【実録】クレディセゾン「入金完了通知」は偽物——大阪発Google Cloudの送信元とシンガポールDigitalOceanの誘導先を使い分ける手口

HL-META: date=2026-07-15 | brand=クレディセゾン(Netアンサー/SAISON ID) | category=本人確認系 | theme=Burgundy | permalink=saison-deposit-notice-gcp-digitalocean-2026

【実録】クレディセゾン「入金完了通知」は偽物——大阪発Google Cloudの送信元とシンガポールの誘導先を使い分ける手口

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「口座へ入金がございました」という、一見喜ばしい内容でクレディセゾンを騙るフィッシングメールが届きました。入金という前向きな話題で警戒心を緩め、明細確認を装ってNetアンサー(SAISON ID)のログイン情報を盗もうとする手口です。送信元と誘導先で別々のクラウド事業者・国を使い分けている点も特徴的でした。

緊急性レベル ★★★☆☆ (3/5)
偽装工作精度 ★★★★☆ (4/5)

※重要:「入金」という耳あたりの良い言葉で油断させ、「カード明細確認についてはこちら」のリンクから偽のSAISON IDログイン画面へ誘導します。ログイン情報を入力すると、クレジットカードアカウントそのものが乗っ取られる危険があります。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

■ 不審メールの基本情報

件名:[spam]【クレディセゾン】入金完了通知およびNetアンサーご確認のお願い

送信者表示名:“Netアンサー” <xssddj@xssddj.brianlarsonlaw.com>(クレディセゾンとは無関係のドメイン)

※メールヘッダー詳細は個人情報保護のため非掲載

■ メール本文の再現

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。


セゾンカードをご利用のお客様へ

いつもセゾンカードをご利用いただき、誠にありがとうございます。
お客さまの口座へ入金がございましたので、お知らせいたします。

入金日時:(日時プレースホルダー、実際には日付フォーマットのタグが未置換のまま露出)
入金金額:3,862円
取扱番号:824745419336

入金取消がされた場合にも送付されますので、下記よりNetアンサーへログインして入金明細照会をご確認ください。

カード明細確認についてはこちら

誠に勝手ながら本メールは発信専用アドレスより配信しております。
本メールにご返信いただきましてもお答えすることができませんのでご了承ください。

━━━━━━━━━━━━━━━━━━━━
■配信元■
〒170-6073
株式会社クレディセゾン(英文社名 Credit Saison Co.,Ltd.)
東京都豊島区東池袋3-1-1 サンシャイン60・52F
━━━━━━━━━━━━━━━━━━━━

Copyright(C) Credit Saison Japan Co., Ltd. All Rights Reserved.
無断転載および再配布を禁じます。

実際に届いたメールの画面

「入金日時」の欄には本来日付が入るはずの場所に{{.reiwa_date}}というテンプレート変数がそのまま露出していました。大量生成システムが日付の差し込みに失敗し、変数名がむき出しのまま送信されてしまったようです。本物の企業システムであればまず起こり得ないミスです。

■ 送信ルート及び偽装判定

■ 送信元の解析

Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass client-ip=34.97.82.95; helo=xssddj.brianlarsonlaw.com

送信元IPアドレス:34.97.82.95(Google LLC・Google Cloud Platform、日本国内リージョン)

HELO名:xssddj.brianlarsonlaw.com(クレディセゾンとは無関係の第三者ドメイン)

【偽装判定】:SPFは「Pass」ですが、これは攻撃者が自分で用意した「brianlarsonlaw.com」というドメインの認証を通っているだけで、クレディセゾンの正規ドメイン(saisoncard.co.jp等)とは一切関係ありません。送信元はGoogle Cloudの日本国内リージョンが使われており、海外発の攻撃と決めつけられない点も注意が必要です。

💡 ここで!用語解説

SPF(エスピーエフ):「このメールは正規の送信元から届いたか」を判定する仕組みの一つ。今回のように、攻撃者が自分で用意した無関係なドメインの認証さえ通っていれば「Pass」と表示されてしまうため、SPF Passだけを見て安全と判断するのは危険です。

■ フィッシングサイト詳細解析

■ 誘導先サイト

誘導先ドメイン(伏せ字):hxxps://woldof[.]daikohara.com/

サーバーIP:206.189.85.100

ホスティング:DigitalOcean LLC、シンガポール

送信元はGoogle Cloudの日本国内リージョン、誘導先はDigitalOceanのシンガポールと、送信インフラと着地インフラで別々のクラウド事業者・別々の国を使い分けています。片方が検知・停止されても、もう片方の攻撃基盤は生き残る、という耐障害性を意識した構成と見られます。

最終的に表示される偽のSAISON IDログイン画面。デザインは本物とほぼ同一

画面デザインは実物のSAISON IDログイン画面を精巧に模倣しており、見た目だけで真偽を判断するのは非常に困難です。ここでメールアドレスとパスワードを入力してしまうと、クレディセゾンのアカウント全体が乗っ取られる危険があります。

■ 過去記事との関連

クレディセゾン・Netアンサーを騙るフィッシングメールは、過去にも「ポイント交換レート優遇」という件名で確認しています(過去記事:セゾンカードを騙る「ポイント交換レート優遇」フィッシングメール発覚)。「ポイント」「入金」など毎回異なる切り口で受信者の関心を引きつつ、最終的にNetアンサー/SAISON IDのログイン情報を狙う点は共通しています。

■ 注意点と対処法

■ 注意点と対処法

  1. URLをクリックしない:「入金があった」という内容でも、メール内のリンクからログインしないでください。
  2. 公式アプリ・公式サイトから確認:入金・明細を確認したい場合は、必ず「セゾンPortal」アプリまたは公式サイトのブックマークからアクセスしてください。
  3. 誤って情報を入力してしまった場合:直ちにNetアンサーID・パスワードおよびSAISON IDのパスワードを変更し、クレディセゾンのお客様デスクへご連絡ください。
  4. 公式の注意喚起も参照:セゾンカードを騙る不審なメール・SMSにご注意ください(クレディセゾン公式)

本レポートの結論

「入金があった」という前向きな話題で警戒心を緩めさせ、明細確認を口実にログイン情報を盗もうとする手口でした。送信元と誘導先で別々のクラウド事業者・国を使い分ける、耐障害性を意識した構成も見られます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。

この記事をLINEで送る

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る