「＜＜重要＞＞（ 2月請求金額確定のご案内）」はフィッシング詐欺か検証する

AMEXを騙るフィッシングメール（詐欺メール）が届きました。

このメールは、受信者を偽のウェブサイトに誘導し、個人情報やクレジットカード情報を盗み取ることを目的としています。

このメールは「支払い・料金請求」のパターンに該当します。「料金が未払いです」「決済に失敗しました」などと偽り、クレジットカード情報の再入力を求めます。

※この記事は、実際に届いたメール（.eml）をもとに、技術的観点から内容を検証し、証拠（ヘッダ／RDAP／TLS／リダイレクト結果）を整理したものです。

※危険回避のため、URL/ドメイン/メールアドレス/IPは hxxp(s)・[.]・[@] で難読化しています。

このメールの怪しいポイント

判定：複数の不審な点があります。フィッシング詐欺です。

このフィッシングの手口

このメールは「支払い・料金請求」型の非常に巧妙な手口です。

1. 偽装メールの送信：「”American Express”」を名乗り、もっともらしい件名でメールを送信します。
2. 緊急性を演出：「すぐに対応しないとアカウントが停止される」など、焦らせる文言を使います。
3. 偽サイトへ誘導：メール内のリンクをクリックさせ、本物そっくりの偽ログインページへ誘導します。
4. 情報の窃取：ID・パスワード・クレジットカード情報などを入力させ、盗み取ります。
5. 悪用：盗んだ情報で不正ログイン、不正購入、個人情報の転売などを行います。

今回のメールの特徴

• メール内のリンク先「americanexpress[.]nana-wo[.]com」は正規ドメインを装ったフィッシング詐欺サイトです。
• メール認証（SPF）に失敗しており、正規の送信元ではないことが技術的に証明されています。
• 海外サーバー：リンク先のサイトは香港のサーバーで運用されています。日本のサービスを装ったサイトとしては不自然な立地です。

もし情報を入力してしまうと…

このフィッシングサイトで情報を入力してしまった場合、以下のような被害が想定されます。

• アカウントが乗っ取られる
• 個人情報が流出する
• 金銭的な被害を受ける

技術的な検証結果

以下では、実際に届いたメールのヘッダ情報・認証結果・リンク先の調査結果など、技術的な証拠を詳しく解説します。

受信したメールの概要

• 件名：＜＜重要＞＞（ 2月請求金額確定のご案内）
• 受信日時（ヘッダ）：Sun, 01 Feb 2026 09:02:41 +0900
• 表示上の差出人：“American Express” <americanexpress-Administrator-kX0q[@]cbel[.]com>
• Return-Path：<americanexpress-Administrator-kX0q[@]cbel[.]com>

メール本文（原文：難読化）

メール認証結果（SPF/DKIM/DMARC）

• smtp.mailfrom: americanexpress-administrator-kx0q

送信元ドメインの検査

メールの送信に使用されたドメイン（From / Return-Path）を調査しました。

cbel[.]com（From / Return-Path）

ドメイン登録日

インフラ情報（ホスティング・国）

送信元サーバー

フィッシングサイト

送信元サーバを確認します（Receivedヘッダ → 送信経路IP）

送信元候補IP: 163[.]44[.]89[.]61 / 国: 日本

• 163[.]44[.]89[.]61 （送信元候補）
• 85[.]121[.]51[.]172

※ここは「メールの送信経路上で観測されたIP」です。リンク先サーバのIPとは別です。

メール内リンクの遷移先を確認します（URL抽出＋リダイレクト追跡）

リンク

抽出URL：hxxps://americanexpress[.]nana-wo[.]com/gLROob

最終URL：hxxps://americanexpress[.]nana-wo[.]com/gLROob

遷移先サイトの解決IP（DNS）

• 195[.]86[.]143[.]90

※ここは「メール内リンクの遷移先（サイト側）」の情報です。送信元IP（Received）とは別です。

フィッシングサイト稼働状況

※解析時点でのステータスです。フィッシングサイトは短期間でテイクダウンされることがあります。

PhishTank照合結果

PhishTankは、Cisco Talos Intelligence Groupが運営するフィッシングサイトの報告・検証データベースです。メール内のURLをPhishTankと照合した結果を表示します。

照合日時: 2026-02-01T02:52:14+00:00 (UTC)

