⚠ 判定:フィッシング詐欺(確定)
| 確認日 | 2026年6月10日 |
| 件名 | 【AMERICAN EXPRESS】カードご利用金額のお知らせ |
| 差出人 | American Express <web[@]uazweuiop[.]com> |
| なりすまし対象 | アメリカン・エキスプレス |
| SHA-256 | 343ebf2918d6d2c9b6eb25e0887c925a81b34738da16b96e8a9020dc8641f462 |
2026年6月10日、アメリカン・エキスプレス(AMEX)の「カードご利用金額のお知らせ」を装ったフィッシングメールが確認されました。福岡市内の実在しうる店舗名や具体的な金額を含む利用明細を記載し、受信者の不安を煽ってフィッシングサイトへ誘導する手口です。
本記事では、技術的な解析結果をもとに、このメールの見分け方と受け取った場合の対処法を解説します。
メールの内容
見出し
フィッシングメールの本文には、以下のような利用明細が記載されています。
カード会員様
いつもアメリカン・エキスプレスをご利用いただき、誠にありがとうございます。
お客様のカードのご利用状況および直近の履歴が更新されましたので、お知らせいたします。
内容をご確認の上、ご不明な点がございましたら公式オンライン・サービスよりお問い合わせください。■ 最近のご利用明細一覧
| ご利用日 | 区分 | ご利用内容 | 金額 |
|---|---|---|---|
| 06/09 | 吉塚うなぎ屋 福岡県 福岡市博多区 | ¥218,040 | |
| 06/07 | CLUB 朱蘭 福岡県 福岡市博多区 | ¥84,000 | |
| 06/06 | 確定前 | KAWABATACHIKACHUSYAJYO | ¥1,200 |
| 06/06 | 確定前 | MEIGETSUDOU KAWABATATEN | ¥4,000 |
| 06/06 | 確定前 | SHIMON BETTEI RIN | ¥67,500 |
| 06/06 | ザ マーケット エフ ラウンジ -福岡 | ¥4,140 | |
| 06/04 | 西日本新聞デジタルサービス 福岡県 福 | ¥1,100 |
明細の下には「オンライン・サービスで詳細を確認」というボタンが配置されており、これがフィッシングサイトへの誘導リンクです(詳細は後述)。
手口の巧妙さ
- 具体的な店舗名と金額:福岡市博多区を中心とした複数の店舗名と、千円台から21万円超まで幅のある利用金額が記載されています。「確定前」の表記を混ぜることで、正規の利用明細通知の形式を模倣しています。
- 高額利用で不安を煽る:合計約38万円の利用明細が一度に通知されることで、「身に覚えのない利用がある」と受信者を動揺させ、慌ててリンクをクリックさせる意図があります。
- 正規リソースの混在:メール内にアメリカン・エキスプレスの正規ロゴや正規ドメインのリンクを混在させ、メール全体の信頼性を偽装しています(後述)。
送信元情報の分析
| 項目 | 値 | 評価 |
|---|---|---|
| From(差出人) | American Express <web[@]uazweuiop[.]com> | 不審 |
| Return-Path | [受信者]+canttzvt[@]online-farewell[.]com | 不審 |
| 送信元IP | 59[.]106[.]216[.]152 | ― |
| X-Mailer | Mozilla Thunderbird 115.5.3 | 不審 |
Fromアドレス
【観測事実】差出人の表示名は「American Express」ですが、実際のメールアドレスは web[@]uazweuiop[.]com です。アメリカン・エキスプレスの正規ドメインは、一般に americanexpress[.]com として知られています。uazweuiop[.]com は意味のないランダムな文字列で構成されたドメインであり、正規の企業ドメインとは考えられません。
【示唆】多くのメールソフトでは、差出人の「表示名」のみが画面に表示され、実際のメールアドレスは隠れている場合があります。表示名が「American Express」であっても、実際のアドレスを確認すれば偽物であることが分かります。
Return-Path(バウンスアドレス)
【観測事実】Return-Pathには [受信者]+canttzvt[@]online-farewell[.]com が設定されています。これはFromドメイン(uazweuiop[.]com)とも異なる第三のドメインです。
