【調査報告】セゾンカード「永久不滅ポイント交換最終案内」の徹底解析
【セキュリティ調査報告】最新の詐欺メール解析レポート
本レポートは、特定されたサイバー脅威に対する技術的なフォレンジック結果を公開するものです。 | ■ 最近のスパム動向
今回ご紹介するのは「セゾンカード」を騙るフィッシングメールですが、その前に最近のスパムの動向を解説します。現在は、2026年3月の年度末という時節柄、ポイントの失効や有効期限を口実にした「期限付きの催促」が非常に多くなっています。特に、具体的な保有ポイント数を提示して「今すぐ手続きをしないと損をする」と思わせる心理的プレッシャー(ソーシャルエンジニアリング)を駆使した手法が主流です。
| ■ 受信メール解析データ | 件名 | [spam] 【重要】永久不滅ポイント交換最終案内(3月19日まで)No.022406508 | | 送信者表示 | “セゾンカード” <point@saisoncard.co.jp> | | 受信日時 | 2026-03-18 16:52 | ※件名に「[spam]」が含まれているのは、送信元の認証失敗をサーバーが検知したためです。 | ■ 送信元(Received)回線情報解析 本レポートの根拠となる送信元の生データです。 | 送信元ホスト | sealslogisticsllc.com | | 送信元IPアドレス | 35.189.143.128 | | ホスティング社名 | Google Cloud (bc.googleusercontent.com) | | 設置国名 | Japan (GCP Tokyo Region) | | ドメイン登録日 | WHOIS未公開または使い捨てドメインの疑いあり |
カッコ内のIPアドレス `35.189.143.128` は、メールヘッダーから抽出された「信頼できる送信者情報」です。`bc.googleusercontent.com` が含まれていることは、犯人がGoogle Cloudを送信インフラとして悪用していることを示しており、正規のカード会社が自社サーバー以外から送ることはあり得ません。
【送信元回線詳細解析エビデンス】
| ■ メール本文のフォレンジック再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
カード会員各位 いつもセゾンカードをご利用いただき、ありがとうございます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ログインボーナス500Ptプレゼント
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
期間中にログイン&交換手続きをされた方全員に
永久不滅ポイント500Ptを自動付与いたします。 ▼ お客様の現在のポイント
32,750Pt → キャンペーン後 33,250Pt
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
最終期限:2026年3月19日 23:00
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
期限を過ぎると500Ptは受け取れません。 ▼ ポイント交換はこちら
hXXps://www.sa●●oncard.co.jp/ ※ログイン後、「永久不滅ポイント交換」メニューからお手続きください
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【参考】33,250Ptで交換できる例
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Amazonで10,000円お買い物 + スタバで5,000円分コーヒー飲める!
または
dポイント10,000Ptでローソン・マツキヨのお買い物がほぼ無料に!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ セゾンカード カスタマーセンター
hXXps://www.sa●●oncard.co.jp/ SYEVD0OQP
|
【異常点指摘】 本メールにはカスタマーセンターの正式な電話番号の記載がなく、署名も簡素です。通常、公式メールではトラブル防止のため、正式な問い合わせ先や所在地が明記されます。また、末尾の「SYEVD0OQP」という文字列は、スパムフィルタを回避するための無意味な識別子である可能性が高いです。
| ■ 攻撃の目的と手法の解説
この犯人の目的は、「NetアンサーのログインID・パスワード」および「クレジットカード番号・セキュリティコード」の完全奪取です。正規のログイン画面を精巧に模倣したサイト(詐欺サイトの視覚的特徴参照)へ誘導し、ユーザーが自ら入力した情報をバックエンドのサーバーに送信させます。
| ■ 誘導先(フィッシングサイト)詳細解析 メール内のリンクをクリックすると、以下の偽装サイトへ繋がります。 | 偽装URL | hXXps://agiliselectronics.com/r6LXI4(※伏字加工) | | 誘導先IPアドレス | 104.21.72.186 | | ホスティング社名 | Cloudflare, Inc. | | 設置国名 | United States (Anycast Network) | | ドメイン登録日 | 2026年3月10日前後(※事件発生の数日前) |
【解説】 ドメインの登録日が非常に新しいのは、攻撃の直前に「使い捨て」として取得されたためです。CloudflareというCDNサービスを利用して実際のサーバーの所在を隠蔽(プロキシ化)しようとする、現代的なフィッシングサイトの典型です。
【誘導先回線詳細解析エビデンス:104.21.72.186】
| ■ 詐欺サイトの視覚的特徴(画像解析) 【フィッシングサイト・ログイン画面のキャプチャ】 
【偽物を見抜くポイント】
1. ブラウザのURLを確認: デザインは本物そっくりですが、URLが `saisoncard.co.jp` ではなく `agiliselectronics.com` になっています。
2. 不自然な挙動: 画像内のロゴや「新規会員登録」ボタンが機能していない、あるいは不自然な挙動をする場合があります。
3. SSL証明書の不備: 鍵マークは付いていても、証明書の発行先がカード会社ではないことが確認できます。
| ■ 推奨される対応と公式サイト情報
本メールおよび誘導先サイトは、過去のセゾンカード詐欺事例と手口が完全に一致しています。リンク先が稼働中であっても、絶対に情報を入力してはいけません。
対処法:
* 届いたメールは即座に削除する。
* 万が一入力してしまった場合は、至急カード会社の紛失・盗難受付デスクへ連絡し、カードを停止してください。
【公式】セゾンカード:フィッシング詐欺に関する注意喚起ページ | |