コンテンツへスキップ

【嘘】アメックスセキュリティ通知:「伊势丹 大分店」でのご利用確認をお願いしますというスパムメールに注意

アメックスセキュリティ通知を装うスパムメールの注意点

アメックスセキュリティ通知のスパムメールらしきものが届いたら、最初にやることはシンプルです。
メール内のボタンを押さず、American Express公式アプリまたは自分で開いた公式サイトから確認してください。

今回確認したメールは、赤い警告帯で「不正利用の疑い」を強く見せ、伊势丹大分店らしき利用先と約68,400円の表示で不安をあおります。
ただし、ボタンにカーソルを合わせると表示されたリンク先はwww.cessasiacoach[.]com/aoe/で、American Express公式ドメインではありません

要点不安を感じるメールほど、公式導線で確認する

アメックスセキュリティ通知のスパムメールは、見た目よりリンク先ドメインを見ます。メール内リンクは使わず、公式アプリ、ブックマーク済み公式サイト、カード裏面や公式サイトに載る窓口から確認してください。

アメックスセキュリティ通知のスパムメールはクリックしない

このアメックスセキュリティ通知を、本物の利用確認メールとして扱うのは危険です。
理由は、メールの見た目ではなく、確認ボタンの実リンク先American Express公式ドメインではないためです。

American Express公式は、フィッシングメールの見分け方としてカード番号、送信元アドレス、記載URL、文面の確認を案内しています。
とくにURLは、画面上の文字が正しく見えても、カーソルを合わせると別ドメインが出る場合があるため、ボタンの裏側にあるリンク先を見ます。

出典: American Express公式「フィッシング詐欺にご注意」

今回のメールで見えた危険サイン

見る場所今回の表示判断
件名・見出し不正利用の疑い焦らせる表現
利用日時2026年7月1日18:22実取引とは断定しない
利用先伊势丹大分店表記も含めて要確認
金額約68,400円メール内表示にすぎない
ボタンURLcessasiacoach系公式ドメインではない

とくに今回の「伊势丹大分店」という利用先の表記は、それ自体が不自然です。
正規の百貨店名「伊勢丹」とは異なる字体が使われているうえ、伊勢丹に大分店は実在しません。店舗名が具体的に書かれていても、表記や店舗の実在性まで確認すると見分けやすくなります

ここで大事なのは、金額や店舗名がもっともらしくても、利用が実在するとは限らないという点です。
不正利用が心配なら、メール内の「確認する」ボタンではなく、公式アプリや公式サイト側の明細で見てください。

警告怪しいURLを社内でクリック可能な形にしない

確認のために共有するときも、URLをそのまま貼るのは避けてください。ドットを[.]へ置き換える、スクショだけを共有する、公式アプリで明細確認した結果を共有する、という順番が安全です。

実際のアメックスセキュリティ通知メールで見る怪しい点

スパムメールは、雑な日本語だけで見抜けるとは限りません
ブランド名、ロゴ風の見た目、赤い警告、金額、利用店舗名を組み合わせると、忙しい人ほど一瞬だけ本物に見えてしまいます

今回のアメックスセキュリティ通知で一番強い判断材料は、ボタンの遷移先がAmerican Express公式ドメインではないことです。
メール本文の文面やロゴより実際に飛ばされる先のドメインを優先して見ます。

⚠ 危ない確認
メール内の「今すぐ確認」ボタンからログインする。見た目が本物風でも、遷移先が別ドメインなら情報入力の入口になります。
VS
✓ 安全な確認
公式アプリ、ブックマーク済み公式サイト、カード裏面や公式サイト記載の窓口から明細を確認する。

「不正利用の疑い」で焦らせる

「不正利用の疑い」「至急」「確認しないと制限」といった表現は、判断を急がせるために使われます。
本当に不正利用が心配な場合ほど、メールから離れて公式導線へ戻るほうが安全です。

公式風の表示と実リンク先が違う

メール上では公式っぽいボタンに見えても、実リンク先は別物というケースがあります。
今回の表示ではwww.cessasiacoach[.]com/aoe/が見えており、American Express公式が案内する公式サイトドメイン群とは一致しません

