【続報】セゾンカード版も確認!「セキュリティシステム更新に伴う再認証の手続き」使い回しテンプレートとゼロ幅文字注入の手口

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★★ (5/5) |
対応期限が「当日中」と設定されているなど、見た目の緊急性の演出も含めてイオン銀行版と非常によく似ています。まずはメール本文を見てみましょう。
※実際に届いたメールの画面です。対応期限を「当日中」と設定し、焦らせる構成になっています。
■ メールヘッダー解析(送信者情報)
件名:[spam]【セゾンカード】セキュリティシステム更新に伴う再認証の手続き
送信者名:SAISON
送信元アドレス:noreply@csotmj.dwnrk.com
ドメインIP解析:40.114.202.235(Microsoft Corporation/Azure、オランダ)
受信日時:2026年07月03日 14時46分頃
※メールヘッダー詳細は個人情報保護のため非掲載
ご覧の通り、このメールはセゾンカードを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
💡ここで!
「ゼロ幅文字注入」とは
画面上には表示されないものの、コンピューター上ではしっかり「文字」として認識される特殊な制御文字(ゼロ幅接合子など)を、件名の文字と文字の間に大量に挟み込む手口です。人間の目には普通の日本語の件名に見えますが、コンピューター上のデータとしては全く別の文字列になるため、スパムフィルターが持っている「危険な件名リスト」との一致を回避しやすくなります。今回のメールの件名データを実際に確認したところ、ほぼ全ての文字の間にこの特殊文字が挿入されていました。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
当ラボの受信サーバーに直接着信したのは、Microsoft Azure上のサーバー(40.114.202.235、オランダ)からでした。SPF・DKIMともに「Pass」ですが、これは攻撃者が自分で取得した使い捨てドメイン「csotmj.dwnrk.com」に正しく認証設定を行っただけのことであり、セゾンカード公式からのメールであることの証明には一切なりません。
【偽装判定】:
正規のセゾンカードからのメールは「saisoncard.co.jp」等の公式ドメインから送信されます。本メールの送信ドメイン「dwnrk.com」はセゾンカードとは無関係の使い捨てドメインであり、公式サーバーとは一切関係がありません。
■ イオン銀行版との比較:
件名のテンプレート(「セキュリティシステム更新に伴う再認証の手続き」)は、以前ご紹介したイオン銀行を騙るメールと完全に一致します。ただし、イオン銀行版はZoho Mail経由での中継が確認されていたのに対し、今回のセゾンカード版はMicrosoft Azureから直接送信されていました。送信基盤が異なるため、同一犯と断定はできませんが、同じフィッシングキット(テンプレート)が複数の攻撃者・グループ間で使い回されている可能性があります。
発信元ロケーション解析:
オランダ(Microsoft Azure)
Googleマップ:【位置情報を確認する】
同じ台本を使い回しているのに、送信インフラだけはご丁寧に毎回変えてくるあたり、律儀というかなんというか(笑)。テンプレートさえ完成すれば、あとは差し込むブランド名と送信元を変えるだけで量産できてしまうのが、この手の詐欺の恐ろしいところです。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://cyrkp[.]com/MopfSggn/
サイトサーバーIP:192.227.190.150、アメリカ合衆国
【サイトの状態】:ウイルスバスターが「フィッシング」として即座にブロック。ブロックを解除して進むと「安全な接続を確認しています」という偽の読み込み演出(実際には何も確認していません)が数秒間表示された後、SAISON CARD公式サイトをほぼそっくりに再現した偽ログイン画面が表示されます。Netアンサー ID・パスワードを入力すると、攻撃者にアカウント情報が渡ってしまいます。
※「安全な接続を確認しています」という偽の演出です。実際には何も検証していません。
※誘導先へアクセスしようとすると、このような警告画面が表示されます。
※本物のセゾンカードとほぼ同じデザインの偽ログイン画面です。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
セゾンカード SAISON CARD 【重要】セキュリティ認証 再確認のお願い 平素よりセゾンカードをご利用いただき、誠にありがとうございます。 お客様のカードにご登録いただいております「セキュリティ認証(本人認証サービス)」の有効期限が切れているか、または再登録が必要な状態となっております。 セキュリティ強化のため、再認証手続きを弊社システムにて依頼しております。 ※再認証が完了しない場合、一部のインターネット決済(オンラインショッピング等)がご利用いただけなくなる可能性がございます。 要対応期限:2026-07-03(当日中) 対応内容:セキュリティ認証(本人認証サービス)の再登録・認証手続き 認証手続きは下記の専用ボタンより認証画面へお進みください。 (※セキュリティ保護のため、必ずご自身でブラウザを開き直接アクセスするか、セゾン公式アプリからお手続きください) 【 セキュリティ認証ページ 】(=フィッシングサイトへのリンク。実際にはクリックできないようになっています) ⚠ 本メールに心当たりがない場合や、不審な点がある場合は直ちにセゾンカードコールセンターまでご連絡ください。 ※本メールは送信専用アドレスより配信されています。返信いただいてもご回答できませんのでご了承ください。 🔒 セキュリティ対策の観点から、不審なメールのリンクを直接クリックせず、セゾン公式サイトのブックマークまたはセゾン公式アプリからアクセスすることを推奨します。 株式会社セゾンカード 〒170-6056 東京都豊島区東池袋三丁目1番1号 サンシャイン60 カスタマーサポート:0120-324-594(無料) *紛失・盗難のご連絡は、24時間年中無休で承っております。 2026 株式会社セゾンカード / SAISON CARD
■ 注意点と対処法
- 「セキュリティ認証ページ」ボタンは絶対にクリックしないでください。リンク先はNetアンサーID・パスワードを盗むための偽サイトです。
- セキュリティ認証の状況を確認したい場合:メール内のリンクからではなく、必ずセゾンカード公式サイトのブックマークまたは公式アプリの「Netアンサー」から直接ログインしてご確認ください。
- 「本日中」「当日中」といった期限の言葉に焦らされないでください。正規のセキュリティ更新案内が、突然のメールで即日対応を求めることは通常ありません。
- 公式注意喚起の参照:セゾンカード公式「フィッシング詐欺について」ページ
本レポートの結論
「セキュリティシステム更新に伴う再認証の手続き」というメールは、以前ご紹介したイオン銀行版と同じテンプレートを使った、セゾンカードを装う詐欺メールです。件名には目に見えないゼロ幅文字が仕込まれ、送信元はオランダのAzureサーバーでした。同じ台本のメールが今後も別のブランドを装って届く可能性が高いです。「セキュリティシステム更新」「再認証」「当日中」といったキーワードの組み合わせを見かけたら、まず疑ってください。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年7月3日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
















