【解析】e+plus「決済システム更新のご案内」は詐欺!韓国発Azure×ゼロ幅文字注入×二重ドメイン「.com.com」の新手口

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【重要】e+plus決済システム更新のご案内
送信者表示名:“e+plus事務局”
送信元アドレス:noreply@qgdacm.rtewrewr.com
送信元IP解析:20.194.26.97(韓国・ソウル特別市龍山区/Microsoft Azure)
SPF判定:Pass(送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、e+の正規メールであることの証明にはなりません)
受信日時:2026年07月01日(水)17時06分頃
ご覧の通り、このメールはe+plusを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールの画面です。e+のブランドカラー(ピンク)を模しています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
e+plus 【重要】e+plus決済システム更新のご案内 平素よりe+plusをご利用いただき、誠にありがとうございます。 この度、セキュリティ基準の強化に伴い、決済情報の再確認と更新手続きが必要となっております。 ■ 更新の必要性 新しいセキュリティ基準により、旧情報では認証に失敗する可能性があります。 スムーズなサービス利用のため、更新をお願いいたします。 ■ お手続き方法 1. 下記ボタンより専用ページへアクセス 2. 登録情報の確認・更新 3. 変更内容の保存 最新情報で認証を完了する 要対応期限:2026年7月15日(水) 対応内容:e+plus決済システム更新(セキュリティ基準強化に伴う再認証) ご不明点がある場合は、サポート窓口までお問い合わせください。 TEL:0570-06-9911(平日9:00-18:00) (※受付時間外は翌営業日以降のご対応となります) [今すぐ専用ページへアクセス](リンク先:hxxps://www.wxsgpt.com[.]com/NBKXDTON) 本メールは自動送信されています。 ※本更新手続きはセキュリティ強化のため必須です。 ※お手続きを完了いただかないと、決済認証に失敗する可能性があります。 ※お客様の情報保護のため、定期的な確認をお願いしております。 セキュアなサービス提供のため、ご理解とご協力をお願い申し上げます。 本メールはe+plus決済システム更新に関する重要なお知らせとして配信しております。 お問い合わせ先:0570-06-9911(平日9:00-18:00) e+plus運営事務局 お問い合わせ:0570-06-9911(平日9:00-18:00) ※受付時間外は翌営業日以降のご対応となります。
誘導先のドメインをよく見ると「wxsgpt.com.com」と、末尾に「.com」が二重に付いています。正規のドメインでこのような表記になることはまずなく、量産テンプレートへの入力ミスがそのまま公開されてしまったとみられます(笑)。
■ 送信ルート及び偽装判定
送信元の正体:送信者表示名は「e+plus事務局」となっていますが、実際のメールアドレスのドメイン(@より後ろ)は「qgdacm.rtewrewr.com」。e+が利用する正規ドメインは「eplus.co.jp」「eplus.jp」であり、このドメインは一切関係がありません。このドメイン自体、現在は名前解決ができない状態(消滅済み)でした。
送信元サーバーの解析:メールヘッダーの「Received-SPF」に記載された実際の送信元IPアドレスは20.194.26.97。このIPアドレスは韓国・ソウル特別市龍山区に割り当てられた、Microsoft Azureのサーバーでした。過去にご紹介したe+を騙るメール(SendGridやTencent Cloudを経由するもの)とは異なるインフラが使われており、複数の異なる攻撃グループ(あるいは同一グループの別系統)がe+ブランドを標的にしていることがうかがえます。
※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。
💡ここで!
「ゼロ幅文字」の注入とは
今回のメールには、プレーンテキスト版(装飾なしのテキスト表示用データ)の中に、目に見えない特殊な文字(ゼロ幅非接合子・ゼロ幅ノーブレークスペースなど)がほぼ1文字ごとに埋め込まれていました。人間の目には普通に「【重要】e+plus決済システム更新のご案内」と読めますが、実際のデータ上は「【重要】e+plus…」のように、見えない文字で細切れにされています。これは、迷惑メールフィルターが「特定の単語(例:決済、更新など)」をそのまま検知できないようにするための難読化テクニックです。以前ご紹介したセゾンカードを騙るメールでも同様の手口が確認されています。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://www.wxsgpt.com[.]com/NBKXDTON
リンクドメイン:wxsgpt.com.com(末尾「.com」が二重になっている不自然な構造)
サイトサーバーIP:104.26.5.148(Cloudflare CDN経由のため、実際の設置場所は特定できません)
【サイトの状態】:実際にアクセスを試みたところ「ERR_SSL_VERSION_OR_CIPHER_MISMATCH」というエラーが表示され、SSL通信のプロトコルが一致せず接続できませんでした。攻撃者側のサーバー設定に不備があるとみられ、現時点では実際のフィッシングページの中身は確認できていません。
※誘導先URLにアクセスすると、SSL通信エラーで接続できませんでした。
■ 注意点と対処法
- URLをクリックしない:接続できない状態であっても、URL自体を安易に開かないでください。
- 送信元ドメインを確認する:e+が利用する正規ドメインは「eplus.co.jp」「eplus.jp」です。それ以外のドメインから届いたメールはすべて偽物と判断してください。
- 「.com.com」のような不自然なドメイン表記に注意:正規サービスのドメインがこのような表記になることはありません。
- 公式サイトを確認:必ず公式アプリ、またはブックマークしてある公式サイトからアクセスしてください。
- 公式注意喚起の参照:e+公式「イープラスを騙った不審なメール等にご注意ください」
本レポートの結論
「決済システム更新のご案内」という名目で届く今回のメールは、e+plusを名乗る巧妙な偽メールです。送信元は韓国のMicrosoft Azure、プレーンテキスト版にはゼロ幅文字を使った難読化工作が施されている一方、誘導先ドメインは「.com.com」という不自然な表記のうえSSL接続にも失敗するという、精巧さと粗さが同居した作りでした。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net














