私は実際にアメリカン・エキスプレス(AMEX)のカードを所有していますが、先日、見覚えのないメールアドレスから「SafeKey認証コードをお送りします」という奇妙なメールが届きました。
不審に思って内容を確認してみると、本物のアメックスのロゴや住所がそのまま使われており、非常に巧妙に作り込まれたフィッシング詐欺メール(迷惑メール)であることが判明しました。もちろん、名前を悪用されているアメリカン・エキスプレス様は完全にブランドを騙られた被害者であり、公式のセキュリティに問題があるわけではありません。
公式情報によると、「American Express SafeKey(アメリカン・エキスプレス・セーフキー)」とは、世界標準の本人認証方法である「3Dセキュア」を使用した正規の本人認証サービスです。カード会員が対象加盟店でオンライン・ショッピングをする際、不正使用を未然に防ぐための重要な仕組みですが、今回の詐欺メールはまさにこの「安心の仕組み」を逆手に取ってユーザーを騙そうとする悪質なものです。
今回は、実際に届いた偽メールの文面や、公式情報をもとにしたなりすましメールの見分け方、万が一の対処法についてまとめました。世の中には本当にあの手この手の詐欺が溢れていますので、ぜひご用心ください。
実際に届いたアメックス偽装「SafeKey認証コード」メールの文面
今回確認された不審なメールは、身に覚えのない決済(今回はBritish Airwaysでの利用)が行われようとしていると見せかけ、それを阻止するためにリンクをクリックさせて偽の会員情報修正ページ(フィッシングサイト)へ誘導する手口です。
実際に送られてきたメールの概要と、具体的なテキスト内容は以下の通りです。
差出人:American Express jwiyz@inter-wave.co.jp
件名:[American Express] 167392 SafeKey認証コードをお送りします
本文:
認証コードは第三者に共有しないようご注意ください
American Express Logo
SafeKey® の認証コードをお送りします
American Express – SafeKey Logo
SafeKey画面に入力してBritish Airwaysでの ¥9000 の決済を完了させてください
認証コードは 167392 です
アメリカン・エキスプレスのカードをご利用いただきありがとうございます。
これがあなた自身の操作ではない場合は、次のリンクをクリックして会員情報を修正してください。
第三者の目に触れないようお気をつけください。
万一、上記認証コードの発行にお心当たりがない場合は、お手数ですがこちらからご連絡ください。
「American Express SafeKey」は、オンライン・ショッピングの際の本人認証サービスです。
詳しくはこちら
顧客プライバシー
お問い合わせ窓口
このメールは送信専用メールアドレスから配信しております。ご返信いただいてもお応えいたしかねますのでご了承ください。
≪ご注意≫
アメリカン・エキスプレスでは、Eメールへの返信や、Eメールからウェブサイトへ誘導して、お客さまの機密情報をお伺いすることはございません。万一、アメリカン・エキスプレスを騙っている不審なEメールを受信した場合、そのEメール内のリンクをクリックしたり、添付ファイルを開いたりしないでください。ご不明な点がございましたら、カード裏面に記載の電話番号までお問い合わせいただくか、受信された不審なEメールを
spoof@americanexpress.com まで転送してください。
アメリカン・エキスプレス・インターナショナル, Inc.
東京都港区虎ノ門4丁目1番1号
© American Express Company. All rights reserved.
