDS(Traffic Direction System)を検出

初期URL hxxps://www[.]ametsukushiwel[.]com/aycczyom
リダイレクト 2段階のリダイレクトを経由
最終URL hxxp://www[.]ametsukushiwel[.]com/aycczyom/turnstile-check
サーバー Cloudflare
ソースサイズ 602 bytes
状態 稼働中(⚠ TDS検出)

【観測事実】 メール本文中の「ポイントを確認する」ボタンのリンク先は www[.]ametsukushiwel[.]com です。アクセスすると2段階のリダイレクトを経て、最終的に /turnstile-check というパスに到達します。この過程で TDS(Traffic Direction System) が検出されました。

【示唆】 TDS とは、アクセス元のIPアドレス、地域、デバイス、ブラウザなどの条件に基づいて、訪問者を異なるページに振り分ける仕組みです。攻撃者はこの技術を利用して、セキュリティ研究者や自動スキャナには無害なページを、一般ユーザーにはフィッシングページを表示するように設計できます。最終URLに含まれる「turnstile-check」は、Cloudflare Turnstile(ボット検出チャレンジ)を示唆しており、自動解析をさらに困難にしています。

【判断】 TDS の導入と Cloudflare によるアクセス制御は、場当たり的な攻撃ではなく、組織的に運用されたフィッシングインフラであることを示しています。アクセスするたびに異なるドメインにリダイレクトされる可能性があり、インフラの実態把握を意図的に困難にしています。

総合判断

判定:フィッシング詐欺(確定)

以下の複合的な根拠に基づき、本メールはアメリカン・エキスプレスを装ったフィッシング詐欺であることが確定しています:

  1. 差出人のメールアドレスが takanashicamz[.]com であり、アメリカン・エキスプレスの正規ドメインではない(確認済み
  2. Return-Path が online-farewell[.]com であり、From ドメインとも異なる第三者ドメインである(確認済み
  3. 誘導先 URL が ametsukushiwel[.]com であり、アメリカン・エキスプレスとは無関係のドメインにリダイレクトされる(確認済み
  4. TDS(Traffic Direction System)が検出され、組織的なフィッシングインフラが運用されている(確認済み
  5. メール認証(SPF/DKIM/DMARC)は攻撃者が管理するドメインに対して設定されており、正規ブランドの認証ではない(確認済み

この攻撃の手口と見分けるポイント

このフィッシングメールには、受信者を騙すための複数の巧妙な手口が用いられています。

手口1:極端な緊急性の演出

メールの送信日は 2026年4月19日 で、ポイントの有効期限は 2026年4月20日(翌日)とされています。「明日で171,000ポイントが失効する」という状況を作ることで、受信者に冷静な判断をさせず、即座にリンクをクリックさせようとしています。なお、アメリカン・エキスプレスのメンバーシップ・リワードは、一般にポイントに有効期限がないプログラムとして知られています。

手口2:高額ポイント残高の提示

「171,000ポイント」という具体的かつ高額な数字を提示することで、損失回避の心理(「せっかくのポイントを失いたくない」)を刺激し、リンクのクリックを促しています。

手口3:メール認証の完全突破

SPF・DKIM・DMARCをすべてpassにすることで、多くのメールセキュリティ製品のフィルタリングを回避しています。「認証がpassだから安全」という一般的な認識を逆手に取った手法です。

手口4:正規ロゴの直接参照

アメリカン・エキスプレスの正規CDNからロゴ画像を読み込んでおり、メールの見た目は本物と見分けがつきにくくなっています。

見分けるポイント

  • 差出人のメールアドレスを確認する:表示名が「American Express」でも、@以降のドメインが americanexpress[.]com でなければ偽物です。このメールでは takanashicamz[.]com が使われています。
  • リンク先URLを確認する:ボタンやリンクにカーソルを合わせ(タップではなく長押し)、表示されるURLのドメインを確認してください。americanexpress[.]com 以外のドメインであれば危険です。
  • 「翌日失効」の極端な期限に注意する:正規の企業は通常、有効期限の数週間〜数ヶ月前に通知を行います。翌日失効を初めて通知するケースは極めて不自然です。
  • 公式アプリ・サイトで直接確認する:ポイント残高や有効期限は、メール内のリンクからではなく、ブックマーク済みの公式サイトまたは公式アプリから確認してください。

