セゾンカード「不正なログイン検知」は詐欺!GCP発・SPF Passで届く巧妙ななりすましメールに警戒を

【注意喚起】セゾンカード「不正なログイン検知」は詐欺!GCP発・SPF Passで届く巧妙ななりすましメールに警戒を
🔍 調査レポート:概要
クレジットカード大手の「セゾンカード(株式会社クレディセゾン)」を騙り、「第三者による不正なログインを検知した」と称して不安を煽り、偽のログインページ(Netアンサー)へと誘導するフィッシングメールが着信しています。
今回の攻撃は、Googleのクラウドサービスを悪用して送信されており、正規のメール認証を通過しているため、受信トレイに届きやすい非常に危険な状態です。また、着地先の詐欺サイトには日本国内のドメインが悪用されている特徴があります。
| 危険度ランク | ★★★★★(極めて危険) |
| 主な手口 | GCP悪用によるSPF通過、不正ログイン検知の偽装、国内ドメイン悪用 |
■ 拡散している偽メールの再現
件名:[spam] 【警告】不正な操作/操作プロセスの逸脱によるログイン検知 送信者:"Netアンサー" <agjdsg@agjdsg.brianlarsonlaw.com> [某受信者名] 様 Netアンサーにログインの記録がございます。 <対象カード> セゾンカードインターナショナル <異常な操作/操作手順の不整合> 新しいメールアドレス:Lg8YKhBr*L8yOdl@gmail.com <ログイン日時> 2026年7月14日(火) 18時26分 ■ 承認状況の確認・取り消し。以下のボタンをクリックしてログインし、画面の指示に従って手続きを完了してください。 [本人確認はこちらから進めてください]

※メールヘッダー詳細は個人情報保護のため非掲載
■ 送信ルート及び技術解析
今回のメールヘッダーを解析した結果、攻撃者が正規のインフラを巧妙に悪用している実態が判明しました。
- 送信元IP: 34.97.77.190
- 発信元インフラ: Google Cloud Platform (GCP)
- SPF判定: Pass (正規認証)
- 誘導先URL:
hxxps://woldof[.]daikohara[.]com/
発信元IP 34.97.77.190 は、Googleが運営するクラウドサービス **GCP(Google Cloud Platform)** のものです [1]。攻撃者は正規のドメイン認証(SPF)を通しており、受信側のメールサーバーが「正しい送信元からのメール」だと誤認するように仕組んでいます [2, 3]。
💡 ここで!用語解説:SPF Pass
「ドメインの所有者が、このサーバーから送ることを許可している」という状態です。攻撃者が自分で取得したドメインを使っているため、形式上は Pass になりますが、メールの内容がセゾンカードになりすましている事実に変わりはありません。
■ 詐欺師の「ガバガバな設定」へのツッコミ
今回のメール本文では、「新しいメールアドレス `Lg8YKhBr*L8yOdl@gmail.com` が登録された」として不安を煽っています。しかし、このアドレスをよく見てください。まるでキーボードの上を猫が歩いたようなランダムな文字列です。こんなアドレスを正規のユーザーが登録するはずもなく、詐欺師の「適当な設定」が露呈しています [4]。
■ フィッシングサイトの実態
誘導先の daikohara.com は、日本の個人や企業が所有していたドメインが乗っ取られたか、悪用されている可能性があります。表示されるのは、セゾンカードのログインシステム「SAISON ID」を模倣した精巧な偽サイトです [5]。

ロゴやフォントまで忠実に再現されており、一目では見分けがつきません
ここでメールアドレスやパスワードを入力してしまうと、カード情報のみならず、あなたの個人情報がまるごと詐欺師の手に渡ってしまいます [5]。
セゾンカードから「不正ログイン」や「異常な操作」といったメールが届いても、焦ってメール内のリンクをクリックしてはいけません。必ず公式アプリや、事前に登録したブックマークからNetアンサーにログインして状況を確認してください [6]。
Data Provided by Heartland-Lab Security Research Unit
Network data via ip-sc.net
Theme: Charcoal















