【緊急解析】「ePlus決済情報更新」は罠!SendGrid悪用+偽CAPTCHA経由で精巧な偽e+ログイン画面に誘導するフィッシングの全手口を公開
🔴 緊急度:高
| 緊急性レベル | ★★★★☆ (4/5) SPF・DKIM両Pass・偽CAPTCHA・精巧な偽ログイン画面 |
| 偽装工作精度 | ★★★★★ (5/5) 三重の罠・SendGrid悪用・本物そっくりの偽ログイン画面 |
■ メールヘッダー解析(送信者情報)
件名:【重要通知】ePlus決済情報更新のお願いNo.319839
送信者名:e+(イープラス)
送信元アドレス:info@quaxpay.com(e+とは無関係のドメイン)
受信日時:2026年6月17日 15:03
SPF:Pass(送信元IP:149.72.154.232) / DKIM:Pass(d=quaxpay.com)
送信インフラ:SendGrid(Twilio)— 逆引き:s.wrqvwxzv.outbound-mail.sendgrid.net
中間リダイレクト:hxxps://jingjing-traffic[.]com/jwjrFVvY/(Tencent Cloud APAC:101.32.97.201)
▲ 届いた詐欺メール。e+のブランドカラー(ピンク)をそのまま使用した精巧なデザイン。
ご覧の通り、このメールは公式サイトを装った偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
e+(イープラス) お支払い情報確認のお願い いつもe+(イープラス)をご利用いただき、誠にありがとうございます。 お客様により安全かつ快適にサービスをご利用いただくため、決済システムの セキュリティ向上に伴う確認作業を実施しております。 ご登録中のお支払い情報に変更がないかご確認いただき、必要に応じて情報の 更新をお願いいたします。 ■ご確認内容 ・クレジットカード情報 ・ご登録者情報 ・お支払い設定内容 ■お手続き方法 1. 下記の専用ページへアクセス 2. ご登録情報をご確認 3. 必要事項を更新し保存 [登録情報を確認する] 本手続きは、お客様のアカウント保護およびサービス品質向上を目的として 実施しております。ご登録情報に変更がない場合でも、確認のみでお手続きは 完了いたします。 e+(イープラス)カスタマーサポート 受付時間:10:00〜18:00(年末年始を除く) お問い合わせは公式サイトをご利用ください。 © e+ inc. All Rights Reserved.
三重の罠の構造——偽CAPTCHA・SendGrid悪用・Tencent中継
■ 第1の罠:SendGridでSPF・DKIM両Passを達成
SendGrid(センドグリッド)は多くの企業が正規のメール配信に使う信頼性の高いサービスです。攻撃者はこのアカウントを不正に取得・悪用することで、SPF認証(送信元確認)とDKIM署名(改ざん防止)の両方をPassさせ、スパムフィルターをすり抜けています。
■ 第2の罠:Tencent Cloud上の「jingjing-traffic.com」で中継
メール内のリンクは直接フィッシングサイトへ誘導せず、まず中国・Tencent CloudのIPアドレス(101.32.97.201)上に設置された jingjing-traffic.com を経由します。「jingjing」は中国語の「晶晶」(キラキラ・輝き)に由来すると思われる命名で、中国語圏の攻撃者インフラを示唆しています。この中間経由によりURLフィルターをかわし、実際の誘導先を隠蔽しています。
■ 第3の罠:偽CAPTCHA「私はロボットではありません」
中間サイトを経由した後、本物そっくりの「セキュリティチェック——ロボットではないことを確認してください」という画面が表示されます。これはCloudflareやGoogleが提供する正規のCAPTCHA(ロボット判定)を模倣した偽画面です。「私はロボットではありません」にチェックを入れることで次のステップへ進む仕組みになっており、セキュリティ対策らしく見せながら実際には被害者をフィッシングサイトへ誘導するための演出です。
▲ 偽のCAPTCHA認証画面。本物のセキュリティチェックに見せかけているが、チェックを入れると偽ログイン画面へ誘導される。
▲ 偽CAPTCHAを通過した後に表示される偽e+ログイン画面。本物のe+サイトと見分けがつかないほど精巧に作られている。URLバーを確認すれば「eplus.jp」ではないことがわかる。
送信ルート及び偽装判定
■ 送信ルート解析
※Receivedヘッダーの全文には受信者側のサーバー情報が含まれるため掲載を控えています。
送信元IP:149.72.154.232(逆引き:s.wrqvwxzv.outbound-mail.sendgrid.net → SendGrid確定)
送信ドメイン:quaxpay.com(Cloudflare CDN:104.21.81.4)
中間リダイレクター:jingjing-traffic.com(Tencent Cloud APAC:101.32.97.201)
ロケーション(中継サーバー推定):Tencent Cloud APACリージョン(香港・シンガポール周辺)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
【偽装判定】:本物のe+からのメールは @eplus.co.jp から送信されます。quaxpay.com はe+とまったく無関係のドメインです。
■ 注意点と対処法
- 送信元アドレスを確認する:本物のe+からのメールは
@eplus.co.jpから送信されます。quaxpay.comのような無関係なドメインからのメールは即削除してください。 - CAPTCHAが出ても警戒を解かない:「私はロボットではありません」という画面は正規サービスでも使われますが、フィッシングサイトでも模倣できます。URLバーを必ず確認してください。
- リンクを踏まず公式サイトから直接確認:e+のアカウント情報の確認は、公式アプリまたはブックマーク済みの公式サイト(eplus.jp)から直接ログインして行ってください。
- ID・パスワードを入力してしまった場合:すぐにe+公式サイトからパスワードを変更し、クレジットカード情報を入力した場合はカード会社に連絡してください。
- 公式注意喚起の参照:e+公式:イープラスを騙った不審なメール等にご注意ください
本レポートの結論
「ePlus決済情報更新」を騙るこのフィッシングメールは、SendGrid悪用によるSPF・DKIM両Pass、Tencent Cloud上の中間リダイレクター、偽CAPTCHAという三重の仕掛けで被害者を精巧な偽ログイン画面に誘導します。e+は国内最大級のチケット販売サイトであり、コンサートやライブを楽しむ多くのファンが標的にされています。メールが届いてもリンクは踏まず、必ず公式サイト(eplus.jp)から直接アクセスする習慣が身を守ります。この記事を家族やチケットをよく買う友人のLINEグループで共有してあげてください。
調査日:2026年6月17日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