SSF0CTA043
AMEX公式情報で検証!なりすましメールを見抜く決定的な証拠
届いたメールを詳しく調べてみると、送信元のアドレスがアメックス公式のドメインではないことが一発で分かりました。典型的なフィッシング詐欺メールのようです。
フィッシング詐欺にご注意
現在、当社を装った「[AMERICAN EXPRESS]ご請求金額確定の案内」「ご注意:ご利用確認にご協力をお願い致します。」等の不審メールが増えております。
以下の情報が正しいか確認してください。
送信元アドレスが正しいか
カード番号の送られた下5桁または下6桁が正しいか多発するフィッシング詐欺について、手口や不審なメールの見分け方、
ご自身でできるセキュリティ対策やトラブル時の対処方法などをご案内します。最近のフィッシングメール事例
10倍ポイントのキャンペーンやご利用案内と偽り、ログイン情報やカードの情報を盗むフィッシングメール。
フィッシングメールでは、リンク先で以下の情報の入力を求められ、大切なカード情報などを根こそぎ奪われてしまいます。
マイアカウントのID
マイアカウントのパスワード
カード名義
カード番号(15桁)
カードの有効期限
生年月日
カード表面のセキュリティコード(4桁)
カード裏面のセキュリティコード(3桁)
電話用暗証番号(4桁)
フィッシングの特徴がみられるメールやSMSが届いた場合はすぐに削除してください。仮に掲載されているリンク先にアクセスし、マイアカウントのログイン情報やカードの情報を入力してしまった場合、その情報からカードを不正利用され、大きな金銭的損害が発生します。<不正利用の事例>セキュリティ強化のお知らせ~より安全なカード決済のために
<不正利用の事例> 5,000ポイント獲得のお知らせ
<不正利用の事例> ご請求金額確定のご案内
<不正利用の事例> カード不正利⽤の疑い
<不正利用の事例> 異常なアカウントリスクを発⾒
上記の事例以外にも弊社を装ったフィッシング詐欺が発⽣しています。以下を参考にご注意、ご対策ください。
不審なメールやサイトの⾒分け⽅
不審な電話にもご注意
もしもトラブルにあったら
不正利⽤を未然に防ぐために不審なメールやサイトの⾒分け⽅
image
フィッシング詐欺は、実在するショッピングサイトや銀⾏、カード会社等を装い、EメールやSMSを通じて偽サイトに誘導、アカウント情報やカード情報などを盗みとります。弊社を名乗るフィッシング詐欺も増えています。以下を参考に、不審なメール等を開封したり、むやみにURLをクリック/タップしないようご注意ください。
送信元アドレスが正しいか
image
受けとったメールの送信元アドレスが、以下に記載の弊社ドメインと異なる場合、開封せず削除してください。<弊社のメールドメイン⼀覧>
@aexp.com
@aexpfeedback.com
@alerts.americanexpress.com
@americanexpress.com
@americanexpress.jp
@centurion.com
@email.americanexpress.com
@email.amexnetwork.com
@email2.americanexpress.com
@feedbackemail.americanexpress.com
@my.americanexpress.com
@myamextravel.americanexpress.com
@service.americanexpress.com
@welcome.aexp.com
@welcome.americanexpress.com;
⾒た⽬のドメインは正しくても、カーソルを合わせると異なるドメインが表⽰される場合もあるのでご注意ください。<フィッシングサイトに使用されているメールドメインの一例>
.cn .top .xyz .net .devなど記載のURLが正しいか
image
受信メールに記載のURL、リンク先が以下弊社サイトのドメインと異なる場合、クリック/タップしないでください。また、⾒た⽬のURLが正しくても偽装されているケースもあるので、安易にクリックしないようご注意ください。
<弊社サイトのドメイン⼀覧>
https://www.americanexpress.com
https://network.americanexpress.com
https://global.americanexpress.com
https://online.americanexpress.com
https://travel.americanexpress.co.jp
https://hotel-booking.americanexpress.com⽂⾯に不審な点はないか
緊急性が⾼く、不安を煽るようなメールタイトルや⽂⾯にもご注意ください。
image
すぐに対応しないとアカウントを停⽌するなど、不安を煽る内容
添付ファイルの開封やURLを開くよう求めてくる
⽂⾯が機械翻訳のように不⾃然
カード番号やICカード暗証番号、オンライン・サービスのID/パスワード、銀⾏⼝座などの個⼈情報を求めてくる
