【実録】e+（イープラス）を騙る決済システム更新メールを徹底分析！文字化けに隠された「ワードサラダ」の手口を公開

みなさん、こんにちは。頼れる街のIT専門家、Heartlandです。
いつも当サイトのデータベースアーカイブをご覧いただき、本当にありがとうございます。

今回ご紹介するのは、チケット販売大手「e+（イープラス）」を精巧に騙る（本物のフリをする）非常に悪質なフィッシング詐欺メールです。
一見すると普通のシステム通知に見えますが、その裏側にはセキュリティの網をすり抜けるための恐ろしい細工が施されていました。
こうした詐欺メールは、開いた（メールを閲覧した）だけであれば、すぐに金銭的な実害が発生するわけではありません。

しかし、画像付きのメールや「開通通知（相手に届いたことが自動で伝わる仕組み）」が含まれている場合、あなたのメールアドレスが「現在使われている生きたアドレスである」という情報（アドレス生体通知）が犯人側に伝わってしまいます。
その結果、今後さらに大量の詐欺メール送信リスト（悪質な名簿）に入れられる危険性が高まります。
大切なご家族や周りの方が騙されて悲しい思いをしないよう、ぜひこの記事の内容を最後まで一緒に確認していきましょう。

🚨 メール基本情報・危険度判定

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📸 【証拠画像1】届いたメールの実際の外観

🔍 スクショを見た専門家のインプレッション（感想）：
メールの上部にはイープラスを想起させる鮮やかなピンク色の帯が敷かれており、「【重要通知】e+plus決済システム更新のご案内」と大きく書かれています。
フォントやレイアウト、下部にあるサポート窓口の電話番号（0570-06-9911は実際の公式番号です）に至るまで、本物の公式アナウンスを完全にコピーして作成されており、予備知識がない方が見れば信じてしまうほど精巧なデザイン（レイアウトの模倣）になっています。

📝 届いたメール本文の完全再現

【重要通知】e+plus決済システム更新のご案内

平素よりe+plusをご利用いただき、誠にありがとうございます。

この度、セキュリティ基準の強化に伴い、決済情報の再確認と更新手続きが必要となっております。

■ 更新の必要性
新しいセキュリティ基準により、旧情報では認証に失敗する可能性があります。
スムーズなサービス利用のため、更新をお願いいたします。

■ お手続き方法
1. 下記ボタンより専用ページへアクセス
2. 登録情報の確認・更新
3. 変更内容の保存

最新情報で認証を完了する

ご不明点がある場合は、サポート窓口までお問い合わせください。

TEL : 0570-06-9911 (平日 9:00 – 18:00)

※本メールは自動送信されています。

※上記のテキストは、読者のみなさまに手口を正確に把握していただくため、受信されたメール本文を一切加工せず忠実に再現したものです。

💡 メールの目的と手口の解説：
このメールの最大の目的は、ユーザーに「手続きをしないとチケットが買えなくなるのではないか」「決済ができなくなるのではないか」という不安を抱かせ、文中の赤いボタン（詐欺リンク）をクリックさせることです。
つまり、典型的なフィッシング詐欺（実在する企業を装って偽のサイトへ誘導し、情報を盗む手口）ということです。

📸 【証拠画像2】メールの裏側に仕込まれた謎のコード

メールの内部データを特殊な方法で覗き見ると、画像2枚目のように「【」「重」といった、一見すると不気味な暗号のような文字列がギッシリと詰め込まれています。
これは「数値文字参照（文字をコンピューター専用の数字のコードで表記する仕組み）」と呼ばれるものです。

犯人はなぜこのような回りくどいことをするのでしょうか？
それは、セキュリティ会社が導入している「迷惑メール検知AI」の目を盗むためです。
普通の文字で「アカウント確認」と書くとすぐに検知されて弾かれてしまうため、人間には見えない、あるいは文字化けのように見える無意味なコードを大量に混ぜ込んで、AIに「これは普通の無害なメールだな」と誤認させようとしているのです。
このように、検知を潜り抜ける目的で無意味な文章やコードを埋め込む手法をワードサラダ（文字のサラダ）と呼びます。
つまり、この奇妙なデータが含まれている時点で、通常の企業が送るメールでは絶対にあり得ない「黒（詐欺確定）」の証拠ということです。

