【続報】セゾンカード「口座取引制限のご案内」が再来——自己所有ドメインでSPF/DKIM両方Pass、Tencent Cloud経由でスマホのみ偽ログインへ誘導

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★★ (5/5) |
ご覧の通り、このメールは公式セゾンカードを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

▲ 実際に届いた詐欺メールの画面。「セゾンカード情報更新のお願い」というタイトルで、正規のセゾンカードのロゴやカラーリングを模倣しています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。
セゾンカード情報更新のお願い 拝啓 お客様各位 平素よりセゾンカードをご愛顧賜り、誠にありがとうございます。 このたび、お客様の情報セキュリティ向上のため、ご登録情報の更新をお願い申し上げます。 更新手順: 1. 下記の「情報を更新」ボタンよりお進みください 2. 必要事項をご入力の上、ご確認ください 【情報を更新】(リンク無効化済み) 2026年7月20日までに更新を完了しない場合、アカウントの取引に制限がかかる可能性がございます。お早めのご対応をお願い申し上げます。 ■発信元 株式会社クレディセゾン 〒170-6073 東京都豊島区東池袋3-1-1 お問い合わせ窓口:0570-064-133 (受付時間:9:00~17:00 土日祝日を除く)
「拝啓 お客様各位」という時代がかった書き出しに始まり、全体的に硬い翻訳調の文面です。実在するクレディセゾンの住所(東京都豊島区東池袋3-1-1)と電話番号を本文に正確に記載しており、単なる文面コピーだけでなく企業情報まで精密に模倣している点は要注意です。
■ メールヘッダー解析(送信者情報)
件名:口座取引制限のご案内:セゾンカード情報を更新してください
差出人表示名:セゾンカード
送信元アドレス:mdep2t64@qn5pkz.cn
受信日時:2026年7月12日 4時44分頃
※メールヘッダー詳細は個人情報保護のため非掲載
■ 送信ルート及び偽装判定
Received-SPF:
Received-SPF: pass (client-ip=150.5.143.239)
送信元ドメイン「qn5pkz.cn」自体が指定するIPアドレスから送信されているため、SPF認証は正しく「Pass」になっています。これは正規サービスへの「なりすまし」ではなく、攻撃者自身が取得・運用している使い捨てドメインという意味です。
DKIM署名:
d=qn5pkz.cn で有効な署名が確認できました。SPF・DKIMが両方Passするため、一般的な迷惑メールフィルターの多くをすり抜けてしまいます。
送信元IPアドレス:150.5.143.239
ロケーション:香港
DNS解決:qn5pkz.cn は同じ150.5.143.239を指しており、メール送信サーバーとドメインが一体で運用されていることが分かります。
使用メールクライアント:Foxmail(中国語圏で広く使われているメールソフト)
【偽装判定】:
正規のセゾンカードからのメールは「saisoncard.co.jp」「saisonid.com」等の公式ドメインからのみ配信されます。本メールの送信ドメイン「qn5pkz.cn」は中国ドメインであり、セゾンカードの公式サーバーとは一切関係がありません。
💡 ここで!用語解説
SPF(Sender Policy Framework):「このドメインからのメールは、このIPアドレスから送っていいですよ」とあらかじめ登録しておく仕組みです。今回のように攻撃者が自分でドメインを取得して正しく設定してしまうと、SPFは簡単にPassしてしまいます。「SPFがPassだから安全」とは言えないのがポイントです。
DKIM(DomainKeys Identified Mail):メールの内容が送信後に改ざんされていないことを証明する電子署名の仕組みです。これも自己所有ドメインなら攻撃者自身が正しく設定できてしまいます。
AS番号(Autonomous System Number):インターネット上のネットワークを識別する番号です。今回の誘導先は「AS132203(Tencent Cloud)」という、中国大手IT企業Tencentが運営するクラウドサービスの番号でした。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://cumbose.vngfzsoz[.]cn/eD9490/index/
リンクドメイン:cumbose.vngfzsoz.cn
サイトサーバーIP:43.165.167.152
プロバイダー:Shenzhen Tencent Computer Systems Company Limited(Tencent Cloud)
AS番号:AS132203(TENCENT-NET-AP-CN)
ip-sc.net脅威レベル:高

▲ ip-sc.netによるIPアドレス調査結果。プロバイダー名「Shenzhen Tencent Computer Systems Company Limited」、AS番号132203、脅威レベル「高」と表示されています。
今回のフィッシングサイトには、アクセス経路によって挙動が変わる「クローキング」という手口が使われていました。

▲ ウイルスバスター クラウドによるブロック画面。「このWebサイトは、安全ではない可能性があります」「脅威の種類:フィッシング」と明示されています。
セキュリティソフトの警告を解除して実際にアクセスを試みたところ、PCとスマートフォンで表示結果が異なりました。

▲ PCからアクセスした場合の画面。「読み込み中です」のインジケーターが表示されたまま、いつまで待っても先に進みません。

▲ スマートフォンからアクセスした場合の画面。一旦同じ読み込み画面を経由したのち、セゾンカード公式サービス「Netアンサー」を模した偽のログイン画面が表示されました。
PCでは永遠に読み込み中のまま止まり、スマートフォンでのみ本物そっくりの偽ログイン画面(Netアンサー/SAISON ID)にたどり着くという、アクセス元を厳密に見分けて挙動を変える「クローキング」が実装されています。これはセキュリティ研究者やクローラーによる自動解析を避けつつ、実際の被害者(多くの場合スマートフォンでメールを確認する一般利用者)にだけ確実にフィッシングページを見せるための手口です。
■ 過去記事との関連:件名は同じでも中身は別物
実は同じ件名「口座取引制限のご案内:セゾンカード情報を更新してください」のメールは、2024年12月にも当ブログでご紹介しています(こちらの記事)。当時は送信元が「任天堂」のドメインになりすましたお粗末な作りで、SPF認証も通っていませんでした。1年半が経過し、同じ件名を使い回しながらも、送信インフラは自己所有ドメイン+SPF/DKIM両方Passという、フィルター耐性の高い形へと着実に「進化」していることが分かります。
■ 注意点と対処法
- URLをクリックしない:リンク先は情報を盗むための精巧な偽サイトです。SPF/DKIMが正しく見えても送信元ドメインが公式のものでなければ意味がありません。
- 送信元アドレスを確認:セゾンカードからのメールは「@mail.saisoncard.co.jp」「@mail2.saisoncard.co.jp」「@cs.saisoncard.co.jp」「@saisonid.com」のいずれかからのみ配信されます。それ以外のドメインは全て偽物です。
- 公式サイトを確認:必ず公式アプリまたはご自身で登録したブックマークからアクセスしてください。
- 公式注意喚起の参照:セゾンカードを騙る不審なメール・SMSにご注意ください(クレディセゾン公式)
本レポートの結論
同じ件名を使い回しながらも、送信元は自己所有ドメイン化しSPF/DKIM両方Passを実現、誘導先もアクセス元に応じて挙動を変えるクローキングを実装するなど、手口は着実に巧妙化しています。「認証マークが揃っているから安全」という思い込みが一番危険です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年7月13日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
















