件名：【American Express】5000ポイント獲得のお知らせ｜有効期限をご確認ください

2025年01月05日（日）08時31分に届いたフィッシングメールです。

図1. 理由は謎のままポイントが付与されるらしいフィッシングメール（前半）

図2. 理由は謎のままポイントが付与されるらしいフィッシングメール（後半）

差出人　AMEX <servicecontact@glaq.com>

しゅ〜りょ〜。
なんとでも書ける表示名が「AMEX」、メールアドレスのドメイン部が"glaq.com"と、AMEXに全く関係ない時点でもうフィッシングメール確定。
おつかれさまでした、お先に失礼しまーす♪

ブラウザで見る方はこちら

上から順にいくのでなんですが、ここのリンク先は下記のボタンと同じです。
ついでに先に言っておくと、下記のボタンの下にある3つのリンク文字列のリンク先も全部同じです。
手抜きすんなし。
あと、AMEXからのメールは、冒頭にカード番号の下5桁が記載されるようになっています。
記載、無いですね、研究不足です。
まぁ、分からないんだから書けないんしょうけど（ふふん

5000ポイントがアカウントに付与されます

理由は？
件名に書いてなくても本文には何故付与されるか書くべきでしょう？
何もしてないのにポイントなんか付与されませんよ。
何もしてないのに高額当選なんかしませんよ。
何もしてないのに壊れませんよ。

詳細を確認する

ここのボタンがフィッシングサイトへのリンクです（上にもありましたが）。
でも、densajuxtaglomer.nhdjt.comと、AMEX感ゼロですね。
なぜ www.americanexpress.nhdjt.com などとしないのか、理解に苦しみます。
# リンク先サイト（ドメイン）は潰れています。

注意事項
・配信アドレスの変更は、マイアカウントにログイン後、"ご登録情報の変更"よりお手続きください。
・本Eメールは送信専用Eメールアドレスから配信されています。ご返信いただいてもお応えいたしかねますのでご了承ください。
・顧客プライバシーにつきましては、こちらをクリックしてご覧いただけます。

【発行】アメリカン・エキスプレス・インターナショナル, Inc.
東京都港区虎ノ門4丁目1番1号 americanexpress.co.jp

上にも書きましたが、リンク文字列の「マイアカウント」、「こちら」、「americanexpress.co.jp」のリンク先は、全部上のボタンのそれと同じです。
手抜きすんなし（2回ゆった

---

以下、稼働していた時点（2025年01月05日（日）12時頃）のフィッシングサイトです。

図3. ログイン前のフィッシングサイトのページ

軽くググった限り、該当ページが見つからなかったので諦めましたが（フィッシングサイトごときに本気出すのも面倒だし）、多分、本物をコピーしてるんでそっくりなんでしょう。知らんけど。

図4. 本物をコピーしているので本物そっくりのログインページ

基礎知識でも書いていますが、フィッシングサイトは基本的に本物をコピーしているので、本物そっくりで当たり前です（そんなところで驚いてほしくない）。
URLを見ましょう、全然ちゃうやんって声に出してツッコミしてしまいますので。

図5. 例の如く出鱈目な情報を入力したが怒られたの図

攻撃者を煽ってガッカリさせるためにいつも出鱈目な情報を入力していますが、ユーザーIDにケチをつけられました。
一応、5-20文字、（いわゆる）半角英数字と条件は満たしているのですが…。
フィッシングサイトのくせに生意気だ。

図6. パスワードにもケチをつけられたの図

パスワードの方もケチをつけられました。数字を含めていないからと。
パスワードに文字種を問うなんてナンセンス。長さでしょ、十分な長さ。
フィッシングサイトのくせに生意気だ。

図7. 先に進みたいのでパスワードの条件を満たすように入力したの図

ラチが明かないので、エラーメッセージに従って数字を追加。
読み方は「バレバレですよん♪」と、攻撃者を煽って小馬鹿にする精神（こころ）は忘れずにいます（偉い）。

図8. ログイン（？）すると本人確認と称して何故かクレカ情報入力を求めてくるの図

出鱈目な情報でログイン（？）すると、本人確認を求めるページに遷移します。
え、待って、ログインした時点で一応本人確認できたんちゃうのん？
ってか、ポイントもらうだけなのに、なんでアカウントに紐づいているだろうクレカ情報（支払い時に必要）を入力させられるの？
複数カードが紐づいているなら、どれか選ばせるだけで終わりでしょ？
訳がわからないよ。

図9. ここでも出鱈目な情報を入力して攻撃者に地団駄を踏ませようとしているの図

ポイントもらうために、何故かアカウントに紐づいているだろうクレカ情報を入力させられるわけですが、本当の情報を入力するわけにもいきませんので、例によって出鱈目な情報を入力します。
カード名義は、警察を匂わせ（匂わない
カード番号は、ググれば出てくるテスト用の番号に。
有効期限は、終了直前に。
セキュリティコードは、AMEXは4桁なので警察を匂わせる110（匂わない）は無理だったので1234の連番に。
生年月日は、今日（このスクショ取得時点）にしようとするもできなかったので、せめてクレカ取得できない年齢のものに。

図10. ポイントを配っているので待っとれとかいう謎の無意味な演出

意味ないよね、この演出。
入力終わったら、画面遷移して終わりなのがフツーだろ。

図11. しつこく本人確認が続くの図

今度はカード裏面の番号を入力しろと言われる。
いや、1ページで完結させろよ無能。

図12. やっぱり出鱈目な情報を入力して攻撃者を小馬鹿にするの図

今度は3桁なので、警察を匂わせるように110と入力（匂わない

図13. また出た謎かつ無意味な読み込み演出

意味ないよね、この演出（2回ゆった
入力終わったら、画面遷移して終わりなのがフツーだろ（2回ゆった

図14. 最終的に正しくないと怒られたの図

出鱈目な情報入力したんだから、1回目の読込み（図10）後に出せよって思う。
あの時点に、バックグラウンドで正規サイトにログインするなりカードを使うなり試行していたと思っていましたが、どうも違ったっぽいですね。
やっぱり無意味な演出だった、と。