「ご利用明細をご確認いただけます」はセゾンカード詐欺!4種類の件名で届くハーベスティング攻撃の手口を解説
🟡 緊急度:中
| 緊急性レベル | ★★★☆☆(3/5) |
| 偽装工作精度 | ★★★☆☆(3/5)SPF Pass・DKIM Fail・リンク先正規サイト |
■ 今回届いた4通の詐欺メール一覧
| 件名 | 送信者名 | 送信元アドレス | 送信元IP |
|---|---|---|---|
| ご利用明細をご確認いただけます | SAISON CARD 事務局 | noreply@service27.forexcopying.com | 137.131.19.238 |
| お支払い情報のご案内 | SAISON CARD Service Center | noreply@service33.forexcopying.com | 147.224.251.208 |
| ご利用内容確認のお願い | SAISON CARD User Support | noreply@service30.forexcopying.com | 137.131.36.219 |
| ご請求内容確認のお願い | SAISON CARD Online Service | noreply@service31.forexcopying.com | 132.226.95.82 |
※全通SPF Pass・DKIM Fail。受信日時:2026年6月8日(月)19時台。全通の日付ヘッダーが「Fri, 30 May 2026」と約10日前——大量バッチ送信の証拠。
▲ 実際に届いた詐欺メールの1通。セゾンカードのロゴ・デザインを精巧に模倣し、「ご対応期限:2026年6月08日」という焦らせ文句も入れているが、リンク先はセゾンカードの正規サイト。
このメールはセゾンカードを装った詐欺メールです。リンク先が正規サイトでも開封・クリックは危険です。この解析結果を家族のLINEグループに転送して注意喚起してください。
「リンク先が正規サイト」なのになぜ危険なのか
■ ハーベスティング攻撃(メールアドレス収穫攻撃)の仕組み
「リンク先が正規サイトなのに詐欺メール?」と不思議に思われるかもしれません。実はこれが「ハーベスティング攻撃(harvesting=収穫)」の巧妙なところです。攻撃者の目的はフィッシングサイトへの誘導ではなく、「このメールアドレスは実際に使われているか」の確認にあります。
HTMLメール(ウェブページのように画像やリンクを含むメール)には「トラッキングピクセル(追跡用の透明な点)」と呼ばれる仕掛けを埋め込むことができます。メールを開封するとこの画像が読み込まれ、攻撃者のサーバーに「このアドレスは開封された=実際に使われている」という信号が自動的に送られます。
■ 4通同時送信の本当の狙い——A/Bテスト
今回4通が同時に届いた理由も注目です。件名・送信者名・送信元アドレス・送信元IPがすべて異なり、本文は同一内容です。これは「A/Bテスト(複数のパターンを同時に試してどれが効果的かを測定する手法)」の可能性があります。
- 「ご利用明細」「お支払い情報」「ご利用内容」「ご請求内容」——どの件名で開封率が高いかを測定
- 「事務局」「Service Center」「User Support」「Online Service」——どの送信者名が信頼されやすいかを測定
- service27・30・31・33と異なるサブドメインを使用——どのサーバーがスパムフィルターをすり抜けやすいかを測定
収集した開封データをもとに、次回はより精巧なフィッシングメールを最も効果的な件名・送信者名で送り込んでくることが予想されます。
送信ドメイン詳細解析
■ forexcopying.com——すでに攻撃者に放棄されたドメイン
ドメイン名:forexcopying.com(FX=外国為替取引のコピートレードを装った無関係のドメイン)
取得日:2025年6月29日(約1年前に中国系レジストラ「Xin Net Technology Corporation」で取得)
有効期限:2026年6月29日(あと約20日で失効予定)
現状:「Domain Available / is for sale(売りに出し中)」——攻撃者がすでにドメインを放棄したと見られる
IPアドレス変更履歴:9年間で63回のIP変更——長期にわたって使い捨てインフラとして酷使されてきた証拠
ネームサーバー:Cloudflare(MATTEO.NS.CLOUDFLARE.COM)経由
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダー(メールがどのサーバーを経由してきたかの通過記録)の全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from service27.forexcopying.com (unknown [137.131.19.238]) by 受信者側サーバー(非公表) with ESMTPS
【偽装判定】:
正規のセゾンカードからのメールは saisoncard.co.jp または cs.saisoncard.co.jp ドメインから送信されます。本メールの送信元 noreply@service27.forexcopying.com はセゾンカードとまったく無関係のFX系ドメインです。SPFはPassしていますがDKIMは本文ハッシュ検証に失敗(Fail)しており、メール本文が改ざんされた可能性があります。また全通のDate(日付)ヘッダーが「Fri, 30 May 2026」と実際の受信日(2026年6月8日)と約10日ずれており、大量バッチ送信の証拠です。
注意点と対処法
■ このようなメールが届いた場合の対処法
- 「リンク先が正規サイトだから安全」は間違い:リンクが正規サイトでも、HTMLメールを開封した段階でトラッキングピクセルによりアドレスが「生存確認済み」としてリスト化される可能性があります。
- 送信元アドレスを確認する:送信者名が「SAISON CARD 事務局」でも、アドレスが
@saisoncard.co.jp以外であれば偽物です。本件のforexcopying.comはセゾンカードと無関係のFX系ドメインです。 - メールの自動画像読み込みをオフにする:メールソフトの設定で「外部画像を自動的に読み込まない」に設定することで、トラッキングピクセルによる追跡を防げます。
- 今後より多くの詐欺メールが届く可能性:開封してしまった場合、攻撃者に「生きているアドレス」と認識され、より精巧な詐欺メールのターゲットに登録される可能性があります。
- 公式注意喚起の参照:セゾンカードを騙る不審なメール・SMSにご注意ください(セゾンカード公式)
本レポートの結論
本件は4種類の件名・送信者名・送信元アドレスを組み合わせて同時送信するA/Bテスト型ハーベスティング攻撃です。リンク先が正規のセゾンカードサイトであることが最大の特徴で、「偽サイトへ誘導しない=安全」という思い込みを巧みに利用しています。使用ドメイン「forexcopying.com」は2025年6月に中国系レジストラで取得された使い捨てドメインで、すでに攻撃者に放棄されて売りに出ています。今回収集したアドレスをもとに、より精巧なフィッシングメールが送られてくる可能性があります。不審なメールは送信元アドレスを確認し、開封前に削除する習慣をつけましょう。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月10日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