【示唆】Return-Pathに受信者アドレスとランダム文字列を含むVERP(Variable Envelope Return-Path)形式は、正規の大量配信でも使用されるため、この形式自体は不審とは断定できません。しかし、Fromドメインと完全に異なるドメインが使われている点は、送信インフラが差出人表示とは別の管理下にあることを示唆しています。本メールでは、From(uazweuiop[.]com)、Return-Path(online-farewell[.]com)、誘導先URL(olutionsgro[.]com)と、3つの異なるドメインがそれぞれ別の役割を担っています。
X-Mailer
【観測事実】メールヘッダのX-Mailerには Mozilla Thunderbird 115.5.3 が記録されています。
【示唆】Thunderbirdは個人向けのメールクライアントです。アメリカン・エキスプレスのような大企業が、カード利用明細の自動配信にThunderbirdを使用することは一般的に想定されません。企業の大量配信には、一般にマーケティングオートメーションツールや専用のメール配信システムが使用されます。この点は、個人がメールクライアントから手動またはスクリプトで送信した可能性を示唆しています。
メール認証(SPF / DKIM / DMARC)の技術解説
| 認証方式 | 結果 | 認証対象 |
|---|---|---|
| SPF | pass | online-farewell[.]com |
| DKIM | pass | ― |
| DMARC | pass | ― |
重要:認証がすべて「pass」でもフィッシングメールです
本メールはSPF・DKIM・DMARCの3つすべてがpassですが、これは攻撃者が自身の管理するドメインに正しくメール認証を設定したことを意味しています。アメリカン・エキスプレスの正規ドメインによる認証ではありません。
メール認証の仕組みと、本件が示す重要な教訓を解説します。
SPF(Sender Policy Framework)とは
SPFは、メール送信元のIPアドレスが送信ドメインの管理者によって許可されているかを確認する仕組みです。本メールでは、smtp[.]mailfromが online-farewell[.]com であり、送信元IP 59[.]106[.]216[.]152 がこのドメインのSPFレコードで許可されていたためpassとなっています。しかし、これはあくまで online-farewell[.]com の認証であり、アメリカン・エキスプレスの認証ではありません。
DKIM(DomainKeys Identified Mail)とは
DKIMは、メールに電子署名を付与し、送信後に内容が改ざんされていないかを確認する仕組みです。passは署名の検証に成功したことを意味しますが、署名したドメインが正規のものであるかは別問題です。攻撃者が自身のドメインでDKIM署名を行えば、passを得ることは技術的に可能です。
DMARC(Domain-based Message Authentication, Reporting and Conformance)とは
DMARCは、SPFまたはDKIMの結果をFromヘッダのドメインと照合し、ポリシーに基づいてメールの正当性を判断する仕組みです。本メールのFromドメインは uazweuiop[.]com であり、攻撃者がこのドメインのDMARCポリシーとDKIM/SPFの整合性を適切に設定すれば、passを得ることが可能です。
認証passが意味すること、意味しないこと
【総合判断】SPF/DKIM/DMARCの3要素がすべてpassであっても、それは「そのメールが、送信に使われたドメインの管理者によって正当に送られた」ことを証明するにすぎません。これらの認証は「ドメインのなりすまし」(他人のドメインを騙って送信すること)は防ぎますが、「ブランドのなりすまし」(自分のドメインから有名企業を装って送信すること)は防げません。
本メールは、攻撃者が自ら管理するドメインに正しくメール認証を設定し、表示名のみで「American Express」を騙った事例です。メールの安全性を判断する際は、認証結果だけでなく、送信元のドメイン名そのものを確認することが重要です。
HTMLメール構造と誘導先リンクの分析
本メールのHTML本文(11,221文字)には、合計9件のリンクが含まれています。以下は観測されたすべてのリンクの一覧です。
