【実録】クレディセゾン「入金完了通知」は偽物——大阪発Google Cloudの送信元とシンガポールDigitalOceanの誘導先を使い分ける手口

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 不審メールの基本情報
件名:[spam]【クレディセゾン】入金完了通知およびNetアンサーご確認のお願い
送信者表示名:“Netアンサー” <xssddj@xssddj.brianlarsonlaw.com>(クレディセゾンとは無関係のドメイン)
※メールヘッダー詳細は個人情報保護のため非掲載
■ メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
セゾンカードをご利用のお客様へ いつもセゾンカードをご利用いただき、誠にありがとうございます。 お客さまの口座へ入金がございましたので、お知らせいたします。 入金日時:(日時プレースホルダー、実際には日付フォーマットのタグが未置換のまま露出) 入金金額:3,862円 取扱番号:824745419336 入金取消がされた場合にも送付されますので、下記よりNetアンサーへログインして入金明細照会をご確認ください。 カード明細確認についてはこちら 誠に勝手ながら本メールは発信専用アドレスより配信しております。 本メールにご返信いただきましてもお答えすることができませんのでご了承ください。 ━━━━━━━━━━━━━━━━━━━━ ■配信元■ 〒170-6073 株式会社クレディセゾン(英文社名 Credit Saison Co.,Ltd.) 東京都豊島区東池袋3-1-1 サンシャイン60・52F ━━━━━━━━━━━━━━━━━━━━ Copyright(C) Credit Saison Japan Co., Ltd. All Rights Reserved. 無断転載および再配布を禁じます。

実際に届いたメールの画面
「入金日時」の欄には本来日付が入るはずの場所に{{.reiwa_date}}というテンプレート変数がそのまま露出していました。大量生成システムが日付の差し込みに失敗し、変数名がむき出しのまま送信されてしまったようです。本物の企業システムであればまず起こり得ないミスです。
■ 送信ルート及び偽装判定
■ 送信元の解析
Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass client-ip=34.97.82.95; helo=xssddj.brianlarsonlaw.com
送信元IPアドレス:34.97.82.95(Google LLC・Google Cloud Platform、日本国内リージョン)
HELO名:xssddj.brianlarsonlaw.com(クレディセゾンとは無関係の第三者ドメイン)
【偽装判定】:SPFは「Pass」ですが、これは攻撃者が自分で用意した「brianlarsonlaw.com」というドメインの認証を通っているだけで、クレディセゾンの正規ドメイン(saisoncard.co.jp等)とは一切関係ありません。送信元はGoogle Cloudの日本国内リージョンが使われており、海外発の攻撃と決めつけられない点も注意が必要です。
💡 ここで!用語解説
SPF(エスピーエフ):「このメールは正規の送信元から届いたか」を判定する仕組みの一つ。今回のように、攻撃者が自分で用意した無関係なドメインの認証さえ通っていれば「Pass」と表示されてしまうため、SPF Passだけを見て安全と判断するのは危険です。
■ フィッシングサイト詳細解析
■ 誘導先サイト
誘導先ドメイン(伏せ字):hxxps://woldof[.]daikohara.com/
サーバーIP:206.189.85.100
ホスティング:DigitalOcean LLC、シンガポール
送信元はGoogle Cloudの日本国内リージョン、誘導先はDigitalOceanのシンガポールと、送信インフラと着地インフラで別々のクラウド事業者・別々の国を使い分けています。片方が検知・停止されても、もう片方の攻撃基盤は生き残る、という耐障害性を意識した構成と見られます。

最終的に表示される偽のSAISON IDログイン画面。デザインは本物とほぼ同一
画面デザインは実物のSAISON IDログイン画面を精巧に模倣しており、見た目だけで真偽を判断するのは非常に困難です。ここでメールアドレスとパスワードを入力してしまうと、クレディセゾンのアカウント全体が乗っ取られる危険があります。
■ 過去記事との関連
クレディセゾン・Netアンサーを騙るフィッシングメールは、過去にも「ポイント交換レート優遇」という件名で確認しています(過去記事:セゾンカードを騙る「ポイント交換レート優遇」フィッシングメール発覚)。「ポイント」「入金」など毎回異なる切り口で受信者の関心を引きつつ、最終的にNetアンサー/SAISON IDのログイン情報を狙う点は共通しています。
■ 注意点と対処法
■ 注意点と対処法
- URLをクリックしない:「入金があった」という内容でも、メール内のリンクからログインしないでください。
- 公式アプリ・公式サイトから確認:入金・明細を確認したい場合は、必ず「セゾンPortal」アプリまたは公式サイトのブックマークからアクセスしてください。
- 誤って情報を入力してしまった場合:直ちにNetアンサーID・パスワードおよびSAISON IDのパスワードを変更し、クレディセゾンのお客様デスクへご連絡ください。
- 公式の注意喚起も参照:セゾンカードを騙る不審なメール・SMSにご注意ください(クレディセゾン公式)
本レポートの結論
「入金があった」という前向きな話題で警戒心を緩めさせ、明細確認を口実にログイン情報を盗もうとする手口でした。送信元と誘導先で別々のクラウド事業者・国を使い分ける、耐障害性を意識した構成も見られます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net














