「アメリカン・エキスプレスから、特別なベネフィット進呈に関するお知らせ」はフィッシング詐欺メールです
解析結果を元に、防御啓発に特化したフィッシング注意喚起記事を作成します。
公開日: 2026年4月23日
分類: フィッシング(確定)
偽装ブランド: American Express(アメリカン・エキスプレス)
2026年4月23日、American Express(アメリカン・エキスプレス)のプラチナ・カード®会員向け特別優待を装ったフィッシングメールが確認されました。「国内提携ホテル無料宿泊券」「ユニバーサル・スタジオ・ジャパン年間パス」「80,000リワードポイント進呈」など、複数の高額特典を同時に提示して受信者の関心を引き、偽サイトへ誘導する手口です。本記事では、このメールがフィッシング詐欺であると判断した技術的根拠を詳細に解説します。
メールの概要
見出し
| 件名 | アメリカン・エキスプレスから、特別なベネフィット進呈に関するお知らせ |
|---|---|
| 差出人(From) | American Express <privacy[@]adjustednetincome[.]com> |
| Return-Path | [受信者]+canttzvt[@]example[.]com |
| 受信日時 | 2026年4月23日 05:38 (JST) |
| SHA256 | 66f18a4fae25f4883656fb2ade17930809c6b1d420a8a0e26c898d2364bc623f |
差出人アドレスの分析
このメールには3つの異なるドメインが関与しており、それぞれがAmerican Expressの正規ドメインとは無関係です。
| 項目 | ドメイン | 評価 |
|---|---|---|
| Fromヘッダー | adjustednetincome[.]com | American Express正規ドメインではない |
| Return-Path / smtp[.]mailfrom | example[.]com | Fromドメインとも一致しない第三のドメイン |
| 画像配信 | expresscompanynetwork[.]com | American Express正規ドメインではない |
観測事実: 差出人(From)のドメインは adjustednetincome[.]com、Return-Pathのドメインは example[.]com であり、メール送信に2つの異なるドメインが使用されています。さらに、メール本文内の画像は expresscompanynetwork[.]com から配信されています。
示唆: American Expressからの正規のメールは、一般に americanexpress[.]com に関連するドメインから送信されることが公式サイトで案内されています。本メールで使用されている3つのドメインは、いずれもAmerican Expressとは無関係であり、かつFromとReturn-Pathのドメインが異なることは、メールの送信経路を意図的に偽装している可能性を示しています。
なお、Return-Pathに含まれる「+canttzvt」の形式はVERP(Variable Envelope Return-Path)と呼ばれ、正規のメール配信でもバウンス管理の目的で使用されることがあるため、これ単体で不正とは断定できません。しかし、他の証拠と合わせて評価する必要があります。
メール認証結果の分析
| 認証方式 | 結果 | 解説 |
|---|---|---|
| SPF | pass | example[.]com のSPFレコードに対する検証結果 |
| DKIM | 不明 | 検証結果が付与されていない |
| DMARC | 不明 | 検証結果が付与されていない |
SPFの結果について
観測事実: SPFの検証結果は「pass」ですが、これはsmtp[.]mailfromドメインである example[.]com に対する検証結果です。
示唆: SPF(Sender Policy Framework)は、メールの「封筒の差出人」(envelope from)として記載されたドメインの正当性を検証する仕組みです。この検証はメールソフトに表示される「From」アドレスのドメインとは異なるドメインに対して行われます。そのため、SPFがpassであっても、表示上の差出人であるAmerican Expressから送信された正規のメールであることを意味するものではありません。example[.]com のサーバーから正しく送信されたことを示しているに過ぎません。
DKIM・DMARCについて
観測事実: DKIMおよびDMARCの検証結果はメールヘッダーに付与されていません。
示唆: 検証結果が付与されていない理由は複数考えられ、送信者がDKIM署名を設定していない場合や、受信サーバーが検証結果を記録しなかった場合などがあります。一般に、大手金融機関からの正規のメールではDKIM署名とDMARCポリシーが設定されていることが多く、これらの検証結果が確認できないことは、正規のメール配信基盤から送信されていない可能性を補強する情報です。
