【実録】セゾンカードを騙る3つの切り口の詐欺メール、6分間隔で連続着信——スマホは同一サイトに集約する巧妙な振り分け構造を解析

HL-META: date=2026-07-08 | brand=セゾンカード/クレディセゾン(なりすまし) | sender_geo=アメリカ(Google Cloud Platform) | site_geo=Cloudflareプロキシのため不明 | spf=pass(自己所有ドメインのため) | dkim=pass(自己所有ドメインのため) | cloaking=あり(PC/スマホで誘導先分岐)

【実録】セゾンカードを騙る3つの切り口の詐欺メール、6分間隔で連続着信——スマホは同一サイトに集約する巧妙な振り分け構造を解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「STOREE SAISON」「セゾンポイントモール」を名乗る詐欺メール(フィッシングメール:個人情報を騙し取ることを目的とした偽メール)が、わずか6分の間に3通、それぞれ異なる切り口で届きました。「残高のお知らせ」「最終通知」「ご利用実績に基づく特別ポイントのご案内」と文面はバラバラですが、送信元インフラを調べたところ、3通とも同じクラウド基盤の近いIPアドレス帯から送られていることが判明。さらに詳しく解析すると、パソコンとスマートフォンで誘導先を意図的に分岐させ、スマホ経由の場合は3通とも同じ回収用サイトに集約するという、かなり作り込まれた仕組みが見えてきました。

※重要:HTMLメールではなくテキストメールとして配信されていますが、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。本文中のリンクは絶対にクリックしないでください。

緊急性レベル ★★★☆☆ (3/5) ※3通のうち2通は「期限切れで消滅」を煽る文面
偽装工作精度 ★★★★☆ (4/5) ※PC/スマホの誘導先分岐やCloudflare悪用など、インフラ面はかなり巧妙

■ メールヘッダー解析(送信者情報・3通比較)

件名 送信ドメイン 送信元IP 受信時刻
【残高のお知らせ】長期未確認ポイントの口座反映手続き members.gzkuaiyixiu.com 35.212.151.240 09:42
【最終通知】システム保持ポイントデータの保護措置について services.wap-lite-haixing.com 35.212.197.139 09:39
【ご利用感謝】ご利用実績に基づく特別ポイントのご案内 invoice.cms-ng28games.com 35.212.148.114 09:36

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、これらのメールはすべて公式セゾンカードを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

① 【残高のお知らせ】長期未確認ポイントの口座反映手続き

▲ 実際に届いた詐欺メールの画面です。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化のうえ掲載しています。


CREDIT SAISONポイント残高管理
(リンクは無効化済み)

〇〇様

平素よりセゾンカードをご利用いただき、誠にありがとうございます。

セゾンカードでは、会員様の大切なポイント資産を適切に管理いただくため、定期的なポイント残高のご確認をお勧めしております。このたびの定期確認において、〇〇様のアカウントに長期間にわたり未確認となっているポイントデータの存在が示唆されました。

ポイント残高確認のすすめ

未反映データの早期発見は、ポイント資産の保護に直結します。放置された未受取データは、システム上の保管期限経過により自動消去される可能性がございます。定期的なご確認が、資産保全の最も確実な方法です。

以下の観点から、今一度のご確認をお願いいたします。

・未受取ポイントの有無と残高のご確認
・ポイント交換に必要な残高の把握
・失効リスクのある保留中データの特定

お手続きはNetアンサーより簡単に行えます。ご不明な点がございましたら、Netアンサー内のお問い合わせ窓口までご連絡ください。

※本メールはシステムより自動送信しております。
※ポイント残高や交換に関する詳細はNetアンサーでご確認いただけます。
※永久不滅ポイントに有効期限はございませんが、未反映データには保管期限がございます。

株式会社クレディセゾン ポイント残高管理デスク
© CREDIT SAISON CO., LTD. All Rights Reserved.

② 【最終通知】システム保持ポイントデータの保護措置について

▲ 実際に届いた詐欺メールの画面です。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化のうえ掲載しています。


CREDIT SAISON
(リンクは無効化済み)

〇〇様

拝啓 時下ますますご清栄のこととお慶び申し上げます。
平素よりセゾンカードをご利用いただき、誠にありがとうございます。

このたび、弊社ポイント管理システムの定期メンテナンスに伴うデータ診断を実施いたしました。その結果、〇〇様に関連するシステム保持中の未反映ポイントデータが検出され、所定の保管期間に基づく保護措置の適用対象となっていることが判明いたしました。

システム保持データの保護について

本データは、お客様の正当なカードご利用に伴い発生したポイントです。システム上の保管期間内にお受取手続きを完了いただくことで、永久不滅ポイントとして口座に反映され、以後無期限でご利用いただけます。一方、保管期間経過後のデータ復元は、システムの構造上不可能となります。

つきましては、お客様の大切なポイント資産を保護するため、至急ご確認のうえ、必要な手続きをお済ませいただけますようお願い申し上げます。

本件に関するご不明な点がございましたら、Netアンサー内のお問い合わせ窓口までご連絡を賜りますようお願いいたします。

敬具

※本メールはシステムより自動送信しております。
※お心当たりのない場合は、お手数ですが本メールを破棄いただけますようお願いいたします。
※システム保持データの詳細は、Netアンサーにてご確認いただけます。

株式会社クレディセゾン システム管理デスク
© CREDIT SAISON CO., LTD. All Rights Reserved.