メールのなりすまし全般は、メールセキュリティ対策の記事でも整理しています。
今回のような個別メールだけでなく、会社全体の受信ルールや報告導線も合わせて見直すと、同じ手口への耐性が上がります。

アメックス公式が案内する安全な確認方法

American Express公式FAQでは、不審なメールが届いた場合に、メール内リンクではなく公式サイトや公式アプリからログインして確認する流れが案内されています。
不正利用の確認でも同じで、不審メール内URLから利用状況や明細を確認しないことが重要です。

出典: American Express公式FAQ「不審なメールが届いた場合」

出典: American Express公式FAQ「カードの不正利用確認」

公式確認で見る順番

確認先使い方避けること
公式アプリ明細を見るメールから起動しない
公式サイト自分で入力メールリンクを使わない
カード裏面窓口確認メール内番号へ電話しない
経理・管理者会社カード確認個人判断で入力しない

警察庁も、フィッシング対策としてメールやSMS内リンクではなく、公式サイトや公式アプリを使う考え方を示しています。
見た目だけで判断しづらいからこそ、入口を固定するのが現実的です。

出典: 警察庁「フィッシング対策」

ドメインの見方に不安がある場合は、ドメイン取得後に届く迷惑メールの見分け方も近い内容です。
ドメインの所有者、公開情報、偽メールの誘導先を分けて見ると、メールの怖さが少し整理されます

PCとスマホでアメックスセキュリティ通知のリンク先を安全に見る

アメックスセキュリティ通知のスパムメールかどうかを見たいときも、確認のためにページを開く必要はありません
見るのはリンク先の先頭ドメインだけで、怪しければそこで止めます。

PCならボタンにカーソルを合わせ、スマホなら長押しでリンクをコピーして、まずドメインだけを見ます

不審なアメックス通知メールのリンク先確認フロー
PCとスマホでリンク先ドメインだけを確認する
  • PCではボタンにカーソルを合わせ、画面下やポップアップに出るURLを見る
  • スマホでは長押しコピー後、メモなどに貼り、先頭ドメインだけを見る
  • アクセスしないまま、公式ドメインと一致するか確認する
  • 怪しいURLはexample[.]comのように無効化して共有する

端末やメールアプリによって、長押し時の表示は少し変わります。
うまく確認できない場合は、無理に開かず、スクショを残して公式アプリ側の明細確認へ移るほうが安全です。

社内共有はスクショ中心にする

会社カードや追加カードに関係しそうなアメックスセキュリティ通知なら、本人だけで処理しないでください。
経理、カード管理者、代表者など、公式明細を確認できる人に共有します。

注意転送よりスクショ共有が安全

不審メールをそのまま転送すると、別の人が二次クリックする恐れがあります。共有するなら、件名、送信元、怪しいリンク先、入力の有無が分かるスクショを中心にしてください。

サーバー会社や管理画面を装うメールにも同じ考え方が使えます。
エックスサーバー系の事例は、XServerアカウント認証スパムの注意点なりすましメール対策も確認しておくと、社内ルールへ落とし込みやすくなります

アメックスセキュリティ通知をクリックした・入力した場合にすぐやること

クリックしただけなのか、ID・パスワード・カード情報まで入力したのかで初動は変わります。
ただし、どちらの場合もメールを削除して終わりにしないでください。

状況別の初動

状況最初にやること次に見るもの
クリックだけページを閉じる公式明細
ID入力公式窓口へ連絡パスワード
カード入力カード会社へ連絡停止・再発行
会社カード経理へ共有利用者と明細

警察庁は、フィッシング被害にあった場合の対応として、サービス提供会社への相談、パスワード変更、警察への相談などを案内しています。
カード情報やログイン情報を入れてしまった場合は、公式窓口への連絡を優先してください。

回避自己判断で何度もログインし直さない

不安になって偽サイトへ戻ったり、同じ情報を再入力したりすると、被害が広がる恐れがあります。入力した可能性があるなら、公式窓口、パスワード変更、明細確認の順で進めてください。

「スパムメールを開いてしまった後」の整理は、スパムメールを開封したときの対応でも扱っています。
対象サービスが違っても入力したか、ファイルを開いたか、社内へ共有したか分けて記録する考え方は共通です。