送信ソフトウェアと送信元IP
X-Mailerヘッダー
観測事実: メールヘッダーのX-Mailerには「Supmailer 46[.]0[.]0」と記録されています。
示唆: Supmailerは一般に大量メール配信・ニュースレター送信用のソフトウェアとして知られています。大手金融機関が顧客向けの重要な通知に、こうした汎用の大量配信ソフトウェアを使用することは一般的ではなく、正規のメール配信基盤ではない環境から送信された可能性を示唆しています。
送信元IPアドレス
| 項目 | 値 |
|---|---|
| IPアドレス | 106[.]185[.]144[.]216 |
| 国 | 日本(JP) |
| 管理組織 | IRT-JPNIC-JP |
| CIDR | 106[.]185[.]144[.]0/24 |
観測事実: 送信元IPアドレスは日本国内に所在し、JPNICが管理するアドレスブロックに含まれています。
示唆: 国内のサーバーが利用されていますが、VPSやクラウドサービスは誰でも契約可能であるため、送信元が国内であること自体はメールの正当性を保証するものではありません。
誘導先URLの分析
リダイレクトチェーンとTDS
観測事実: メール本文内の「特典を受け取る」ボタンは以下のURLに誘導し、2回のリダイレクトを経て最終ページに到達します。
- 初期URL: hxxps://www[.]ameoonnmzc[.]com/aycczyom
- リダイレクト(2 hop)
- 最終到達URL: hxxp://www[.]ameoonnmzc[.]com/aycczyom/turnstile-check
この過程でTDS(Traffic Direction System)の存在が検出されています。
TDS(Traffic Direction System)とは: TDSは、アクセス元のIPアドレス、ブラウザ、地域、デバイスなどの情報に基づいて、訪問者を異なるページに振り分けるシステムです。フィッシング攻撃では、セキュリティ研究者やボットには無害なページを表示し、一般の利用者にのみフィッシングページを表示するために悪用されます。今回の観測では1つのドメインのみが確認されましたが、TDSの特性上、アクセスごとに異なるドメインにリダイレクトされる可能性があります。
注目すべき点: リダイレクトの過程でHTTPS(暗号化通信)からHTTP(非暗号化通信)へのダウングレードが発生しています。正規の金融機関のWebサイトでは、一般にすべてのページでHTTPS接続が維持されます。
Cloudflare Turnstileの悪用
観測事実: 最終到達ページのURLには「turnstile-check」が含まれており、サーバーヘッダーは「cloudflare」、ページサイズはわずか602バイトです。
示唆: Cloudflare Turnstileは、本来Webサイトをボットから保護するための正規のサービスです。しかし、フィッシング攻撃者がこれを悪用することで、セキュリティスキャナーやクローラーがフィッシングページに到達することを防ぎ、人間の被害者のみにフィッシングフォームを表示する「門番」として機能させている可能性があります。602バイトという極めて小さなページサイズは、外部のJavaScriptを読み込む最小限の構成であることを示唆しています。
PhishTank登録状況
当該URL hxxps://www[.]ameoonnmzc[.]com/aycczyom は、第三者フィッシング報告機関であるPhishTankにおいてフィッシングサイトとして確認済みです(phish_id: 9400739)。これは独立した第三者機関による検証結果であり、本メールがフィッシング詐欺であることを裏付ける有力な証拠です。
画像配信インフラの分析
観測事実: メール内に埋め込まれた画像は、以下のURLから配信されています。
hxxps://file[.]expresscompanynetwork[.]com/download/elp/data/image/[電話番号]819767672[.]png
| 項目 | 値 |
|---|---|
| 配信ドメイン | file[.]expresscompanynetwork[.]com |
| サーバーソフトウェア | Tengine |
| ファイルサイズ | 179,301 bytes(約175KB) |
| 状態 | 稼働中 |
示唆: 画像のファイル名に受信者の電話番号が含まれていることは、メール開封時の追跡(トラッキング)や受信者の識別を目的とした手法として知られています。メールソフトが画像を自動読み込みした時点で、攻撃者は「そのメールアドレスが有効で、メールが開封された」ことを確認できます。