③ 【ご利用感謝】ご利用実績に基づく特別ポイントのご案内

▲ 実際に届いた詐欺メールの画面です。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化のうえ掲載しています。


CREDIT SAISON
SPECIAL APPRECIATION PROGRAM
(リンクは無効化済み)

〇〇様

平素はセゾンカードをご愛顧いただき、厚く御礼申し上げます。

このたびセゾンカードでは、直近のカードご利用実績が基準を満たされた会員様を対象に、特別感謝ポイントを進呈する運びとなりました。厳正なる審査の結果、〇〇様が本プログラムの対象会員として選出されております。

EXCLUSIVE REWARD

特別永久不滅ポイント進呈

進呈額はご利用実績に基づきリンク先にて表示されます

本ポイントは、通常のご利用ポイントとは別枠で付与される特別進呈分です。お受け取りには専用ページでの確定手続きが必要となります。

なお、本プログラムにはお受取期限が設定されております。期限を過ぎますと、誠に恐れ入りますが進呈データは無効となりますので、お早めのお手続きをお願いいたします。

この機会にぜひ、日頃のご愛顧への感謝として進呈される特別ポイントをお受け取りください。

※本メールはシステムより自動送信しております。
※本プログラムは対象として選定された会員様限定のご案内です。
※特別ポイントの進呈額はご利用実績により変動します。

株式会社クレディセゾン キャンペーン事務局
© CREDIT SAISON CO., LTD. All Rights Reserved.

3通とも装飾のないプレーンテキストメールで、「CREDIT SAISONの見出し→リンク→『〇〇様』→本文→自動送信の注記→クレディセゾンの署名」という構造がそっくりそのまま使い回されています。文面のテーマだけ着せ替えて量産している様子が透けて見え、攻撃者側の「手間を掛けたくない」という本音が伝わってきます。

■ 送信ルート及び偽装判定

Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass (sender SPF authorized) client-ip=35.212.xxx.xxx; helo=(各メールごとに異なるランダムドメイン)

【偽装判定】:
正規のセゾンカードからのメールは「saisoncard.co.jp」等の公式ドメインから送信されます。今回の3通はいずれも公式とは無関係な、意味を持たないランダム文字列のドメイン(gzkuaiyixiu.com/wap-lite-haixing.com/cms-ng28games.com)から送信されていました。3通の送信元IPはいずれも「35.212.x.x」という同一のクラウド基盤(Google Cloud Platform)の近接した範囲に収まっており、同一の攻撃者・同一の送信基盤から、切り口を変えつつ立て続けに送信されたことがほぼ確実です。

発信元インフラ:
Google Cloud Platform(アメリカ)
※クラウド事業者のIPアドレスのため、実際の攻撃者の所在地とは限りません。

■ フィッシングサイト詳細解析

今回の最大の特徴は、パソコンとスマートフォンでアクセス先を意図的に分岐させている点です。3通それぞれのメール本文リンクは、パソコンでは別々のドメインに、スマートフォンでは3通とも同一のドメインに誘導されるよう設計されていました。

切り口 PC誘導先(伏せ字) スマホ誘導先(伏せ字)
残高のお知らせ hxxps://login.o2oobs-jp.top/... hxxps://www.s1q59z132q.top/...
最終通知 hxxps://www.weihankj.top/... hxxps://www.s1q59z132q.top/...
特別ポイント hxxps://login.s1q59z130q.top/... hxxps://www.s1q59z132q.top/...

よく見ると、「特別ポイント」のPC誘導先ドメイン「s1q59z130q.top」と、3通共通のスマホ集約先「s1q59z132q.top」は、数字部分が2つ違うだけのほぼ同一の命名パターンです。これは同じ命名ルールでドメインを機械的に大量生成していることを示す、有力な手がかりです。

【インフラの状態】:
誘導先はいずれもCloudflareのプロキシ経由で配信されており、実際のサーバーIPは隠蔽されています。PC経由でアクセスした際は、Chromeセーフブラウジングによる「危険なサイト」警告、またはファイアウォールによる「アクセス拒否」で遮断されました。スマホ経由では実際にセゾンのNetアンサー/SAISON IDログイン画面を精巧に模倣した偽サイトが表示されました。

▲ Chromeのセーフブラウジング機能による「危険なサイト」警告画面。

▲ 別の誘導先ドメインにアクセスした際に表示された、ファイアウォールによる「アクセス拒否」画面。

▲ スマホでアクセスした際に表示された偽のログイン画面。セゾンNetアンサー/SAISON IDのデザインを精巧に模倣しています。

※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。

■ 注意点と対処法

  1. URLをクリックしない:PC・スマホどちらでアクセスしても偽サイトに誘導されます。リンクは絶対にクリックしないでください。
  2. 送信元アドレスを確認:セゾンカードからのメールは「saisoncard.co.jp」等の公式ドメインからのみ配信されます。それ以外のドメインからのメールは偽物です。
  3. ID・パスワードを入力しない:Netアンサーへのログインは、必ず公式アプリまたはブックマークからアクセスしてください。
  4. 公式注意喚起の参照:クレディセゾン公式 不審なメール・フィッシングサイトにご注意ください

本レポートの結論

今回の3通は、文面こそバラバラでしたが、同一のクラウド基盤・同一のテンプレート構造という共通の土台の上に成り立っていました。特にスマホ経由のアクセスを1つの偽サイトに集約する設計は、複数の切り口を同時に試しながら、最終的な情報収集は一箇所で効率的に行おうという攻撃者側の合理化がうかがえます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る