会社で同じスパムメール被害を防ぐ共有ルール

個人カードなら本人の判断で済む場面もありますが、会社カードや共用アカウントでは話が変わります
利用者、経理、管理者、代表者のどこで確認するかを決めておくと、アメックスセキュリティ通知のスパムメールが届いても迷いにくくなります。

  • カード会社を装うメールは公式アプリ側で明細確認する
  • 怪しいURLはリンク化せず、スクショか無効化した文字列で共有する
  • 会社カードの利用確認は経理または管理者が見る
  • 入力した人がいる場合は、削除前に時刻と内容を記録する

迷惑メール相談センターの要注意メール一覧でも、カード会社や決済サービスを装う「ご利用確認」系のメールが継続して掲載されています。
同一文面かどうかを探すより、自社の確認ルールに当てはめるほうが実務では早く安全です。

出典: 迷惑メール相談センター「要注意メール」

Webサイトやメールの管理権限が外部任せになっている会社では、事故時の連絡先も曖昧になりがちです。
ドメインやサーバーの管理者が分からない場合は、会社のドメイン管理で確認すべき項目ホームページのセキュリティ対策も合わせて見てください。

メモ公式確認の入口を社内で固定する

「カード会社から来たメールは、メール内リンクを押さず公式アプリで見る」。この一文だけでも、現場の迷いはかなり減ります。難しい研修より、迷った時の入口を固定するほうが続きやすいです。

アメックスセキュリティ通知のスパムメールでよくある質問

Qアメックスセキュリティ通知のメールは本物ですか?

Aアメックスセキュリティ通知のメールは、メールだけで本物と判断しないでください。リンク先ドメインがAmerican Express公式ドメインと違う場合はクリックせず、公式アプリまたは自分で開いた公式サイトから明細を確認します。

Q「不正利用の疑い」と書かれていたら急いで押すべきですか?

A「不正利用の疑い」と書かれていても、メール内のボタンは押さないほうが安全です。American Express公式FAQでも、不審なメール内リンクではなく公式サイトや公式アプリから確認する流れが案内されています。

Qスマホでリンク先を確認するにはどうすればよいですか?

Aスマホでリンク先を確認する場合は、長押しでリンクをコピーし、メモなどに貼って先頭ドメインだけを見ます。ただし、確認のためにアクセスする必要はありません。表示できない場合は無理に開かず、公式アプリ側で明細を見ます。

Q公式ロゴが入っていれば安全ですか?

A公式ロゴが入っていても安全とは限りません。ロゴ、色、警告文、金額表示はまねできます。送信元、実リンク先、公式アプリ側の明細を分けて確認してください。

Qクリックしてしまっただけなら何をすればよいですか?

Aクリックしてしまっただけで何も入力していない場合は、ページを閉じ、公式アプリまたは公式サイトで明細を確認します。ID、パスワード、カード情報を入力した可能性がある場合は、公式窓口へ連絡し、パスワード変更やカード停止を検討してください。

Q会社のAmexカードに関係しそうな通知は誰が確認すべきですか?

A会社のAmexカードに関係しそうな通知は、利用者だけで処理せず、経理、カード管理者、代表者など公式明細を確認できる人に共有します。共有時は怪しいURLをリンク化せず、スクショ中心にしてください。

Q怪しいURLを社内で共有してもよいですか?

A怪しいURLは、クリック可能な形では共有しないほうが安全です。共有するならexample[.]comのようにドットを置き換え、件名、送信元、入力の有無が分かるスクショと一緒に共有してください。

今回のようなアメックスセキュリティ通知のスパムメールは、メールの見た目だけでは判断しづらいものです。
メール内リンクを押さない、公式導線で見る、怪しいURLをリンク化して共有しない。この3つだけでも、会社の被害入口はかなり狭くできます。

社内で同じような不審メールが増えているなら、個別メールの削除で終わらせず、メール、ドメイン、サーバー、カード管理者の連絡先を一度まとめてください。
そこまで整理しておくと、次に別のカード会社やサーバー会社を装うメールが来ても、慌てず同じ手順で判断できます