はじめに：
私たちのメールボックスに、日々ゴミのように送りつけられるフィッシング詐欺メール。多くの人は「またか」と無視し、あるいは「こんな雑な手口に誰が騙されるのか」と嘲笑する。しかし、それは牙を隠した巨大な犯罪システムの最外殻を掠ったに過ぎない。

当サイト（Heartland-Lab）は、5月16日から本日21日までのわずか5日間で、同一のセゾンカード偽装フィッシングメールを【計276通】という異常な高密度（バースト送信）で観測した。本稿では、今年3月29日に当サイトが記録した同型テンプレート（3月31日締め）の解析ログをベンチマークとし、なぜこの「終わらないイタチごっこ」が成立しているのか、その裏に潜むインフラ調達、分散アルゴリズム、そして歪んだ損益分岐点を徹底的に解剖する。

第1章：【実録エビデンス】5日間・276通の猛爆タイムラインと波形解析

まずは、今回のバースト攻撃の凄まじさを物語る、実際の受信サーバーログ（スクリーンショット）を公開する。個人の感情的な嫌がらせではなく、統制されたボットネットワークがフル稼働している客観的証拠である。

【フェーズ3】5月21日（本日） 15:21、15:15、15:14…と1分間に複数通が同時に着信。現在進行形で激化。

【フェーズ2】5月19日（中盤） 深夜・早朝・日中を問わず、完全に自動化されたcronジョブによる定時爆撃。

【フェーズ1】5月16日（初動） この瞬間から、特定のトリガー（作戦開始命令）によって一斉にパケットが放たれた。

これら276通のメールは、すべて [spam] 【要ログイン】セゾンカード 会員情報のご確認のお願い（5月31日まで）No.XXXXXX という件名で統一されている。
ここで注目すべきは、当サイトで3月29日に報告した「3月31日まで」という年度末を狙った攻撃と、本文のデザイン、罫線、フォント、署名の欠如にいたるまで「1文字のブレもなく完全同一」という点だ。

サイバー犯罪グループにとって、一度「騙しの成約率」が最適化されたHTMLテンプレートは、立派な「知的資産」である。彼らは季節やタイミングに応じ、締め切り日（3月31日→5月31日）という変数のパラメーターを1箇所書き換えるだけで、即座に次なる数百万通規模のキャンペーンをデプロイ（展開）できるルーティンを確立している。

第2章：件名末尾「No.XXXXXX」の統計解析と分散アルゴリズムの正体

なぜ彼らは、同じ件名のメールを何百通も同じアドレスに送りつけるのか。その答えは、件名末尾に付与された「可変シリアル番号（No.23672、No.040541、No.254914478など）」のデータ解析によって浮き彫りになる。

当サイトに蓄積された276通のシリアル文字列をすべて抽出・突合した結果、以下の驚くべき事実が判明した。

第3章：ドメイン・サーバー費用を「ゼロ」にする、インフラ調達の経済犯罪スキーム

「フィッシングサイト（URL）をこれだけ使い捨てていたら、ドメイン取得代やサーバーの維持費だけで大赤字になるはず」という疑問は、極めて真っ当な経済感覚である。しかし、サイバー犯罪エコシステムにおいては、このインフラコストが**「他人の懐」**、あるいは**「システムの脆弱性」**によって完全に相殺（ゼロリセット）されている。

① 不正決済による「C2Cドメインエコノミー」

彼らは .xyz .top .shop といった、レジストラ（ドメイン事業者）が新規獲得用に数十円〜数百円で投げ売りしている新GTLDを狙う。さらに悪質なのは、その少額決済に、過去のフィッシング詐欺や闇ルートで手に入れた「他人のクレジットカード情報（マネーミュールや盗難カード）」を充てている点だ。ドメインは100%「被害者の金」で調達されているため、攻撃者側の自己負担は文字通りゼロである。

② 正規クラウドの「無賃乗車」と「Webサイトジャック」

3月29日の定点観測ログにおいて、送信元IPアドレス（35.200.125.235）が Google Cloud (bc.googleusercontent.com) のインフラ内であったことを突き止めた。彼らは大手クラウド（AWS、GCP、Azure等）の「初月無料トライアル」や「開発者用デベロッパークレジット」を使い捨てアカウントで自動量産し、最前線の送信ボットとして悪用している。

また、サーバー費用を完全に踏み倒すもう一つの手法が「踏み台（ハッキング）」だ。世界中のセキュリティが甘い一般企業のWordPressサイトを脆弱性（プラグインの未アップデート等）から攻撃して乗っ取り、その正規サーバーの中に勝手に /saison-card/login/ といったディレクトリを作成して偽サイトのプログラムをホストする。これならば、サーバー費用が永続的にタダであるばかりか、元が正規の企業サイトであるため、セキュリティソフトが「安全なサイト」と誤認するという最悪の副次効果まで得られる。

第4章：URLテイクダウンを無力化する「防弾ホスティング」と「多段中継（トカゲの尻尾切り）」

セキュリティベンダーやカード会社がフィッシングサイトを発見すると、JPCERTやホスティング業者に通報し、サイトを閉鎖（テイクダウン）させる。しかし、今回の276通が示す通り、URLが潰されても数分後には新しいURLを引っ提げて爆撃が再開される。なぜこれほど復旧が早いのか。

それは、彼らのインフラが**「フロントエンド（使い捨ての壁）」**と**「バックエンド（犯罪の本尊）」**に完全に分離された、多段プロキシ構造を組んでいるからである。

この構造があるため、実行犯はPaaS（Phishing-as-a-Service：フィッシング詐欺サブスクリプション）のC2管理画面から、新しい乗っ取りサーバーのIPを1クリックで指定するだけで、わずか数分でフロントの偽サイトを自動再構築（ミラーリング）できる。この高度な分業制（闇のサプライチェーン）こそが、イタチごっこを永続させている元凶である。

第5章：0.01%の「偶然」を狙う地引き網：なぜこの猛爆は暴利を生むのか

276通ものスパムを見せつけられれば、99.99%の人間は「怪しい」「しつこい」と警戒する。しかし、犯罪グループにとって勝率は「0.01%」で大勝利となる。

インフラ代が前述の通り「タダ」であり、ボットによる自動送信コストも「ゼロ」である以上、分母（送信数）を数百万通、数千万通へと無限に引き上げることができる。その結果、以下のような「ターゲットの個人的なタイムラインとの奇跡的な合致」が、確率論的に必ず一定数発生する。

• 「たまたま前日に、セゾンカードで高額な買い物をしたばかりだった」
• 「最近、口座の残高不足で引き落としエラーの通知が来るのではないかと不安だった」
• 「ちょうどカードの有効期限が今月で、更新手続きのメールを待っていた」

人間は、自分がまさにタイムリーに直面している課題（コンテキスト）と合致したメッセージを受け取った瞬間、脳のセキュリティ（警戒心）に致命的な認知バイアスがかかり、どれだけ訓練された人でも一瞬の冷静さを欠いてURLをタップしてしまう。
たった1人の被害者から、クレジットカードのキャッシングやショッピング枠の上限（数十万円〜数百万円）を毟り取れば、その時点で**「今回観測された276通のメール、およびその裏で使い捨てられた数百のドメインコスト」は、一瞬にしてお釣りが来るレベルで黒字化（ペイアウト）**する。この極端に歪んだ損益分岐点がある限り、彼らの地引き網が止まることはない。