RDAP証拠（whois相当：引用）

※この証拠が示す意味：登録日が直近・海外レジストラ・NSが無関係などが重なるほど、なりすまし（フィッシング）である蓋然性が上がります。

※以下はRDAPレスポンスから 再現性のある要点 を固定形式で抜粋したものです。

ドメイン（登録情報）

RDAP証拠（Domain） 対象: americanexpress[.]nana-wo[.]com RDAP: https://rdap.verisign.com/com/v1/domain/nana-wo.com 取得日時(UTC): 2026-02-01T02:52:03+00:00 status: client transfer prohibited events: registration=2026-01-13T16:09:18Z / expiration=2027-01-13T16:09:18Z / last changed=2026-01-13T16:09:23Z nameserver: MALLORY.NS.CLOUDFLARE.COM, VASILII.NS.CLOUDFLARE.COM

1 2 3 4 5 6 7

RDAP証拠（Domain） 対象: americanexpress[.]nana-wo[.]com RDAP: https://rdap.verisign.com/com/v1/domain/nana-wo.com 取得日時(UTC): 2026-02-01T02:52:03+00:00 status: client transfer prohibited events: registration=2026-01-13T16:09:18Z / expiration=2027-01-13T16:09:18Z / last changed=2026-01-13T16:09:23Z nameserver: MALLORY.NS.CLOUDFLARE.COM, VASILII.NS.CLOUDFLARE.COM

RDAP証拠（Domain） 対象: nana-wo[.]com RDAP: https://rdap.verisign.com/com/v1/domain/nana-wo.com 取得日時(UTC): 2026-02-01T02:52:03+00:00 status: client transfer prohibited events: registration=2026-01-13T16:09:18Z / expiration=2027-01-13T16:09:18Z / last changed=2026-01-13T16:09:23Z nameserver: MALLORY.NS.CLOUDFLARE.COM, VASILII.NS.CLOUDFLARE.COM

1 2 3 4 5 6 7

RDAP証拠（Domain） 対象: nana-wo[.]com RDAP: https://rdap.verisign.com/com/v1/domain/nana-wo.com 取得日時(UTC): 2026-02-01T02:52:03+00:00 status: client transfer prohibited events: registration=2026-01-13T16:09:18Z / expiration=2027-01-13T16:09:18Z / last changed=2026-01-13T16:09:23Z nameserver: MALLORY.NS.CLOUDFLARE.COM, VASILII.NS.CLOUDFLARE.COM

IPアドレス（割り当て/組織/国）

RDAP証拠（IP） 対象: 163[.]44[.]89[.]61 RDAP: https://rdap.apnic.net/ip/163.44.89.61 取得日時(UTC): 2026-02-01T02:52:01+00:00 org/name: Japan Network Information Center / country: 日本 range: 163.44.89.0 - 163.44.89.255 events: last changed=2025-07-23T02:44:05Z

1 2 3 4 5 6 7

RDAP証拠（IP） 対象: 163[.]44[.]89[.]61 RDAP: https://rdap.apnic.net/ip/163.44.89.61 取得日時(UTC): 2026-02-01T02:52:01+00:00 org/name: Japan Network Information Center / country: 日本 range: 163.44.89.0 - 163.44.89.255 events: last changed=2025-07-23T02:44:05Z

RDAP証拠（IP） 対象: 85[.]121[.]51[.]172 RDAP: https://rdap.db.ripe.net/ip/85.121.51.172 取得日時(UTC): 2026-02-01T02:52:02+00:00 org/name: AS3233-MNT / country: RO range: 85.121.48.0 - 85.121.55.255 events: registration=2021-07-21T07:07:43Z / last changed=2025-09-04T04:42:54Z

1 2 3 4 5 6 7

RDAP証拠（IP） 対象: 85[.]121[.]51[.]172 RDAP: https://rdap.db.ripe.net/ip/85.121.51.172 取得日時(UTC): 2026-02-01T02:52:02+00:00 org/name: AS3233-MNT / country: RO range: 85.121.48.0 - 85.121.55.255 events: registration=2021-07-21T07:07:43Z / last changed=2025-09-04T04:42:54Z

RDAP証拠（IP） 対象: 195[.]86[.]143[.]90 RDAP: https://rdap.db.ripe.net/ip/195.86.143.90 取得日時(UTC): 2026-02-01T02:52:03+00:00 org/name: AS3257-IPAM-MNT / country: 香港 range: 195.86.136.0 - 195.86.143.255 events: registration=2025-08-21T09:56:37Z / last changed=2025-08-22T12:51:21Z

