【実録】e+plus「決済システム更新」また新手口 ― 電話番号を騙る誘導とインド発Azure・独国発中継のリレー構造

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【自動送信】決済システム更新の お知らせ
送信者表示名:e+plus決済センター
送信元アドレス:mail038@mail38.hutaifutang.com
本文中の電話番号:0570-06-9911(正規のe+plusとは無関係な番号と考えられます)
受信日時:2026年7月6日(月)12:41
※メールヘッダー詳細は個人情報保護のため非掲載
ご覧の通り、これはe+plusを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールの画面です。0570から始まる電話番号が繰り返し記載されています。
■ 送信ルート及び偽装判定
【偽装判定】:
正規のe+plusからのメールは「eplus.co.jp」「eplus.jp」等の公式ドメインから送信されます。本メールの送信ドメイン「hutaifutang.com」はe+plusとは一切関係のない詐称ドメインです。このドメイン自体にはSPF/DKIMが正しく設定されているため認証結果は「Pass」となりますが、詐称ドメイン自身が自分に都合よく認証を通しているだけです。
実際の送信元IPアドレス:20.219.218.69(送信ドメイン「hutaifutang.com」自身のサーバー。Microsoft Azure)
ロケーション:インド
詳細:ip-sc.netで確認する
さらに手前の中継元:194.173.110.11
接続時に名乗ったホスト名は日本の教育機関(.ed.jp)を思わせる文字列でしたが、実際のIPロケーションはドイツでした。信頼されやすい組織名を騙る、典型的なホスト名詐称です。
詳細:ip-sc.netで確認する
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://gypxg[.]com/jDrhSJcA/(タイムスタンプ・署名付きパラメータあり、一部伏字)
サイトサーバーの所在地:アメリカ合衆国
詳細:ip-sc.netで確認する
【アクセス端末による表示の違い(クローキング)】:
パソコンからアクセスすると「Forbidden」という403エラー表示で弾かれます。一方、スマートフォンからアクセスすると、e+plusのロゴやブランドカラーまで再現した精巧な偽ログイン画面が表示されます。リンクにはアクセスごとに変化するタイムスタンプと署名が付与されており、パソコンからの調査や自動解析を意図的に排除しようとする仕組みがうかがえます。
※スマートフォンでリンク先へアクセスすると、まずこの確認画面が表示されます。
※確認画面の後に表示される、精巧な偽ログイン画面です。
※本文には「本メールは自動送信されています」「お客様の情報保護のため、定期的な確認をお願いしております」という念押しの一文が何度も繰り返されていますが、肝心の送信ドメインがe+plusと何の関係もない点には触れられていません(笑)。
■ 注意点と対処法
- メール記載の電話番号やリンクからログイン情報を入力しないでください。e+plusの正規サポート窓口は公式サイトでご確認ください。
- ログイン・支払い手続きは必ず公式サイト・公式アプリから:メール中のリンクではなく、ブックマークや公式アプリを使ってください。
- もし情報を入力してしまった場合:速やかに会員メニューからパスワードを変更し、クレジットカード会社にもご相談ください。
- 公式注意喚起の参照:e+(イープラス)公式「イープラスを騙った不審なメール等にご注意ください」
本レポートの結論
e+plusを騙る「決済システム更新」フィッシングメールは、今回も新しい送信ドメインと電話番号を使った誘導が確認されました。送信インフラはインドのAzureとドイツのIPを経由し、誘導先はパソコンとスマートフォンで異なる画面を出し分ける手の込んだ作りです。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
※本記事に記載のIPアドレス・ロケーション情報・サイトの状態は調査時点のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net















