【実録】e+plus「決済システム更新」また新手口 ― 電話番号を騙る誘導とインド発Azure・独国発中継のリレー構造

HL-META: date=2026-07-06 | brand=e+plus(イープラス) | sender_geo=インド(Microsoft Azure)/中継元ドイツ | site_geo=アメリカ合衆国 | spf=pass(詐称ドメイン自体の設定のため) | dkim=pass(詐称ドメイン自体の署名) | cloaking=yes(PC/スマホで表示を分岐)

【実録】e+plus「決済システム更新」また新手口 ― 電話番号を騙る誘導とインド発Azure・独国発中継のリレー構造

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

チケット販売大手「e+plus(イープラス)」を騙る「決済システム更新」フィッシングメールです。当ラボでは6月〜7月にかけてe+plusを騙るメールを複数回取り上げてきましたが、今回は送信ドメイン・電話番号を使った誘導という点で新しいパターンが確認できました。

※重要:e+plusがメール内のリンクや電話でクレジットカード情報の再登録を求めることはありません。

緊急性レベル ★★★★☆ (4/5)
偽装工作精度 ★★★★☆ (4/5)

■ メールヘッダー解析(送信者情報)

件名:[spam]【自動送信】決済システム更新の お知らせ

送信者表示名:e+plus決済センター

送信元アドレス:mail038@mail38.hutaifutang.com

本文中の電話番号:0570-06-9911(正規のe+plusとは無関係な番号と考えられます)

受信日時:2026年7月6日(月)12:41

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、これはe+plusを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※実際に届いたメールの画面です。0570から始まる電話番号が繰り返し記載されています。

■ 送信ルート及び偽装判定

【偽装判定】:
正規のe+plusからのメールは「eplus.co.jp」「eplus.jp」等の公式ドメインから送信されます。本メールの送信ドメイン「hutaifutang.com」はe+plusとは一切関係のない詐称ドメインです。このドメイン自体にはSPF/DKIMが正しく設定されているため認証結果は「Pass」となりますが、詐称ドメイン自身が自分に都合よく認証を通しているだけです。

実際の送信元IPアドレス:20.219.218.69(送信ドメイン「hutaifutang.com」自身のサーバー。Microsoft Azure)
ロケーション:インド
詳細:ip-sc.netで確認する

さらに手前の中継元:194.173.110.11
接続時に名乗ったホスト名は日本の教育機関(.ed.jp)を思わせる文字列でしたが、実際のIPロケーションはドイツでした。信頼されやすい組織名を騙る、典型的なホスト名詐称です。
詳細:ip-sc.netで確認する

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://gypxg[.]com/jDrhSJcA/(タイムスタンプ・署名付きパラメータあり、一部伏字)

サイトサーバーの所在地:アメリカ合衆国
詳細:ip-sc.netで確認する

【アクセス端末による表示の違い(クローキング)】:
パソコンからアクセスすると「Forbidden」という403エラー表示で弾かれます。一方、スマートフォンからアクセスすると、e+plusのロゴやブランドカラーまで再現した精巧な偽ログイン画面が表示されます。リンクにはアクセスごとに変化するタイムスタンプと署名が付与されており、パソコンからの調査や自動解析を意図的に排除しようとする仕組みがうかがえます。

※スマートフォンでリンク先へアクセスすると、まずこの確認画面が表示されます。

 

※確認画面の後に表示される、精巧な偽ログイン画面です。

※本文には「本メールは自動送信されています」「お客様の情報保護のため、定期的な確認をお願いしております」という念押しの一文が何度も繰り返されていますが、肝心の送信ドメインがe+plusと何の関係もない点には触れられていません(笑)。

■ 注意点と対処法

  1. メール記載の電話番号やリンクからログイン情報を入力しないでください。e+plusの正規サポート窓口は公式サイトでご確認ください。
  2. ログイン・支払い手続きは必ず公式サイト・公式アプリから:メール中のリンクではなく、ブックマークや公式アプリを使ってください。
  3. もし情報を入力してしまった場合:速やかに会員メニューからパスワードを変更し、クレジットカード会社にもご相談ください。
  4. 公式注意喚起の参照:e+(イープラス)公式「イープラスを騙った不審なメール等にご注意ください」

本レポートの結論

e+plusを騙る「決済システム更新」フィッシングメールは、今回も新しい送信ドメインと電話番号を使った誘導が確認されました。送信インフラはインドのAzureとドイツのIPを経由し、誘導先はパソコンとスマートフォンで異なる画面を出し分ける手の込んだ作りです。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。

※本記事に記載のIPアドレス・ロケーション情報・サイトの状態は調査時点のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る