【解析】セゾンカード「6月お支払金額のお知らせ」は詐欺!SPF Softfailで暴かれた香港発・シンガポール経由の手口

| 緊急性レベル | ★★★☆☆ (3/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam] 6月お支払金額のお知らせ
送信者表示名:“セゾンカード”
送信元アドレス:no-reply-BgJg@takamitool.jp
送信元IP解析:2.59.152.93(香港・油尖旺)
SPF判定:Softfail(domain owner discourages use of this host=ドメイン所有者はこのホストからの送信を推奨していません)
送信ツール(X-Mailer):DoCoMo Native(携帯電話会社のメールクライアントを詐称)
受信日時:2026年07月02日(木)11時54分頃
ご覧の通り、このメールはセゾンカードを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールの画面です。セゾンNetアンサーの自動配信メールを忠実に模倣しています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
こちらのメールはお支払いに関する大切なご連絡です。 次回のお支払金額をお知らせせいたします。 ◆――――――――――――――――― いつもご利用いただきありがとうございます。 【対象カード】 saison-card 【お支払日】 2026年7月10日(金) 【口座へのご準備期日】 2026年7月09日(木) 【お支払金額】 129,980円 ※お支払金額の変更は2026年7月08日(水)20:00までにお願いします。 ◆――――――――――――――――― [ご利用明細の確認](リンク先:hxxps://saison.dffre[.]com/UlqCMwbM/) ――――――――――――――――― ■ご利用明細の確認、お支払金額の変更について ――――――――――――――――― <セゾンPortalアプリから> 【STEP1】セゾンPortalアプリにログイン 【STEP2】画面上部の「●月○日お支払金額」を選択 【STEP3】「ご利用明細」から確認 <Netアンサー(セゾンカードサイト)から> 【STEP1】各種ブラウザから「セゾンカード」で検索 【STEP2】セゾンカードサイト右上「ログイン」を選択 【STEP3】お支払金額下の「明細を見る」を選択 ※メールを受信されるタイミングによってはお支払金額の変更の受付期間を過ぎている場合がございます。 ※当月14日時点の予定額です。ご請求金額は変更になる場合がございます。 ※15日以降にお支払金額の変更や入金などをされた場合、確定金額は26日9:00以降に更新されます。 ※返金対応がある場合や、お引落口座の登録状況によってはお支払金額が0円と表示される場合がございます。 ※15日以降にNetアンサー登録をされた方は、別途お届けするご利用明細書にてご確認ください。 ※次回のお支払金額のない方にもお送りしております。 【メール番号:SA_2603_07】 ================================ ※このメールはNetアンサーから自動配信しております。 ※このメールはお支払いに関する大切なご連絡として、メール配信を希望されていない方にもお送りしております。 ※上記サービス・キャンペーンにつきましては、一部対象外カードもございます。 ※本メールにご返信いただきましても、ご質問・ご依頼などにお答えできませんのでご了承ください。 ================================ 送信元:株式会社クレディセゾン 〒170-6073 東京都豊島区東池袋3-1-1 https://www.saisoncard.co.jp/ ================================
メールヘッダーの送信ツール欄には「DoCoMo Native」と記載されていました。これは本来、docomoのスマートフォンに標準搭載されたメールアプリを示す表記です。パソコンから大量配信されたとみられるセゾンカードの偽メールが、なぜかdocomoケータイのメールアプリから送られたことになっている――テンプレートの使い回しによる凡ミスとみられます(笑)。
💡ここで!
SPF「Softfail」とその注釈「domain owner discourages use of this host」とは
SPFはメールの送信元サーバーが正規のものかを確認する仕組みです。「Softfail」は、ドメインの持ち主が「この送信元は自分のドメインの正規サーバーではないはずだが、誤判定の可能性も考慮して完全には拒否しない」という設定をしている状態を指します。あわせて表示される英語の注釈「domain owner discourages use of this host」は、直訳すると「ドメインの所有者は、このホスト(送信元サーバー)の利用を推奨していません」という意味です。つまり、ドメインの正規の管理者自身が「このサーバーからの送信は想定していません」と示しているということであり、正規のメールではない可能性が高いことを示す重要な手がかりです。
■ 送信ルート及び偽装判定
送信元の正体:送信者表示名は「セゾンカード」となっていますが、実際のメールアドレスのドメイン(@より後ろ)は「takamitool.jp」。セゾンカードが利用する正規ドメインは「saisoncard.co.jp」であり、このドメインは一切関係がありません。
送信元サーバーの解析:メールヘッダーの「Received-SPF」に記載された実際の送信元IPアドレスは2.59.152.93。このIPアドレスは香港に割り当てられたホスティングサーバーでした。一方、送信元ドメイン「takamitool.jp」自体が本来指定しているサーバーは日本国内の別のIPアドレスであり、今回のメールは、そのドメインが正式に認めていないサーバーから送信されたことになります。これがSPF判定「Softfail」の実例です。
※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://saison.dffre[.]com/UlqCMwbM/
リンクドメイン:saison.dffre.com(dffre.comのサブドメインとして「saison」を付け足し、セゾンカードの正規サブドメインであるかのように偽装)
サイトサーバーIP:195.86.120.135(Octopus Web Solution Inc/シンガポール)
【サイトの状態】:ウイルスバスター クラウドが「脅威の種類:フィッシング」として即座に警告・ブロック。それでも先に進むと、SAISON CARDの公式サイトを忠実に再現した偽の「Netアンサーログイン」画面が表示され、NetアンサーIDとパスワードの入力を求められます。
※誘導先URLはウイルスバスターにフィッシングサイトとして検知・ブロックされています。
※本物そっくりに作られた偽のログイン画面です。ここにNetアンサーID・パスワードを入力すると、そのまま攻撃者に渡ってしまいます。
■ 注意点と対処法
- URLをクリックしない:リンク先は情報を盗むための偽サイトです。
- NetアンサーID・パスワードを入力しない:セゾンカードがメールでこれらの入力を求めることはありません。
- 公式サイトを確認:必ず公式アプリまたはブックマークからアクセスしてください。セゾンカードが利用する正規ドメインは「saisoncard.co.jp」のみです。
- SPF判定を確認する習慣を:「Softfail」や「Fail」の表示があるメールは、ドメイン所有者が認めていない送信元から届いた可能性が高い証拠です。
- 公式注意喚起の参照:不審なメールを受け取った場合は、セゾンカード公式サイトのお客様サポートよりご確認ください。
本レポートの結論
「6月お支払金額のお知らせ」という名目で届く今回のメールは、セゾンNetアンサーの自動配信メールを忠実に模倣した偽メールでした。SPF判定「Softfail」とその注釈「domain owner discourages use of this host」が示す通り、ドメイン所有者が認めていないサーバー(香港)から送信されており、誘導先はシンガポールに設置された偽ログインサイトでした。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net