| 表示文言 | リンク先(href) | 評価 |
|---|---|---|
| 吉塚うなぎ屋 福岡県 福岡市博多区 | # | ダミーリンク |
| CLUB 朱蘭 福岡県 福岡市博多区 | # | ダミーリンク |
| KAWABATACHIKACHUSYAJYO | # | ダミーリンク |
| MEIGETSUDOU KAWABATATEN | # | ダミーリンク |
| SHIMON BETTEI RIN | # | ダミーリンク |
| ザ マーケット エフ ラウンジ -福岡 | # | ダミーリンク |
| 西日本新聞デジタルサービス 福岡県 福 | # | ダミーリンク |
| オンライン・サービスで詳細を確認 | hxxps://www[.]olutionsgro[.]com/curewaenopen | フィッシング確定 |
| 配信停止(配信拒否)の手続きはこちら | hxxps://www[.]americanexpress[.]com/ja-jp/optout | 正規ドメイン |
正規リソースとフィッシングリンクの巧妙な混在
このメールの構造には、受信者やセキュリティフィルタを欺くための計算された設計が見られます。
【観測事実①:正規ロゴの直接参照】メール内のロゴ画像は、アメリカン・エキスプレスの正規CDNである hxxps://cdaas[.]americanexpress[.]com/akamai/axp/comms/logos/logo[.]png から直接読み込まれています(解析時点で稼働中、1,598バイト)。攻撃者が正規サーバーのロゴを直接参照(ホットリンク)することで、メールの見た目の真正性を高めています。
【観測事実②:正規ドメインの配信停止リンク】「配信停止(配信拒否)の手続きはこちら」のリンクは、正規のアメリカン・エキスプレスドメイン(hxxps://www[.]americanexpress[.]com/ja-jp/optout)を指しています。
【観測事実③:利用明細のダミーリンク】明細表内の7つの店舗名は、すべて #(同一ページ内リンク)が設定されており、クリックしても外部サイトには遷移しません。正規のAMEX利用明細メールの体裁を模倣するための装飾的な要素です。
【観測事実④:唯一の外部誘導リンク】実際にフィッシングサイトへ誘導するのは、「オンライン・サービスで詳細を確認」ボタンただ1つです。このリンクのみが hxxps://www[.]olutionsgro[.]com/curewaenopen という外部ドメインを指しています。
【示唆】正規のロゴ、正規ドメインの配信停止リンク、そしてダミーの明細リンクを混在させることで、「大部分のリンクが安全に見える」構造を作り出しています。受信者がメール内のリンクをいくつか確認して問題がなかったとしても、唯一の誘導ボタンがフィッシングサイトへ繋がっているという、巧妙な構造です。
誘導先フィッシングURLの分析
| 項目 | 内容 |
|---|---|
| URL | hxxps://www[.]olutionsgro[.]com/curewaenopen |
| ドメイン | www[.]olutionsgro[.]com |
| 解析時の状態 | 停止またはエラー |
| PhishTank | フィッシング確認済み(phish_id: 9447723) |
【観測事実】CTAボタン「オンライン・サービスで詳細を確認」の誘導先は hxxps://www[.]olutionsgro[.]com/curewaenopen です。このURLは、フィッシング報告データベースPhishTankにおいてフィッシングとして確認済み(phish_id: 9447723)です。
【観測事実】ドメイン olutionsgro[.]com はアメリカン・エキスプレスとは無関係です。正規のオンラインサービスは、一般に americanexpress[.]com ドメイン上で提供されていることが公式サイトで確認できます。
【観測事実】解析時点でこのURLは停止またはエラー状態です。フィッシングサイトは短期間で停止・移転を繰り返すことが一般的であり、現在アクセスできないことは過去に被害が発生しなかったことを意味しません。同一の攻撃者が別ドメインで同様のサイトを運用する可能性があります。
総合判断
以下の複合的な証拠から、本メールはアメリカン・エキスプレスを騙るフィッシングメールであることが確定しています。
- 送信元ドメインの不一致:Fromアドレスのドメイン
