【注意喚起】アメリカン・エキスプレスをかたるフィッシングメール「【アメリカン・エキスプレス】ご本人確認手続きのお願い（再通知）」を確認

概要

2026年4月6日（月）、アメリカン・エキスプレスを装ったフィッシングメールが国内で流通していることを確認しました。件名「【アメリカン・エキスプレス】ご本人確認手続きのお願い（再通知）」と表示され、「カードのご利用状況に異常を検知した」と称してリンクをクリックさせようとします。

本記事では、メール認証・送信元インフラ・誘導先URLの複合的な証拠に基づき、本メールがフィッシング詐欺であることを解説します。

フィッシング確定の根拠（複合証拠）

本メールをフィッシングと断定する根拠は、以下の複数の証拠の組み合わせです。単一の指標ではなく、認証失敗・ブランド詐称・不審なインフラの三点が重なっています。

① 送信元ドメインのブランド詐称（確認済み）

観測事実： 差出人（From）に「American Express」と表示されているにもかかわらず、送信元アドレスは welcome[@]haitangxuede[.]com であり、Return-Pathも同じドメインです。一般に、アメリカン・エキスプレスの公式送信元ドメインは americanexpress[.]com 等であることが公式サイトで確認できます。

示唆： haitangxuede[.]com はアメリカン・エキスプレスとは無関係の第三者ドメインです。表示名だけを本物らしく偽装し、実際の送信元を隠す、フィッシングメールで典型的な手口です。

② SPF softfail（確認済み）

観測事実： メール認証結果はSPF softfail（～all）でした。

示唆： SPFとは、ドメインが「このIPアドレスからのメール送信を許可する」とDNSに宣言する仕組みです。softfailは、送信元IPが当該ドメインの正規送信リストに含まれていない状態を示します。アメリカン・エキスプレスを名乗るメールが、同社のSPFポリシーで認証されていないことを示しており、正規の配信インフラを使っていない可能性を強く示唆します。

③ DKIM・DMARCの検証結果が付与されていない

観測事実： DKIMおよびDMARCの検証結果がメールヘッダーに付与されていませんでした。

示唆： DKIMは送信元がメール本文に電子署名を付与する仕組みであり、DMARCはSPF/DKIMの結果に基づく受信ポリシーです。大手ブランドの正規メールでは通常これらが揃って検証されます。検証結果が欠如していることは、メールが正規の認証フローを経ていないことを示す補助的な証拠です。

④ 誘導先URLにTDS（トラフィック誘導システム）を検出（確認済み）

観測事実： 本文中のリンク hxxps://www[.]reedbuddyo[.]com/document にアクセスすると、2ホップのリダイレクトを経て hxxp://www[.]reedbuddyo[.]com/document/turnstile-check へ誘導され、CloudflareのTurnstileチェックを挟む構造が確認されました。

示唆： TDS（Traffic Direction System）とは、アクセス元の属性（IPアドレス・ブラウザ・OS・地域など）を判定し、セキュリティ研究者やボットには無害なページを、標的ユーザーには詐欺ページを動的に見せる攻撃インフラです。Cloudflare Turnstileを前段に置くことで、自動クローラーによるURLスキャンを妨害し、フィッシングページの検出・テイクダウンを遅延させます。

総合判断： ①ブランド詐称・②SPF softfail・③認証結果の欠如・④TDS型攻撃インフラの四点が重なっており、本メールはアメリカン・エキスプレスを装ったフィッシングと確定します。

攻撃インフラの解析

送信元IP

送信元ドメイン

URL解析結果

正規ロゴ流用の手口

本メールは、アメリカン・エキスプレスが実際に使用している公式CDNドメイン cdaas[.]americanexpress[.]com からロゴ画像を直接読み込んでいます。これにより、メール本文に本物と同じロゴが表示されます。画像を自前で用意せず正規サーバーから取得するため、ロゴのURL確認だけでは真偽の判断ができません。視覚的な信頼性を高める意図的な手口です。