SMS(ショートメッセージサービス)では「宅配業者からの不在通知」「携帯会社からの料⾦⽀払い」など、気を許してしまいがちな内容のものもあるフィッシング詐欺の⼿⼝は⽇々、巧妙化しています。最新事例は以下サイトをご確認ください。
フィッシング対策協議会
不審な電話にもご注意
不審な電話(ビッシング詐欺)
電話を用いて個人情報やカード情報を盗むビッシング詐欺といい、アメリカン・エキスプレスを騙ったビッシング詐欺も確認されています。不審な電話番号にご注意ください。
以下は弊社の電話番号ですのでご安心ください。不正利用のご確認に使用しています。アメリカン・エキスプレス不正利用対策 アカウントセキュリティ課
03-6625-9147(架電専用)※お問い合わせは、カード裏面の電話番号におかけください
フィッシング詐欺の⼿⼝は⽇々、巧妙化しています。最新事例は以下サイトをご確認ください。
フィッシング対策協議会
もしもトラブルにあったら
不正利⽤でお困りの際の対処法をご紹介します。不正利⽤による損害は原則補償されるので落ち着いてご対応ください。
不審なメールが届いたら
開封せず、速やかに削除してください。誤って開封しても、リンクURLをクリック/タップしないようご注意ください。
不正報告にご協力ください
偽サイトにカード情報を⼊⼒してしまったら
不正利⽤防⽌のため、速やかにカードの⼀時利⽤停⽌または再発⾏をお願いします。アプリからの⼿続きも可能です。
⾝に覚えのない請求があったら
不正利⽤の可能性があります。ただし、ご利⽤明細に記載の店舗名や⽇付は実際のご利⽤と異なる場合があります。以下よりご確認ください。
カードの紛失、盗難にあったら
速やかにカードを再発⾏してください。⼀時的にカードの利⽤を停⽌することも可能です。
不正利⽤を未然に防ぐために
カードを安⼼してご利⽤いただくために、不正利⽤への対策をご紹介します。
お客様が行える対策
利⽤状況を定期的にチェック
不審な請求がないか、カードご利⽤明細を定期的に確認ください。アメックスのアプリでは、ご利⽤内容をプッシュ通知できるので、不正利⽤をいち早く発⾒できます。
ICカードを利⽤する
ICチップ搭載のカードは情報が暗号化されているため、不正利⽤のリスクを減らせます。
URLを安易にクリックしない
不審なメールに記載のURLはクリックするだけでウイルス感染する可能性もあります。リンク先で情報を⼊⼒していないからといって安⼼はできません。
セキュリティを最新に
セキュリティソフトを導⼊すれば、不審なメールは除外され、不審なサイトへのアクセスを防ぐことも可能です。
アメックスのセキュリティ対策
⾼度な不正使⽤検知システムをはじめ、様々なセキュリティ対策に取り組んでいます。
アメリカン・エキスプレスの公式サイトでも注意喚起がなされており、正規のメール送信元ドメインは以下のように明確に決まっています。これら以外のドメインから届いた「重要なお知らせ」や「認証コード通知」は、すべて偽物と判断して問題ありません。
<アメリカン・エキスプレス正規のメールドメイン一覧>
- @aexp.com
- @aexpfeedback.com
- @alerts.americanexpress.com
- @americanexpress.com
- @americanexpress.jp
- @centurion.com
- @email.americanexpress.com
- @email.amexnetwork.com
- @email2.americanexpress.com
- @feedbackemail.americanexpress.com
- @my.americanexpress.com
- @myamextravel.americanexpress.com
- @service.americanexpress.com
- @welcome.aexp.com
- @welcome.americanexpress.com
※注意:見た目のドメインが正しく表示されていても、カーソルを合わせたり詳細を確認したりすると、全く異なるドメインが表示される偽装ケースもあります。特に .cn、.top、.xyz、.net、.dev などのドメインが使われている場合は厳重に警戒してください。
また、メール本文内に記載されているリンク先のURLや、誘導先のドメインがアメックスが運営する正規のものであるかも重要な識別ポイントです。
<アメックス正規のサイトドメイン一覧>
- https://www.americanexpress.com
- https://network.americanexpress.com
- https://global.americanexpress.com
- https://online.americanexpress.com
- https://travel.americanexpress.co.jp
- https://hotel-booking.americanexpress.com