uazweuiop[.]comは、アメリカン・エキスプレスの正規ドメインamericanexpress[.]comではない - Return-Pathとの不一致:バウンスアドレスに第三のドメイン
online-farewell[.]comが使用されており、From・Return-Path・誘導先URLがすべて異なるドメイン - フィッシングURL:唯一のCTAボタンの誘導先
www[.]olutionsgro[.]comがPhishTankでフィッシング確認済み(phish_id: 9447723) - 不自然なX-Mailer:企業の自動配信システムではなく、個人向けメールクライアントThunderbirdで送信
IOC(侵害指標)一覧
セキュリティ対策やブロックリストへの追加にご活用ください。
メールヘッダ情報
| 種別 | 値 |
|---|---|
| メールSHA-256 | 343ebf2918d6d2c9b6eb25e0887c925a81b34738da16b96e8a9020dc8641f462 |
| 差出人アドレス | web[@]uazweuiop[.]com |
| Return-Path | [受信者]+canttzvt[@]online-farewell[.]com |
| 送信元IP | 59[.]106[.]216[.]152 |
| X-Mailer | Mozilla Thunderbird 115.5.3 |
不審ドメイン
| ドメイン | 用途 |
|---|---|
| uazweuiop[.]com | Fromアドレスのドメイン(ブランド偽装) |
| online-farewell[.]com | Return-Pathドメイン(バウンス受信・SPF認証用) |
| www[.]olutionsgro[.]com | フィッシングサイト |
フィッシングURL
| URL | 状態 |
|---|---|
| hxxps://www[.]olutionsgro[.]com/curewaenopen | 停止/エラー(解析時点) |
PhishTank登録状況
| URL | 登録状況 |
|---|---|
| hxxps://www[.]olutionsgro[.]com/curewaenopen | フィッシング確認済み(phish_id: 9447723) |
このメールを受け取った場合の対処法
メールのリンクをクリックしていない場合
- メールを削除してください。このメールはフィッシング詐欺です。返信や転送は不要です。
- 迷惑メールとして報告すると、メールサービス側のフィルタ精度向上に貢献できます。
- カードの利用明細が気になる場合は、メール内のリンクは使わず、ブラウザのアドレスバーに直接
americanexpress[.]comと入力するか、公式アプリからログインして確認してください。
リンクをクリックしてしまった場合
- 情報を入力していなければ、ブラウザを閉じてください。念のためブラウザの閲覧履歴とCookieを削除することを推奨します。
- カード番号・ログイン情報を入力してしまった場合は、以下を直ちに実行してください。
- アメリカン・エキスプレスのカード裏面に記載の電話番号に連絡し、カードの利用停止・再発行を依頼する
- オンラインサービスのパスワードを変更する(他のサービスで同じパスワードを使用している場合は、それらも変更する)
- カードの利用明細を確認し、身に覚えのない取引がないかチェックする
このメールの手口に対する見分け方のポイント
- 差出人のメールアドレスを確認する:表示名が「American Express」でも、実際のアドレスが
americanexpress[.]comでなければ偽物です。本件ではuazweuiop[.]comという無関係のドメインでした。 - リンク先のURLを確認する:ボタンやリンクにマウスカーソルを合わせる(スマートフォンの場合は長押しする)と、実際の遷移先URLが表示されます。
americanexpress[.]com以外のドメインであれば偽物です。 - 「認証pass = 安全」ではない:本記事で解説したとおり、SPF/DKIM/DMARCがすべてpassであっても、攻撃者自身のドメインの認証が通っているだけの場合があります。認証結果だけで安全性を判断しないでください。
- 利用明細の不安に焦らない:身に覚えのない高額利用を見て焦るのは自然な反応ですが、それこそが攻撃者の狙いです。必ず公式チャネルから確認してください。