セゾンカード「2月お支払金額のお知らせ」続報——香港発、ヤマト運輸偽メールと同一の中国サーバーを共有

🔍 調査レポート:概要

名古屋は本日、最高気温37℃予想で今年初の猛暑日になろうかという中、届いたのは季節外れの「2月お支払金額のお知らせ」。セゾンカードを騙るこの件名は今年1月にも解析済みですが、今回は送信元インフラが一新され、しかも同日解析したヤマト運輸の偽メールと全く同じ誘導先サーバーを共有していることが判明しました。うだるような暑さの中、一瞬だけ本気で真冬を疑いかけた清涼感のある一件です。

危険度評価 ★★★★★(5/5)
送信元 香港(BytePlus Pte. Ltd. /corporate回線)
SPF/DKIM 共にPass(攻撃者自身が保有するドメインでの自己署名)
誘導先 中国・深圳のTencent Cloud(脅威レベル:高/ヤマト運輸偽メールと同一IP)

⚠️ このメールは「セゾンカード」を装った偽メール(フィッシング詐欺)です ⚠️

📩 詐欺メール本文(再現)

件名は「2月お支払金額のお知らせ」。ところが本文中の「次回のお引き落とし日」は2026年7月18日と、しっかり今月の日付になっています。件名だけが更新し忘れられたテンプレートの使い回しであることが一目瞭然です。

▲実際に届いたメールの表示画面(件名は「2月」だが本文中の引き落とし日は7月18日)

🛰️ 送信ルートの解析と偽装判定

本日解析したヤマト運輸の偽メールと全く同じ構図で、SPFとDKIMがいずれも「Pass」と表示されていました。

送信元IPアドレス 150.5.138.196
HELO名/送信ドメイン symgo.asia
SPF認証結果 pass(symgo.asiaが自ドメインのSPFレコードに自分のIPを登録)
DKIM署名 valid(同じくsymgo.asia名義の自己署名)
国・地域 香港・九龍(旺角)
プロバイダー BytePlus Pte. Ltd.(AS150436 BYTEPLUS-AS-AP)
送信ソフト Foxmail 6.13.102.15(中国語版)

「symgo.asia」というドメインも、実在のセゾンカード公式ドメインとは一切関係ありません。SPF/DKIMのPassはあくまで攻撃者自身が管理するドメイン内での自己認証にすぎず、正規メールである根拠にはなりません(詳細は本日公開のヤマト運輸偽メール解析記事もご参照ください)。

🎣 フィッシングサイトの詳細解析(同一インフラを確認)

メール本文中の「ログインして表示」「ご利用明細を確認する」等のリンクは、いずれも以下のURLに誘導されました。

hxxps://containical.56rw6b5[.]cn/eD9490/index

■ 第1段階:セキュリティソフトによるブロック

ウイルスバスター クラウドが即座に「フィッシング」の脅威種別で警告を表示しました。着地先IPを調べたところ、43.165.167.152という、本日解析したヤマト運輸の偽メールの誘導先と全く同一のIPアドレスであることが判明しました。同じ中国・深圳のTencent Cloud(AS132203、脅威レベル「高」)を、ブランドの異なる複数の詐欺キャンペーンが使い回している格好です。

▲ウイルスバスター クラウドによるブロック画面

■ 第2段階:デバイスによる着地先の振り分け(クローキング)

警告を確認しつつ同じURLへPC・スマートフォン双方からアクセスしたところ、PCでは「読み込み中です」という表示のまま延々とローディングが終わらない状態でした。一方スマートフォンでは、セゾンNetアンサーそっくりの偽ログイン画面(ID・パスワード入力欄)へときちんと接続されました。ヤマト運輸の偽メールと全く同じ「PC=足止め/スマホ=本番の偽画面」という振り分けパターンです。

▲PCでは「読み込み中です」のまま先に進まなかった画面

▲スマートフォンでのみ表示された偽のログイン画面

💡 ここで!用語解説:攻撃基盤の「使い回し」とは?

詐欺グループは、狙うブランド(セゾンカード、ヤマト運輸など)ごとに毎回新しいサーバーを用意するとは限りません。1つのサーバー(今回のようなTencent Cloud上のIP)を「窓口」として複数の異なる詐欺キャンペーンで共有し、メールの見た目だけを使い分けるケースがよくあります。誘導先IPが一致するということは、裏側の運営元が同一である強い証拠になります。

📎 過去記事との関連

「2月お支払金額のお知らせ」という同一件名は、2026年1月30日にも解析済みです。当時の送信元はルーマニアの回線(tential.jp)でしたが、今回は香港のクラウド事業者(symgo.asia)へとインフラが一新されています。

🛡️ 注意点と対処法

  • 件名や本文の日付に少しでも違和感(今回のような「2月」なのに実際は7月、等)があれば、それだけでテンプレート使い回しの詐欺メールを疑う
  • 支払い金額の確認は、メール記載のリンクではなく、公式アプリやブックマークからセゾンNetアンサーへ直接ログインして行う
  • PCでは反応がなくても、スマホでは偽サイトに接続される場合があるため、「PCで確認したから大丈夫」と考えない
  • 既にID・パスワードを入力してしまった場合は、速やかにパスワードを変更し、カード会社へ連絡する

猛暑日に届いた真冬の請求書は、季節感だけでなく攻撃基盤までヤマト運輸の偽メールと共有していました。ブランドが違っても裏側は同じ、という詐欺グループの実態が垣間見える一件です。少しでも「あれ?」と思ったら、リンクは踏まずにご家族やお知り合いにも教えてあげてください。

この記事をLINEで送る


Data Provided by Heartland-Lab Security Research Unit(IPロケーション情報:ip-sc.net参照)

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る