1 2 3 4 5 6 7

RDAP証拠（IP） 対象: 195[.]86[.]143[.]90 RDAP: https://rdap.db.ripe.net/ip/195.86.143.90 取得日時(UTC): 2026-02-01T02:52:03+00:00 org/name: AS3257-IPAM-MNT / country: 香港 range: 195.86.136.0 - 195.86.143.255 events: registration=2025-08-21T09:56:37Z / last changed=2025-08-22T12:51:21Z

TLS証明書の整合性（引用）

※危険回避のため、ドメイン/IPは [.] 形式で難読化して掲載しています。

TLS証拠 対象ホスト: americanexpress[.]nana-wo[.]com 解決IP: 195[.]86[.]143[.]90 SNIあり CN: americanexpress[.]nana-wo[.]com SNIあり SAN: DNS:americanexpress.nana-wo.com SNIあり 一致判定: match SNIなし: 取得失敗

1 2 3 4 5 6 7

TLS証拠 対象ホスト: americanexpress[.]nana-wo[.]com 解決IP: 195[.]86[.]143[.]90 SNIあり CN: americanexpress[.]nana-wo[.]com SNIあり SAN: DNS:americanexpress.nana-wo.com SNIあり 一致判定: match SNIなし: 取得失敗

フィッシングメールの見分け方

以下のポイントをチェックすることで、フィッシングメールを見分けることができます。

今回のメールで確認できる不審点

• フィッシング詐欺サイト：「americanexpress[.]nana-wo[.]com」は正規ドメインではなく詐欺サイトです
• メール認証の失敗：SPF認証に失敗しており、正規の送信サーバーからではありません

被害に遭った場合の相談窓口

• 警察庁 サイバー犯罪相談窓口：各都道府県警察のサイバー犯罪相談窓口へ
• 消費者ホットライン：188（いやや）
• フィッシング対策協議会：https://www.antiphishing.jp/

対処方法

• メール内リンクはクリックしない
• 公式アプリ／公式サイト（ブックマーク）から直接ログインして状況確認
• ID・パスワードを入力した場合は、直ちにパスワード変更（使い回しも含めて）
• カード情報を入力した場合は、カード会社へ連絡し利用停止・調査
• 不安なら、同様の連絡が公式にも出ているか（公式お知らせ/サポート）を確認

※解析メモ：.emlのSHA-256 = 5b3171d4f001a4c329e2d3d2619560d0aa06854f333e9c506865adfb292cb4d2

関連記事

‹

2022.12.16

[AMERICAN EXPRESS] ご請求金額確定のご案内 という…

2021.08.04

【American Express】カードご利用金額のお知らせという…

NEW

2026.01.27

「＜＜重要＞＞（ 1月請求金額確定のご案内）」はフィッシング詐欺か検…

2026.01.08

「【重要通知】American Express Membership…

2022.02.09

【American Express】次回口座振替のお知らせというメー…

NEW

2026.01.31

Appleを装ったメール「【Apple】サブスクリプション課金完了の…

NEW

2026.01.28

新横浜グレイスホテル Booking.com経由で不正アクセス Wh…

NEW

2026.01.27

Appleを装ったメール「お支払い情報の更新が必要です」はフィッシン…

NEW

2026.01.21

「【緊急】多要素認証（MFA）設定の義務化と重要なお願いNo. 28…

NEW

2026.01.19

「ガスご利用料金確定のご連絡」はフィッシング詐欺か検証する

NEW

2026.01.19

Amazonを装ったメール「【Amazon】会員状態が現在停止されて…

NEW

2026.01.19

「【重要】Disney+無料体験終了と自動更新のお知らせ」はフィッシ…

NEW

2026.01.19

Paidyを装ったメール「【緊急案内】ペイディご利用停止について」は…

2026.01.16

「【重要】Kindle Unlimited定期購入の更新について」は…

2026.01.14

「PlayStation Storeで新しい認証ステップが必要になり…

2026.01.13

「ANAマイレージクラブからマイル加算手続きの重要なお知らせ。」はフ…

›

カテゴリ：フィッシング
タグ：American Express,AMEX,フィッシング詐欺

資生堂オンラインストア　第三者による不正ログインの疑い　問い合わせ増加も金銭的被害は未確認　多要素認証導入へ