セゾンカードから届いた「Vポイント」通知は、ブランドを間違えた詐欺でした——今朝のセゾン詐欺と同じ攻撃者の正体

| 緊急性レベル | ★★★★☆ (4/5) ※「至急ご確認ください」「ポイント資産が消滅」と煽る文面 |
| 偽装工作精度 | ★☆☆☆☆ (1/5) ※差出人名と本文の内容(ブランドとポイント制度)が根本的に矛盾 |
■ メールヘッダー解析(送信者情報)
件名:【重要】Vポイント有効期限に関するお知らせおよび失効回避の手続き
送信者名:クレディセゾン(表示名詐称。本文の内容は三井住友カード「Vポイント」)
送信元アドレス:FMCQEX@pkmufmzv.id.apps-v-yoozhibo.com
ドメインIP解析:35.212.147.166(id.apps-v-yoozhibo.com)
受信日時:2026年07月08日(水)10時50分頃
※メールヘッダー詳細は個人情報保護のため非掲載
ご覧の通り、このメールは真っ赤な偽物です。しかも「セゾンカード」と名乗りながら「Vポイント」の話をしている時点で正体はバレバレです。この解析結果を家族のLINEグループに転送して注意喚起してください。
▲ 実際に届いた詐欺メールの画面です。「クレディセゾン」を名乗りながら、本文は終始「三井住友カード」「Vポイント」の話をしています。
💡ここで!「Vポイント」と「永久不滅ポイント」の違い
「Vポイント」は三井住友カードやVpassが運営するポイント制度、「永久不滅ポイント」はセゾンカード(クレディセゾン)が運営するポイント制度で、まったくの別サービスです。もし「セゾンカード」を名乗るメールで「Vポイント」の話が出てきたら、それだけでほぼ確実に詐欺だと判断できます。今回のメールは、まさにこの矛盾がそのまま残っていました。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化のうえ掲載しています。
SMBC グループ 三井住友カード (リンクは無効化済み) 〇〇様 平素より三井住友カードをご利用いただき、誠にありがとうございます。 お客様が現在保有されているVポイントの一部につきまして、有効期限が間近に迫っていることをお知らせいたします。Vポイントには所定の有効期限が設定されており、期限を経過したポイントは自動的に失効し、以後ご利用いただけなくなります。 要確認 失効間近のVポイントがございます 1ポイント=1円 至急ご確認ください このまま何もお手続きをされない場合、お客様の大切なポイント資産が消滅いたします。 Vポイント(1ポイント=1円)は、VポイントPayアプリへのチャージによるお買い物でのご利用、カードご請求額への充当(キャッシュバック)、各種ギフト券や提携マイルとの交換など、多彩な方法でご活用いただけます。 今すぐできる失効回避の手続き 上記のボタンよりVpassにログインいただき、ポイント残高および有効期限をご確認のうえ、VポイントPayへのチャージまたはカードお支払いへの充当をお済ませください。お手続きは数分で完了いたします。 失効前のお早めのご対応をお願い申し上げます。 ※本メールはシステムより自動送信しております。 ※Vポイントの有効期限および残高の詳細は、Vpassにログインのうえご確認ください。 三井住友カード株式会社 ポイントプログラム事務局 Copyright (C) Sumitomo Mitsui Card Co., Ltd.
署名まで律儀に「三井住友カード株式会社」となっているのに、差出人表示は「クレディセゾン」。おそらく攻撃者は三井住友カード向けに作った本文テンプレートを流用する際、差出人名だけをセゾンに書き換えて、本文中の署名を直し忘れたのでしょう。急かす文面の割に、詰めが甘いようです。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass (sender SPF authorized) client-ip=35.212.147.166; helo=id.apps-v-yoozhibo.com; envelope-from=fmcqex@pkmufmzv.id.apps-v-yoozhibo.com
【偽装判定】:
正規のセゾンカードからのメールは「saisoncard.co.jp」等の公式ドメインから送信されます。本メールの送信ドメイン「apps-v-yoozhibo.com」はセゾン・三井住友いずれとも無関係です。そして最大の決め手は、送信元IP「35.212.147.166」が今朝解析したセゾンカード詐欺3通の送信元IP(35.212.151.240/35.212.197.139/35.212.148.114)と同じ「35.212.x.x」というGoogle Cloud Platformの近接範囲に収まっていることです。同一の攻撃者・同一の送信基盤から、今度は三井住友カード向けのテンプレートを使って送られてきたとみられます。
発信元インフラ:
Google Cloud Platform(アメリカ)
※クラウド事業者のIPアドレスのため、実際の攻撃者の所在地とは限りません。
■ フィッシングサイト詳細解析
今回もパソコンとスマートフォンで誘導先が分岐しており、今朝の記事と同じ設計思想が確認できました。
誘導先URL(伏せ字):
PC:hxxps://login.audthdakbi.top/... (一部伏字)
スマホ:hxxps://login.s1q59z43q.top/... (一部伏字)
リンクドメイン:login.audthdakbi.top(PC)/login.s1q59z43q.top(スマホ)
サイトサーバーIP:172.67.169.171(PC)/104.21.1.108(スマホ)※いずれもCloudflareプロキシ経由
スマホ誘導先ドメイン「s1q59z43q.top」は、今朝発見した3通共通の集約先「s1q59z132q.top」と同じ「s1q59zXXq.top」という命名パターンです。今朝とは末尾の数字が違うだけで、同じ生成ロジックでドメインを量産し続けていることが改めて確認できました。
【サイトの状態】:PC経由でアクセスした際は、Cloudflareの「Suspected Phishing(フィッシングの疑い)」警告およびファイアウォールによる「アクセス拒否」で遮断されました。スマホ経由では、実際に三井住友カード「Vpass」のログイン画面を精巧に模倣した偽サイトが表示されました。
▲ Cloudflareによる「Suspected Phishing」警告画面。
▲ 別の誘導先でのファイアウォールによる「アクセス拒否」画面。
▲ スマホでアクセスした際に表示された、三井住友カード「Vpass」を模した偽のログイン画面。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
■ 注意点と対処法
- ブランドとサービスの対応関係を確認:「セゾンカード」を名乗るメールで「Vポイント」の話が出てきたら、それだけで詐欺と判断できます。
- URLをクリックしない:PC・スマホどちらでアクセスしても偽サイトに誘導されます。
- 送信元アドレスを確認:公式ドメイン(saisoncard.co.jpやvpass.ne.jp、smbc-card.co.jp等)以外からのメールは偽物です。
- ID・パスワードを入力しない:ログインは必ず公式アプリまたはブックマークからアクセスしてください。
本レポートの結論
今回のメールは、今朝解析したセゾンカード詐欺3通と同一の攻撃者・同一のインフラから送られたものでした。攻撃者はブランド名とポイント制度の対応関係すら気にせず、テンプレートを使い回して量産している実態が、はからずも露呈しています。裏を返せば、「あれ、このカードでこのポイントの話はおかしいな」という素朴な違和感が、詐欺を見抜く一番の武器になります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
