ドメイン名「expresscompanynetwork」には「express」が含まれており、American Expressとの関連を連想させますが、同社の正規ドメインとは無関係です。また、サーバーソフトウェアのTengineは、一般にAlibaba(阿里巴巴)グループが開発・公開しているWebサーバーとして知られています。
総合判断
以下の複合的な証拠に基づき、このメールはAmerican Express(アメリカン・エキスプレス)を騙るフィッシング詐欺であると確定しています。
- ドメインの不一致(確認済み): Fromアドレス(adjustednetincome[.]com)、Return-Path(example[.]com)、画像配信(expresscompanynetwork[.]com)、誘導先リンク(ameoonnmzc[.]com)の4つすべてが異なるドメインであり、いずれもAmerican Expressの正規ドメインではない
- PhishTank登録(確認済み): 誘導先URLが第三者機関によりフィッシングサイトとして登録・検証されている(phish_id: 9400739)
- TDSの検出(確認済み): アクセス環境に応じて誘導先を切り替える攻撃インフラが確認されている
- 配信ソフトウェア(確認済み): 大量メール配信用ソフトウェア(Supmailer)が使用されている
- 個人情報の埋め込み(確認済み): 画像URLに受信者の電話番号がトラッキング目的で埋め込まれている
- DKIM・DMARC検証結果なし(確認済み): 正規の金融機関が通常設定するメール認証の検証結果が付与されていない
使われている心理的手法
このフィッシングメールは技術的に巧妙であるだけでなく、受信者の心理を巧みに操る複数の手法が使われています。
過大な特典の同時提示
ホテル無料宿泊券(ペア)、USJ年間パス、80,000ポイント進呈という3つの高額特典を一度に提示しています。正規のカード会社のキャンペーンでは、これほどの高額特典を同時に無条件で提供することは一般的ではありません。受信者の興奮を煽り、冷静な判断を妨げることを目的としています。
排他性の演出と転送禁止
「本ご案内は、特別な選定基準に基づきお送りしております。他の方への転送はご遠慮ください」という記載は、受信者に「自分だけが選ばれた」という特別感を与えると同時に、詐欺に気づく可能性のある第三者(家族・知人・同僚など)への相談や転送を防ぐ効果があります。
期限の設定による焦りの誘発
「有効期限: 2026年6月30日」と期限を設けることで、「早く手続きしなければ」という焦りを生み出し、慎重な確認を省略させようとしています。
丁寧な日本語表現
「平素は格別なるお引き立てを賜り」「謹んで進呈いたします」など、非常に格式高い日本語が使用されています。従来のフィッシングメールに見られた不自然な日本語とは異なり、一見して不審さを感じにくい文面に仕上げられています。
メール本文(全文引用)
以下は、受信したフィッシングメールの本文を全文引用したものです。同じ文面のメールを受け取った場合は、リンクを絶対にクリックしないでください。
AMERICAN EXPRESS
PLATINUM CARD®
PLATINUM EXCLUSIVE BENEFITS
フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません) 誘導先サイトのスクリーンショット(解析時点)
プラチナ・カード®会員様
日頃の感謝を込めて、
特別な「プレシャス・ギフト」を。平素は格別なるお引き立てを賜り、厚く御礼申し上げます。
この度、アメリカン・エキスプレスより会員様へ、日頃のご愛顧への感謝を込めた「特別優待」を謹んで進呈いたします。厳選された日本国内での滞在や、心躍るエンターテインメントのひとときを、プラチナ・カード®と共に心ゆくまでお愉しみください。
■ 国内提携ホテル無料宿泊券(ペア)
厳選された国内のラグジュアリーホテルにて、1泊2名様までご利用いただける無料宿泊券を特別に提供いたします。■ ユニバーサル・スタジオ・ジャパン 年間パス
特別なひとときを何度でも。オフィシャル・マーケティング・パートナーのアメリカン・エキスプレスより、年間パス(1枚)を進呈いたします。■ ロイヤリティ・リワード・ポイント
会員様の継続的なご信頼への感謝として、80,000 メンバーシップ・リワード®・ポイントを特別に加算させていただきます。■ 専任デスクによるサポート
本特典に関するお手続きや宿泊予約は、24時間年中無休のプラチナ・コンシェルジュ・デスクにて承ります。[ 特典を受け取る ]
※ 上記ボタンはフィッシングサイトへの誘導です。絶対にクリックしないでください。OFFER CODE: PLAT-PREMIUM-OFFER
有効期限: 2026年6月30日※本ご案内は、特別な選定基準に基づきお送りしております。他の方への転送はご遠慮ください。
※進呈する特典の詳細および利用規約については、上記ボタンより専用サイトをご確認ください。
※ポイントの加算時期は、お手続き完了から数日以内を予定しております。© 2026 American Express. All rights reserved.