🔍 電子メールヘッダーの解析（技術データ）

※メール受信者のサーバー情報や個人のメールアドレスといった重要なプライバシー情報が含まれているため、ヘッダー情報の直接のスクリーンショット掲載は差し控え、必要な技術データのみを安全に抽出して解説いたします。

🌐 送信元IPアドレスと発信ルートの追跡結果

💡 偽装判定の解説：
解析の結果、今回のメールは「SendGrid（センドグリッド）」という海外の大規模な一斉メール配信システムを悪用して送信されていることが判明しました。
Received-SPFが「Pass」となっているのは、犯人が用意した使い捨ての詐欺用ドメイン `hupozhonogxin.com` から「正しい正規の手順で」メールが送られてきたことを示しているに過ぎません。
イープラスの正規の送信サーバーから送られたものではないことは、アドレスのドメイン名を見れば一目瞭然です。
つまり、認証をパスしているからといって安全なメールではなく、単に詐欺師が自前のサーバーから「認証付きの偽物メール」を送りつけてきただけであるということです。

🛑 誘導先のフィッシングサイト（詐欺サイト）の危険性

メール本文に設置された「最新情報で認証を完了する」というボタンには、以下の危険なURLが仕込まれていました。
（※安全のため、URLの一部を伏字にし、リンクは無効化しております）

h**ps://deltaconship.com/eKpugTiM/

📸 【証拠画像3】アクセス直後に表示される偽のセキュリティ画面

URLをクリックすると、画像3枚目のように「私はロボットではありません」という、Googleのセキュリティ機能にそっくりな画面が表示されます。
一見すると、「ちゃんとした安全なセキュリティ対策がされているサイトなんだな」と思ってしまいますよね。しかし、これこそが罠なのです。

実はこれ、「クローキング（覆面偽装）」と呼ばれる極めて狡猾な手法の一種です。
セキュリティ会社が運営する「自動巡回ロボット」がサイトを調査しに来たときは、このチェック画面を盾にしてその先（詐欺画面）を見せないようにブロックします。
そして、本物の人間（騙したいターゲット）が手動でチェックを入れたときだけ、本物そっくりの偽ログイン画面を表示させるのです。
つまり、ユーザーを安心させると同時に、セキュリティ監視の目から長期間にわたってサイトを隠蔽するための悪質な仕掛けであるということです。

📸 【証拠画像4】本物そっくりに作られた偽のログイン画面

📊 リンク先サイトの稼働状況・サーバーデータ

🛡️ 被害に遭わないための注意点と正しい対処方法

もしこのようなメールを受け取っても、絶対に「最新情報で認証を完了する」などのボタンを押してはいけません。
万が一、ボタンを押してしまい、画像4枚目のような画面に「ログインID（メールアドレス）」や「パスワード」を入力してしまうと、あなたのアカウントが丸ごと犯人に乗っ取られてしまいます。
乗っ取られたアカウントは、高額なライブチケットを勝手にクレジットカードで購入（不正決済）されたり、転売目的で悪用されたりする二次被害に直結します。

万が一、情報を入力してしまった場合は、すぐに以下の公式窓口の案内を参考にして、パスワードの変更やクレジットカード会社への連絡を行ってください。

📌 まとめとお知らせ

ライブやイベントのチケットを楽しみにしている若年層のみなさんや、普段ネットの手続きに不慣れな高齢者のみなさんを狙った、本当に卑劣な犯罪です。
ネットのセキュリティ画面のような「私はロボットではありません」が出ても、それを100%信用してはいけないということを、ぜひ覚えておいてくださいね。

身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。