【実録】e+（イープラス）「決済情報更新」は詐欺！正規サービスSendGridを踏み台にした送信と偽CAPTCHAの手口を解析

2026年6月25日

【実録】e+（イープラス）「決済情報更新」は詐欺！正規サービスSendGridを踏み台にした送信と偽CAPTCHAの手口を解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

今回ご紹介するのは「e+（イープラス）」を騙るメールです。e+を騙る詐欺メールはこれまでも何度もご紹介してきましたが、今回は送信の仕組みに新しい特徴がありました。攻撃者は自前のサーバーではなく、企業が業務用メール配信に使う正規サービス「SendGrid」を踏み台にしてメールを送信していました。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★☆ (4/5)
偽装工作精度	★★★★★ (5/5)

■ メールヘッダー解析（送信者情報）

件名：[spam]【重要通知】ePlus決済情報更新のお願いNo.434250

送信者表示名：“e+（イープラス）”

送信元アドレス：info@vmoyos.com

送信元IP解析：149.72.120.130（アメリカ合衆国コロラド州デンバー／SendGrid, Inc.）

SPF判定：Pass（送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、e+の正規メールであることの証明にはなりません）

受信日時：2026年06月25日（木）12時38分頃

ご覧の通り、このメールはe+（イープラス）を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※実際に届いたメールの画面です。ピンク色のヘッダーと丸みのあるボタンで、本物のe+のデザインに似せています。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

e+（イープラス）　お支払い情報確認のお願い

○○○○　様

いつもe+（イープラス）をご利用いただき、誠にありがとうございます。

お客様により安全かつ快適にサービスをご利用いただくため、決済システムのセキュリティ向上に伴う確認作業を実施しております。

ご登録中のお支払い情報に変更がないかご確認いただき、必要に応じて情報の更新をお願いいたします。

■ ご確認内容
・クレジットカード情報
・ご登録者情報
・お支払い設定内容

■ お手続き方法
1. 下記の専用ページへアクセス
2. ご登録情報をご確認
3. 必要事項を更新し保存

【 登録情報を確認する 】

本手続きは、お客様のアカウント保護およびサービス品質向上を目的として実施しております。ご登録情報に変更がない場合でも、確認のみでお手続きは完了いたします。

e+（イープラス）カスタマーサポート
受付時間：10:00〜18:00（年末年始を除く）
お問い合わせは公式サイトをご利用ください。

※本メールは送信専用アドレスより配信しております。
※本メールに心当たりがない場合は破棄してください。
※個人情報保護のため、本メールへの返信には対応しておりません。

© e+ inc. All Rights Reserved.

「ご登録情報に変更がない場合でも、確認のみでお手続きは完了いたします」という一文は、心理的なハードルを下げて、つい確認のためだけにアクセスさせようとする巧妙な誘導です。「変更がなくても確認だけ」という呼びかけ自体が、クリックさせるための心理的な仕掛けです。正規のe+が、こうした名目で個別にカード情報の確認を求めることはありません。

■ 送信ルート及び偽装判定

送信元の正体：送信元として記載されているメールアドレスのドメイン（@より後ろ）は「vmoyos.com」。e+が利用する正規ドメインは「eplus.co.jp」「eplus.jp」であり、このドメインは一切関係がありません。

送信元サーバーの解析：メールヘッダーを解析した結果、実際の送信元IPアドレスは149.72.120.130。このIPアドレスはアメリカ合衆国コロラド州デンバーに割り当てられた、「SendGrid」という正規のメール配信サービス事業者のサーバーでした。SendGridは多くの企業が業務用のメール配信（注文確認やパスワードリセット等）に利用している信頼性の高いサービスです。攻撃者はこうした正規サービスにアカウントを作成し、踏み台として悪用することで、迷惑メールフィルターの検知を回避しようとしているとみられます。

※メールヘッダーの詳細（Receivedヘッダー等の生ログ）は受信者の個人情報を含むため、本文中には掲載しておりません。

送信元IPアドレスの詳細情報（ip-sc.net）

■ フィッシングサイト詳細解析

誘導先URL：hxxps://ygexkj［.］com/jwjrFVvY/（直リンク防止のため一部表記を変更しています）

偽の人間確認画面：このリンクにアクセスすると、まず「ロボットではないことを確認してください」という、本物のreCAPTCHAに似せた確認画面が表示されます。これは正規のセキュリティ認証ではなく、自動解析ツールによる調査を遅らせるための偽の仕掛けです。

※本物のreCAPTCHAに似せた、自作のセキュリティチェック画面です。

【サイトの状態】：ウイルスバスターなど大手セキュリティソフトでは、このサイトはすでにフィッシングサイトとして検知・ブロックされています。

誘導先サーバーのIPアドレスは101.32.97.201で、日本東京都千代田区のTencent Cloud（Aceville Pte.ltd）が管理するデータセンターに割り当てられていました。これは当サイトが本日別途報告したJCBカードを騙る案件の誘導先と同じ事業者（Aceville Pte.ltd）です。

誘導先サーバーIPアドレスの詳細情報（ip-sc.net）

※本物のe+サイトのデザインを忠実に再現した偽ログイン画面です。ここにIDやパスワードを入力すると、そのまま攻撃者に渡ってしまいます。

最終的に表示される画面は、本物のe+サイトのデザイン（配色・レイアウト・ロゴ）を忠実に再現したものでした。背景に本物のe+サイトのトップページをそのまま使い、その上にログインのポップアップだけを重ねるという、非常に精巧な作りです。

※解析データに基づき、攻撃者は正規のメール配信サービスとTencent Cloudのデータセンターを組み合わせて運用していることが確認されています。ロケーション情報は調査時点（2026年6月）のものであり、日々変化する可能性があります。

■ 注意点と対処法

URLをクリックしない：リンク先は情報を盗むための精巧な偽サイトです。本物のデザインを忠実に再現しているため、見た目だけでは判断できません。
送信元ドメインを確認する：e+が利用する正規ドメインは「eplus.co.jp」「eplus.jp」です。それ以外のドメインから届いたメールはすべて偽物と判断してください。
「確認だけでいい」という誘いに注意：「変更がなくても確認だけ」という心理的な誘導は、クリックさせるための典型的な手口です。
公式サイトを確認：必ず公式アプリ、またはブックマークしてある公式サイトからアクセスしてください。
公式注意喚起の参照：e+公式「イープラスを騙った不審なメール等にご注意ください」

LINEで共有する

本レポートの結論

「決済情報更新」という名目で届く今回のメールは、e+（イープラス）を名乗る巧妙な偽メールです。攻撃者は自前のサーバーではなく、企業が業務用に使う正規のメール配信サービス「SendGrid」を踏み台にしており、誘導先でも偽のロボット確認画面を経て、本物そっくりの偽ログイン画面に着地する、手の込んだ作りでした。正規サービスが悪用されると、見分けることがますます難しくなります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net