IOC(侵害指標)一覧
ドメイン
| ドメイン | 用途 | 状態 |
|---|---|---|
| adjustednetincome[.]com | Fromアドレスのドメイン | 稼働中 |
| example[.]com | Return-Path / smtp[.]mailfrom | 稼働中 |
| www[.]ameoonnmzc[.]com | フィッシングサイト(誘導先) | 稼働中 |
| file[.]expresscompanynetwork[.]com | 画像配信 / トラッキング | 稼働中 |
URL
| URL | 備考 |
|---|---|
| hxxps://www[.]ameoonnmzc[.]com/aycczyom | 初期誘導先(TDS検出) |
| hxxp://www[.]ameoonnmzc[.]com/aycczyom/turnstile-check | リダイレクト先(Turnstileチェック) |
| hxxps://file[.]expresscompanynetwork[.]com/download/elp/data/image/[電話番号]819767672[.]png | トラッキング画像 |
IPアドレス
| IP | 用途 | 国 | 組織 |
|---|---|---|---|
| 106[.]185[.]144[.]216 | メール送信元 | JP | IRT-JPNIC-JP |
メール送信基盤
| 項目 | 値 |
|---|---|
| X-Mailer | Supmailer 46[.]0[.]0 |
| SHA256 | 66f18a4fae25f4883656fb2ade17930809c6b1d420a8a0e26c898d2364bc623f |
PhishTank登録状況
| URL | 状態 |
|---|---|
| hxxps://www[.]ameoonnmzc[.]com/aycczyom | フィッシング確認済み(phish_id: 9400739) |
| hxxps://file[.]expresscompanynetwork[.]com/download/elp/data/image/[電話番号]819767672[.]png | 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います |
このメールを受け取った場合の対処
まだリンクをクリックしていない場合
- メールを開いただけなら被害はありません。ただし、メール内の画像が自動読み込みされた場合、メールアドレスが有効であることが攻撃者に伝わっている可能性があります
- メールを削除し、同様のメールを迷惑メールとして報告してください
- American Expressの特典や通知を確認したい場合は、メール内のリンクではなく、公式アプリまたはブラウザのアドレスバーに直接URLを入力してアクセスしてください
リンクをクリックしてしまった場合
- Turnstileのチェック画面まで進んだが情報は入力していない場合: 即座にブラウザを閉じてください。アクセスした事実は記録されている可能性がありますが、個人情報の流出には至っていないと考えられます
- カード番号・暗証番号・ログイン情報を入力してしまった場合:
- 直ちにAmerican Expressのカード裏面に記載の電話番号に連絡し、カードの利用停止・再発行を依頼してください
- American Expressのオンラインアカウントのパスワードを直ちに変更してください
- 同じパスワードを他のサービスでも使用している場合は、それらすべてのパスワードも変更してください
- 今後数週間、カードの利用明細を注意深く確認し、身に覚えのない請求がないかチェックしてください
見分けるためのポイント
- 差出人アドレスのドメインを確認する: 今回のメールの差出人ドメインは adjustednetincome[.]com であり、American Expressとは無関係です。メールソフトで差出人名だけでなく、メールアドレス全体を表示して確認してください
- 「特別な選定基準」「転送禁止」に注意: 正規のカード会社が「他の方への転送はご遠慮ください」と制限することは通常ありません。これは受信者を孤立させ、第三者に相談させないための手法です
- 複数の高額特典の同時提示を疑う: ホテル宿泊券、テーマパーク年間パス、大量ポイントが一度に届くことは、正規のキャンペーンでは極めて稀です
- リンク先URLを確認する: リンクにカーソルを合わせて表示されるURLが、American Expressの正規ドメインであるか確認してください
関連記事
NEW 【注意喚起】「【SBI証券】不正アクセス補償申請|最終期限のご案内と…
NEW 【注意喚起】件名「【納付要請】第一生命保険支払額のご確認」のフィッシ…
NEW 「【アメリカン・エキスプレス】ポイントの有効期限が近づいています」は…
NEW 【注意喚起】「5月お支払金額のお知らせ」オリコカードを装うフィッシン…
NEW 【注意喚起】「カードの不正利用被害を防止するため、緊急停止措置を行い…
NEW 【ビューカード】次回お引落日は4月22日です。|中国ドメインから送信…
NEW 【重要】口座情報の定期確認・更新のご案内(SBI証券)を騙るフィッシ…
NEW 【フィッシング詐欺確定】UCカードを騙る「5月お支払金額のお知らせ」…
NEW 【注意喚起】JCBを騙るフィッシングメール「ポイント利用期限に関する…
NEW 【警告・確定】「【公式案内】2026年度システム基盤改修に伴う認証環…
NEW 【注意喚起】日本銀行を騙るフィッシングメール「登録方法のご案内」― …
NEW 【JCBカード重要通知】カード制限解除の最終手続きについて ─ JC…
NEW 【公示】不正アクセス事象に伴う法定補償手続きの執行について No[.…
NEW 【最終警告】認証再設定未完了による取引制限予定のご案内|マネックス証…
【注意喚起】auじぶん銀行を装ったフィッシングメール「【auじぶん銀…
【注意喚起】ポケットカード本人認証サービスに関するご案内 ― 3Dセ…
カテゴリ:フィッシング
タグ:American Express(アメリカン・エキスプレス),なりすまし,フィッシング,金融
マカフィー、QRコード詐欺対策を強化 新機能「詐欺チェッカー」を全プランに標準搭載
ECOMMITで従業員メール不正アクセス、MFA未設定が原因 個人情報漏えいの可能性