【実録】セゾンカードを騙る「新着ログインの通知」フィッシングメール発覚——Netアンサー偽ログイン画面へのプロキシ偽装誘導を解析

ご覧の通り、このメールは公式クレディセゾンを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
届いたメールの内容を、技術検証のためそのまま再現します。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化のうえ掲載しています。
クレディセゾンより送信されたメールです 〇〇様 Netアンサーにログインが確認されました。 ◆──────────────────────── <対象カード> セゾンカードインターナショナル <異常な操作/操作手順の違反> 新しいメールアドレス:14OLZVHw*2COrtY@gmail.com <ログイン日時> 2026年7月18日(土) 15時27分 ■ 承認状況の確認・取り消し。以下のボタンをクリックしてログインし、画面の指示に従ってお手続きを完了させてください。 本人確認のお手続きはこちら (リンクは無効化済み) ────────────────────────◆ ■ご自身の操作ではない場合 以下の場合にも、通知が届くことがあります。 1. NetアンサーのID・パスワードでログインするサービスを利用している 例)セゾンポイントモール、STOREE SAISON、セゾンのふるさと納税など 2. 家計簿アプリなどの連携サービスを利用している ※どのアプリやサイトからログインしているかはお調べすることができません。 3. 家族で同じメールアドレスを利用している 4. いずれにもお心当たりがない場合は、安全のためパスワードの変更やNetアンサーの再登録をお願いいたします。 ==================================== ※このメールはNetアンサーから自動的に配信を行っております。 ※本メールアドレスは配信専用のため、ご質問・ご依頼などにお答えできませんので、ご了承いただけますようお願い申し上げます。 株式会社クレディセゾン 〒170-6073 東京都豊島区東池袋3-1-1

▲ 実際に届いた詐欺メールの画面です。
一見すると本物のクレディセゾンのメールと遜色ないデザインですが、「異常な操作」として表示されている新しいメールアドレスがGmailの使い捨てアドレスのような文字列になっており、正規サービスの通知としては不自然です。受信者の不安を煽って冷静な判断力を奪う、典型的な「不正利用通知」テンプレートと言えます。
※メールヘッダー詳細は個人情報保護のため非掲載
送信ルートおよび偽装判定
■ Receivedヘッダー解析(サーバー通過証明)
Received-SPF: Pass (sender SPF authorized) client-ip=34.97.250.145; helo=fftdxx.st-barts-villa.com
【偽装判定】:
正規のクレディセゾンからのメールは「saisoncard.co.jp」「netanswer.saisoncard.co.jp」等の公式ドメインから送信されます。本メールの送信ドメイン「st-barts-villa.com」はクレディセゾンとは一切関係のないドメインであり、送信元はGoogle Cloud Platform上のサーバーでした。SPF認証自体は「Pass」と表示されますが、これは攻撃者が自ら用意したドメインに対して正しく設定しているだけであり、正規サービスであることを保証するものではありません。
発信元インフラ:
Google Cloud Platform(日本・大阪)
※クラウド事業者のIPアドレスのため、実際の攻撃者の所在地とは限りません。
用語解説
💡ここで!
SPF(エスピーエフ):「このドメインから送信して良いサーバー」をあらかじめ登録しておく仕組みです。「Pass」と表示されても、それは登録通りのサーバーから送られたという意味に過ぎず、送信ドメイン自体が偽物であれば意味を持ちません。
プロキシ(代理サーバー):本来のサーバーとの間に別のサーバーを挟むことで、利用者から見た接続先や、外部から見た運営者の本当の所在地を隠す仕組みです。詐欺サイトの運営者特定を困難にする目的で悪用されることがあります。
フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://woldof.daikohara[.]com/
サイトサーバーIP:206.189.85.100
ロケーション:シンガポール(DigitalOcean LLC)
【サイトの状態】:調査の結果、当該IPはプロキシ(DCH型:データセンター/CDNホスティングプロキシ)として検出されており、運営者の実在地を意図的に隠している疑いがあります。アクセスすると、SAISON IDのログイン画面を精巧に模倣した偽ページが表示されました。

▲ 誘導先で表示された偽のSAISON IDログイン画面。本物とほぼ同じデザインで作り込まれています。
※解析データに基づき、攻撃者はプロキシを介してサーバーの実所在地を隠蔽しており、サイトサーバーIPの位置情報がそのまま攻撃者の所在地を示すとは限りません。
注意点と対処法
■ 注意点と対処法
- URLをクリックしない:リンク先は情報を盗むための精巧な偽サイトです。
- 公式サイト・アプリを利用:Netアンサーへは必ず公式アプリまたはブックマークからアクセスしてください。
- 送信元ドメインを確認:クレディセゾンからのメールは「saisoncard.co.jp」等の公式ドメインからのみ配信されます。
- 公式注意喚起の参照:クレディセゾン公式 不審なメール・フィッシングサイトにご注意ください
本レポートの結論
「新着ログインの通知」という不安を煽る定番の切り口に、シンガポールのプロキシサーバーで運営者を隠すという一手間が加わったフィッシングメールでした。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net