文面の不審な点と、偽サイトで狙われる「個人の機密情報」
今回のようなフィッシングメールには、以下のような特有の不審なパターンが見られます。
- 「すぐに対応しないとアカウントを停止する」など、緊急性が高く不安を煽る内容
- 身に覚えのない決済を理由に、添付ファイルの開封や外部URLを開くよう求めてくる
- 文面が機械翻訳のようにどこか不自然である
- カード番号、ICカード暗証番号、オンライン・サービスのID/パスワード、銀行口座などの個人情報を一度に求めてくる
フィッシングメールのリンク先にアクセスし、画面の指示に従って情報を入力してしまうと、大切なログイン情報やカード情報が根こそぎ奪われ、大きな金銭的損害が発生する恐れがあります。
不審な電話(ビッシング詐欺)への注意とトラブル時の公式対処法
昨今はメールだけでなく、電話を用いて個人情報やカード情報を盗み取る「ビッシング詐欺」も確認されています。アメリカン・エキスプレスを騙った不審な電話番号には注意が必要ですが、公式からかかってくる以下の番号は正規のものなので安心です。
アメリカン・エキスプレス不正利用対策 アカウントセキュリティ課:03-6625-9147(架電専用・不正利用の確認に使用)
※自分からお問い合わせをする際は、必ず手元のカード裏面に記載されている電話番号にかけるようにしてください。
もしもトラブルに遭い、偽サイトにカード情報を入力してしまった場合は、不正利用防止のため速やかにカードの「一時利用停止」または「再発行」の手続きを行いましょう。公式アプリからの手続きも可能です。
アメックスでは、万が一身に覚えのない不正利用の損害が発生した場合でも、原則として損害が補償される仕組みが整っていますので、焦らず落ち着いて公式窓口へ連絡してください。
ネットに潜む多種多様な詐欺リスクと被害を防ぐセキュリティ対策
結論として、これらはすべて実在する大手企業を騙り、個人情報やクレジットカード情報を盗み出すこと、あるいは不正な金銭支払いを要求することを目的とした「フィッシング詐欺メール(スパムメール)」です。
現在、ネット上にはこうしたフィッシング詐欺だけでなく、画面に嘘の警告を出して電子マネーを騙し取る「サポート詐欺」、極端な安値で釣る「ネットショッピング詐欺」、恐怖心につけ込む「セクストーション(性的脅迫)スパム」など、無数の罠が仕掛けられています。
日頃から「怪しい日本語を疑う」「URLを確認する」といった意識を持つことは大切ですが、昨今の詐欺手口は人間の目だけで100%見抜くのは限界に近い状態です。星の数ほどある脅威から大切な資産と個人情報を守るためには、「システム側で自動的にブロックする環境」を整えておくのが最も賢明な選択と言えます。
現在、新種の詐欺サイトやウイルスにも迅速かつリアルタイムに対応できる、おすすめのセキュリティ対策を厳選しました。
ウイルスバスタークラウド
日本シェアNo.1のウイルスバスタークラウド
- 第三者機関によるテスト対象製品中トップの防御力
- パソコンやスマートフォン、タブレットに好きな組み合わせで、3台までインストールできます。Windows、Mac、Android、iOS、Kindle Fireシリーズに対応。
- ダウンロード3年版 3台まで
ESETセキュリティソフト
とにかく安くしたい方はESETセキュリティソフト一択。初めてのセキュリティソフトならコスパ最強のESETセキュリティソフトですね。ダウンロード 3年版 5台までで最安です。
- とにかく動作が軽快で、PCやスマホの動きを邪魔しない
- 未知のウイルスを検出するヒューリスティック技術に定評あり
- 「セキュリティソフトを入れると端末が重くなるのが嫌だ」という方に最も選ばれています。
ノートン 360
そうは言っても世界最強クラスがいい方には定番のセキュリティソフト ノートン 360 という選択肢もあります。お高いイメージがありますが、実は、ダウンロード 3年版 3台まででウイルスバスタークラウドとほとんど変わりません。
- 世界シェアトップクラスの信頼性と世界規模の監視ネットワーク
- 万が一ウイルスに感染した場合の「ウイルス駆除保証」付き
- 強力なマルウェア対策に加え、Webカメラの乗っ取り防止機能やパスワード管理機能も標準装備。
NordVPN
メールのリンクを踏まない対策と同じくらい重要なのが、通信経路のセキュリティです。
NordVPNは、ネット上に暗号化された専用の「セキュアなトンネル」を構築し、あなたの大切なデータを保護します。接続時にVPNサーバがあなたのデバイスを安全に認証した上で、高度な暗号化プロトコルを適用。インターネットバンキングや動画サイト、検索エンジンとの間を行き来するすべての情報を暗号化し、誰にも監視・傍受できない強固なセキュリティ空間を作り出します。
- 軍隊レベルの暗号化技術で、通信の中身を完全に保護
- カフェや駅などの危険な「フリーWi-Fi」利用時の必須ツール
- 外出先で楽天やAmazon、オンラインバンキングにログインする際のデータ盗聴を100%シャットアウトします。