【解析】e+plus「決済システム更新のご案内」また別便が到着:シンガポール発Azureの新パターン

HL-META: date=2026-07-02 | brand=e+plus(イープラス) | sender_geo=シンガポール(Microsoft Azure) | site_geo=不明(インフラ既に停止) | spf=pass | dkim=pass | cloaking=不明

【解析】e+plus「決済システム更新のご案内」また別便が到着:シンガポール発Azureの新パターン

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「e+plus」を騙るメールは以前にもご紹介しましたが(韓国発Azure・二重ドメインの手口)、今回はまた別の便が届きました。調べたところ、送信元も誘導先も前回とは異なるインフラが使われており、同一犯というより、同じテンプレートを使う攻撃者が複数存在している可能性が見えてきました。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★☆☆ (3/5)
偽装工作精度 ★★★☆☆ (3/5)

メールデザインはピンクを基調としたシンプルなもので、前回の記事とはビジュアルも異なります。中身を見ていきましょう。

※実際に届いたメールの画面です。「e+plus公式アカウントより送信」という緑色の帯が特徴的です。

■ メールヘッダー解析(送信者情報)

件名:[spam]【重要通知】ePlus決済情報の再確認・更新手続きのお願い

送信者名:eplus_members

送信元アドレス:sdff@mail01.maccmsrust.com

ドメインIP解析:52.253.90.102(Microsoft Corporation/Azure、シンガポール)

受信日時:2026年07月02日 21時01分頃

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、このメールはe+plusを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

■ 送信ルート及び偽装判定

Receivedヘッダー解析(サーバー通過証明):
当ラボの受信サーバーに直接着信したのは、Microsoft Azure上のサーバー(52.253.90.102、シンガポール)からでした。SPF・DKIMともに「Pass」ですが、これは攻撃者が自分で取得した使い捨てドメイン「maccmsrust.com」に正しく認証設定を行っただけのことであり、e+plus公式からのメールであることの証明には一切なりません。

【偽装判定】:
正規のe+plusからのメールは「eplus.co.jp」等の公式ドメインから送信されます。本メールの送信ドメイン「maccmsrust.com」はe+plusとは無関係の使い捨てドメインであり、公式サーバーとは一切関係がありません。

■ 過去記事との比較:
以前ご紹介した「e+plus決済システム更新」を騙るメールは、送信元が韓国リージョンのAzure、送信ドメインが「〜.com.com」という二重構造でした。今回は送信元がシンガポールリージョン、ドメインも単一構造の「maccmsrust.com」と、細部が異なります。同一犯の再送というより、同じ文面テンプレートを複数の攻撃者・グループが使い回している可能性が高いです。

発信元ロケーション解析:
シンガポール(Microsoft Azure)
Googleマップ:【位置情報を確認する】

同じ「e+plus決済更新」というネタでも、使う国とドメインを毎回変えてくるあたり、フィッシングキットが使い捨て感覚で量産・配布されていることをうかがわせます。

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://tjgongshui[.]com/bYGTXPXH

【サイトの状態】:ウイルスバスターが「フィッシング」として即座にブロック。当ラボが調査した時点では、このドメインはすでに名前解決ができず(DNS_PROBE_FINISHED_NXDOMAIN)、インフラがすでに停止済みでした。攻撃者は非常に短期間でドメインを使い捨てていることが確認されています。

※誘導先へアクセスしようとすると、このような警告画面が表示されます。

 

※調査時点で、誘導先ドメインはすでに名前解決できなくなっていました。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。


e+plus 公式アカウントより送信

【重要通知】e+plus決済システム更新のご案内

平素よりe+plusをご利用いただき、誠にありがとうございます。

この度、セキュリティ基準の強化に伴い、決済情報の再確認と更新手続きが必要となっております。

■ 更新の必要性
新しいセキュリティ基準により、旧情報では認証に失敗する可能性があります。
スムーズなサービス利用のため、更新をお願いいたします。

■ お手続き方法
1. 下記ボタンより専用ページへアクセス
2. 登録情報の確認・更新
3. 変更内容の保存
最新情報で認証を完了する

ご不明点がある場合は、サポート窓口までお問い合わせください。

TEL:0570-06-9911(平日9:00-18:00)
※本メールは自動送信されています。

【 今すぐ専用ページへアクセス 】(=フィッシングサイトへのリンク。実際にはクリックできないようになっています)

※本更新手続きはセキュリティ強化のため必須です。
※お手続きを完了いただかないと、決済認証に失敗する可能性があります。
※お客様の情報保護のため、定期的な確認をお願いしております。

セキュアなサービス提供のため、ご理解とご協力をお願い申し上げます。

本メールはe+plus決済システム更新に関する重要なお知らせとして配信しております。
お問い合わせ先:0570-06-9911(平日9:00-18:00)
※受付時間外は翌営業日以降のご対応となります。

■ 注意点と対処法

  1. 「今すぐ専用ページへアクセス」ボタンは絶対にクリックしないでください。リンク先は決済情報を盗むための偽サイトです。
  2. 決済情報を確認したい場合:メール内のリンクからではなく、必ずe+plus公式サイトまたは公式アプリから直接ログインしてご確認ください。
  3. 同じ文面のメールが今後も別の送信元から届く可能性があります。「決済システム更新」「セキュリティ基準の強化」といった言い回しを見かけたら、まず疑ってください。
  4. 公式注意喚起の参照:e+plus公式「イープラスを騙った不審なメール等にご注意ください」ページ

本レポートの結論

「e+plus決済システム更新のご案内」を騙るメールは、以前の韓国発・二重ドメイン版とは異なるインフラ(シンガポール発Azure)から送信された別便でした。同じテンプレートが複数の送信元から繰り返し届いていることから、フィッシングキットとして出回っている可能性があります。「決済システム更新」という言葉を見かけたら、送信元がどこであれ、まず疑ってください。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。

調査日:2026年7月3日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る