【注意喚起】e+plus「決済システム更新のご案内」は詐欺!SPF/DKIMをPassし、ゼロ幅文字でフィルターを欺く巧妙な手口を解析

【注意喚起】e+plus「決済システム更新のご案内」は詐欺!SPF/DKIMをPassし、ゼロ幅文字でフィルターを欺く巧妙な手口を解析
🔍 調査レポート:概要
チケット販売大手の「e+plus(イープラス)」を騙り、「セキュリティ基準の強化に伴う決済情報の再確認」を口実に偽サイトへ誘導するフィッシングメールが着信しています。
今回の攻撃は、正規のドメイン認証(SPF/DKIM)を両方通過させる設定が施されている上、メール本文に「目に見えない文字」を大量に埋め込むことでセキュリティソフトの検知を逃れようとする、極めて技術的執念を感じさせる内容です。
| 危険度ランク | ★★★★★(極めて危険) |
| 主な手口 | ゼロ幅文字による難読化、Azure悪用、SPF/DKIM認証突破 |
■ 拡散している偽メールの再現
件名:[spam] 株式会社 e+plus サポートセンター 送信者:"e+plus カスタマーサポート" <email58@email58.dgazqllk.com> 【重要】e+plus決済システム更新のご案内 平素よりe+plusをご利用いただき、誠にありがとうございます。 この度、セキュリティ基準の強化に伴い、決済情報の再確認と更新手続きが必要となっております。 ※更新手続きをお済ませいただかない場合、決済認証に失敗する可能性がございます。 要対応期限:2026-07-14(当日中) 対応内容:決済情報の再登録・認証手続き [認証手続きを開始する]

※メールヘッダー詳細は個人情報保護のため非掲載
■ 送信ルート及び技術解析
今回のメールは、単なる「怪しいメール」を超えた巧妙な設定が施されています。
- 送信元IP: 20.190.106.20
- 発信元インフラ: Microsoft Azure
- SPF判定: Pass (正規認証)
- DKIM判定: Pass (署名有効)
- 誘導先URL:
hxxps://kjfmt[.]com/jDrhSJcA/
送信元のドメイン dgazqllk.com は攻撃者の用意した使い捨てドメインですが、SPFとDKIMの認証を完璧に設定しており、Gmailなどのフィルターを潜り抜けやすくなっています。発信元には Microsoft Azure のクラウドが利用されています。
このメールにはとある見えない手口が使われていました。
このメールをテキスト表示に切り替えてみると、あぶり出したようにこのような不思議な文字列が浮かびあがってきたのです!
これはゼロ幅文字と呼ばれる手法なんです。

💡 ここで!用語解説:ゼロ幅文字(Zero-width characters)
人間の目には見えないが、プログラム上は一文字として存在する特殊なコードです(例:など)。今回のメールでは、本文のほぼ全文字の間にこのコードが挿入されています。セキュリティソフトが「決済システム更新」という文字列を検知しようとしても、コード上は「決済[見えない文字]シ[見えない文字]ス[見えない文字]テム」となっているため、検知フィルターを素通りさせるための高度な難読化手口です。
■ 詐欺師の執念への「ツッコミ」
コードを解析すると、本文の隙間にびっしりと書き込まれた や の群れに圧倒されます。これだけの「見えない努力」を、本物のチケット争奪戦のために使ってくれたらどれほど良かったことか……。見えない文字に情熱を注ぐ前に、正しいサーバーの使い方を学んでほしいものです。
■ フィッシングサイトの実態
誘導先の kjfmt.com を経由して表示されるのは、イープラスの公式ログイン画面を完全にコピーした偽サイトです。

見た目だけでは公式と区別がつかないレベルです
ここでIDやパスワードを入力してしまうと、即座にアカウントを乗っ取られ、登録している決済情報で高額チケットを勝手に購入される等の甚大な被害に繋がります。

トレンドマイクロ社のウイルスバスターでは既に「フィッシング」としてブロックされています
イープラスから「決済情報の更新」という不自然なメールが届いた場合、メール内のボタンは絶対に押さず、公式アプリやブラウザのブックマークから直接ログインして状況を確認してください。
Data Provided by Heartland-Lab Security Research Unit
Network data via ip-sc.net
Theme: Teal