IOC(Indicator of Compromise)一覧

セキュリティ担当者向けに、本フィッシングメールに関連する侵害指標を以下にまとめます。

メールヘッダー

項目
From ドメイン takanashicamz[.]com
Return-Path ドメイン online-farewell[.]com
X-Mailer Yxtjuinue 2
Subject encoding utf-8

送信元IP

項目
IPアドレス 133[.]125[.]225[.]59
CIDR 133[.]125[.]225[.]0/24
JP(日本)
組織 IRT-JPNIC-JP

関連URL

URL 種別 状態
hxxps://www[.]ametsukushiwel[.]com/aycczyom フィッシング 稼働中
hxxp://www[.]ametsukushiwel[.]com/aycczyom/turnstile-check リダイレクト先 稼働中
hxxps://cdaas[.]americanexpress[.]com/akamai/axp/comms/logos/logo[.]png ロゴ悪用(正規CDN) 稼働中

関連ドメイン

ドメイン 用途
takanashicamz[.]com From ドメイン(なりすまし送信元)
online-farewell[.]com Return-Path ドメイン(エンベロープ送信元)
www[.]ametsukushiwel[.]com フィッシング誘導先(TDS検出)

ファイルハッシュ

種別
SHA256(.eml) c58ac3feeaab24af711df22bb276216fdb0a3da7a1c0bee8f172e5a68732b64a

PhishTank登録状況

URL 登録状況
hxxps://www[.]ametsukushiwel[.]com/aycczyom 未登録
hxxps://cdaas[.]americanexpress[.]com/akamai/axp/comms/logos/logo[.]png 未登録

本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

このメールを受け取った場合の対処法

リンクをクリックしていない場合

  • メールを開いただけでは被害は発生しません。メールを削除してください。
  • 同様のメールが今後届く可能性があるため、差出人ドメインの確認を習慣づけてください。

リンクをクリックしたが、情報を入力していない場合

  • ブラウザのタブを即座に閉じてください。
  • ブラウザの閲覧履歴とキャッシュを削除してください。
  • 念のため、アメリカン・エキスプレスの公式アプリまたは公式サイトにブックマークから直接アクセスし、アカウントに異常がないか確認してください。

カード番号やログイン情報を入力してしまった場合

  • 直ちにアメリカン・エキスプレスのカスタマーサービスに連絡し、カードの利用停止と再発行を依頼してください。カード裏面の電話番号、または公式サイトに記載の番号に連絡してください。
  • アメリカン・エキスプレスのオンラインサービスのパスワードを変更してください。他のサービスで同じパスワードを使い回している場合は、それらも変更してください。
  • クレジットカードの利用明細を確認し、身に覚えのない取引がないかチェックしてください。
  • 不正利用が確認された場合は、最寄りの警察署および消費者ホットライン(188)に相談してください。

まとめ

本件は、メール認証(SPF/DKIM/DMARC)をすべて通過させ、正規ブランドのCDNからロゴを直接参照し、TDSを用いたリダイレクト型インフラを使用するという、複数の高度な手法を組み合わせたフィッシング攻撃です。「メール認証がpassだから安全」「ロゴが本物だから正規メール」という一般的な判断基準が通用しないことを示しています。

メールの真偽を判断する際は、表示名ではなく、メールアドレスの@以降のドメインを確認し、リンク先は必ずURLのドメインを確認してからクリックしてください。ポイント残高の確認は、メール内のリンクからではなく、公式アプリやブックマーク済みの公式サイトから行うことを強くお勧めします。

検出されたドメイン・URL一覧
ドメイン 区分 状態 検出方法 登録情報
cdaas[.]americanexpress[.]com 入口URL 稼働中 メール本文
www[.]ametsukushiwel[.]com 入口URL 稼働中 メール本文

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,