TDS型攻撃インフラの詳細

誘導先の www[.]reedbuddyo[.]com は、TDSとしての役割を担っています。

• アクセスごとに異なるドメインへリダイレクトされる構造を持ち、URLブラックリストによる検出を困難にします
• Cloudflare Turnstile（ボット対策）を前段に配置し、自動スキャナーによる誘導先の特定・記録を妨害します
• 今回の観測では最終ドメインとして www[.]reedbuddyo[.]com が確認されましたが、実際の標的ユーザーには別のドメインへ誘導されていた可能性があります

TDS型インフラはフィッシングキットを複数のドメインに分散させ、一部がテイクダウンされても攻撃を継続できる設計になっています。これは組織的なフィッシング攻撃グループが使用する高度な手法です。

フィッシングメール本文（全文）

受信者が検索エンジンで本文の一部を調べてたどり着けるよう、以下にメール本文を全文掲載します。

【重要】アメリカン・エキスプレスからカード利用確認のお知らせ

---

カードのご利用確認に関する緊急のご連絡

平素はアメリカン・エキスプレスのカードをご利用いただき、誠にありがとうございます。

このたび、お客様のカードのご利用状況を確認いたしましたところ、通常のご利用パターンとは異なる可能性のあるお取引を検知いたしました。

カードの安全なご利用を確保するため、一時的に一部機能を制限させていただいている場合がございます。誠に恐れ入りますが、至急、以下のボタンより詳細のご確認をお願い申し上げます。

■ ご確認内容
最近のカードご利用履歴（日本時間 2026年4月05日時点）
オンライン・サービスへログイン

万が一、本メールに心当たりがない場合や、既にご連絡をいただいている場合は、何卒ご容赦ください。

今後ともアメリカン・エキスプレスをよろしくお願い申し上げます。

ご安心ください：アメリカン・エキスプレスでは、お客様のカード番号や暗証番号をメールでお伺いすることはありません。不審なメールには十分ご注意ください。

※本メールは送信専用です。ご返信いただけませんのでご了承ください。

発行元：アメリカン・エキスプレス・インターナショナル, Inc.
© 2026 American Express International, Inc. All rights reserved.

注目すべきポイント： 本文末尾に「カード番号や暗証番号をメールでお伺いすることはありません」という、本物のアメリカン・エキスプレスの注意書きを模した文言が含まれています。これは受信者の警戒心を解くための心理的テクニックです。また、ご確認内容に「2026年4月05日時点」と具体的な日付を入れることで、緊急性と実在感を演出しています。

本物のメールとの見分け方

1. 送信元アドレスを確認する

表示名が「American Express」であっても、送信元アドレスが americanexpress[.]com 以外のドメインであれば偽物です。本メールの送信元 welcome[@]haitangxuede[.]com はアメリカン・エキスプレスとは無関係のドメインです。スマートフォンでは表示名しか見えない場合が多いため、必ずアドレスを展開して確認してください。

2. リンク先URLを確認する（クリック前に）

本文中のボタンや「こちら」のリンクにカーソルを合わせると、遷移先URLが表示されます。americanexpress[.]com 以外のドメインが表示されたら詐欺です。本メールのリンク先は www[.]reedbuddyo[.]com であり、アメリカン・エキスプレスとは無関係です。

3. 「至急」「緊急」の言葉に注意する

「通常とは異なる取引を検知」「一時的に機能を制限」という表現で焦りを煽り、冷静な判断をさせないようにするのはフィッシングの常套手段です。本当に問題がある場合は、カード裏面の公式番号に電話するか、ブラウザに直接 americanexpress[.]com と入力してログインして確認してください。

4. メール内のボタンは押さない

メール内の「確認する」ボタンを押すと、TDSを経由して詐欺サイトに誘導されます。Cloudflare Turnstileにより見た目は正規サービスに見えることもあります。カード情報・ログイン情報の入力は絶対に行わないでください。

被害を受けた・受けた可能性がある場合の対処

• リンクをクリックしただけの場合： URLを入力しておらず、求められる前にページを閉じた場合は、直ちに不審なサイトを閉じてください。念のためウイルス対策ソフトでスキャンを行ってください。
• ログイン情報を入力した場合： 直ちにアメリカン・エキスプレスの公式サイト（ブラウザに直接URLを入力）または公式アプリからパスワードを変更してください。
• カード番号・個人情報を入力した場合： カード裏面に記載の紛失・盗難受付番号（0120-020-120）に即時連絡し、カードの利用停止と再発行を依頼してください。
• 不審なカード請求が発生した場合： アメリカン・エキスプレスのカスタマーサービスに連絡し、不正利用の申告を行ってください。
• フィッシングメールの報告先： 迷惑メール相談センター（情報通信振興会）またはフィッシング対策協議会（info[@]antiphishing[.]jp）に転送・報告することで、他の被害者の防止に役立ちます。

IOC（侵害指標）一覧

本記事で確認されたIOCを以下に示します。セキュリティ製品・ファイアウォールへの登録や脅威インテリジェンスへの活用にお役立てください。

メール関連

URL・ドメイン

PhishTank登録状況

技術解説：メール認証（SPF/DKIM/DMARC）とは

本記事の証拠として登場するメール認証技術について、簡単に解説します。

SPF（Sender Policy Framework）

ドメインのDNSに「このIPアドレスのサーバーからのメールが正規」と登録する仕組みです。softfailは「このIPは正規リストに含まれていないが、拒否は強制しない」という状態を示します。正規ブランドのメールが自ドメインのSPFで認証されないのは異常であり、フィッシングの有力な根拠となります。

DKIM（DomainKeys Identified Mail）

送信時にメール本文とヘッダーに電子署名を付与し、受信側が検証する仕組みです。検証結果がヘッダーに付与されていない状態は、正規の認証フローを経ていないことを示す補助指標となります。

DMARC（Domain-based Message Authentication, Reporting & Conformance）

SPFとDKIMの検証結果に基づき、認証失敗時に「隔離」「拒否」「何もしない」のいずれを行うかをドメイン側が宣言する仕組みです。大手ブランドは通常strictなDMARCポリシーを設定しており、正規メールはDMARCをpassします。

TDS（Traffic Direction System）とは

TDSは、フィッシングキャンペーンで使われる「振り分け型」の攻撃インフラです。URLをクリックした来訪者のIPアドレス・ブラウザ・OS・地域・リファラなどを解析し、セキュリティ研究者・ボット・被疑者には無害なページ（例：404エラー、正規サイトへのリダイレクト）を返し、標的と判断した一般ユーザーにのみ詐欺ページを見せます。

Cloudflare Turnstileのようなボット対策をTDSの前段に置くことで、URLスキャナーや自動解析ツールによるフィッシングURLの検出を妨害し、フィッシングページが検知・ブロックされるまでの時間を稼ぎます。これが現代のフィッシングで多用される高度な手法です。

まとめ

本メールは、以下の複合的な証拠によりアメリカン・エキスプレスを装ったフィッシングと確定しています。

• 送信元が haitangxuede[.]com（アメリカン・エキスプレスと無関係のドメイン）であり、ブランド詐称が確認済み
• SPF softfailにより、送信元が正規インフラでないことが示唆される
• DKIM・DMARCの検証結果が付与されていない
• 誘導先URLにTDS型攻撃インフラを確認。Cloudflare Turnstileによるスキャン妨害も検出
• 公式CDNからロゴを直接流用し、視覚的な信頼性を偽装

このメールを受信した場合は、本文中のリンクを絶対にクリックせず、削除してください。すでにリンクをクリックした場合や情報を入力した場合は、上記「被害を受けた場合の対処」に従って即時対応してください。