【緊急】セゾンカードを騙る「ポイント交換レート優遇」フィッシングメール発覚——偽ログイン画面の完成度が異常に高い
🔴 緊急度:高
このメールはクレディセゾンとは一切無関係の真っ赤な偽物です。リンクをクリックしてしまった方は至急パスワードを変更してください。この情報を家族のLINEグループに転送して注意喚起してください。
メール本文の手口:「お得感」と「期限への焦り」で判断力を奪う
※以下の内容は届いたフィッシングメールを技術検証のために忠実に再現したものです。
件名:【セゾンカード】交換レート期間限定優遇のご案内 ymg 様 平素よりセゾンカードをご利用いただき、ありがとうございます。 このたび、保有されている永久不滅ポイントを他社マイルやギフトカードへ交換される 際の交換レートを、期間限定で最大1.5倍に優遇する特別プログラムをご案内いたします。 交換先 通常レート 優遇レート JALマイル 1,000pt→500mile 1,000pt→750mile ANAマイル 1,000pt→500mile 1,000pt→750mile Amazonギフト券 1,000pt→500円分 1,000pt→750円分 同量のポイントを交換するだけで、実質的に1.5倍の価値をお受け取りいただけます。 これまで交換をためらわれていた方も、この機会にぜひご活用ください。 本優遇レートは予告なく終了する場合がございます。今すぐご確認ください。 【 優遇交換レートを確認する 】 この機会を逃さず、お手持ちの永久不滅ポイントを最大限にご活用ください。 ※本メールはymg@ymg7.net宛にシステムより自動送信しております。 ※交換レートの優遇倍率は交換先により異なる場合がございます。 ※本プログラムは予告なく終了または内容が変更される場合がございます。 株式会社クレディセゾン 永久不滅ポイント事務局 © CREDIT SAISON CO., LTD. All Rights Reserved.
このメールが特に危険な理由は、損をしたくないという心理を巧みについている点です。「1.5倍の価値」という具体的な数字で得をする印象を与えつつ、「本優遇レートは予告なく終了する場合がございます」という一文で焦りを煽り、冷静な判断をする前にクリックさせようとしています。また本文フッターに受信者のメールアドレスを差し込むことで「自分専用の案内」に見せる巧妙さも備えています。
送信ルート解析:GCPサーバーから発信
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過記録):
Received: from mail-15.play-kanqiulive.com (35.212.163.220)
送信サーバーIP:35.212.163.220
このIPアドレスはGoogleが提供するクラウドサービス「Google Cloud Platform(GCP)」のIPアドレス範囲(35.208.0.0/12)に属しています。攻撃者はGCPの仮想サーバーをメール送信インフラとして悪用しています。
【偽装判定】:
クレディセゾンの正規メール送信ドメインは @mail.saisoncard.co.jp @mail2.saisoncard.co.jp @cs.saisoncard.co.jp @saisonid.com です。本メールの送信ドメイン play-kanqiulive.com はクレディセゾンとは一切無関係であり、ドメイン名は中国語の「观球直播(スポーツ観戦ライブ配信)」を想起させる使い捨て目的のドメインです。
発信元ロケーション推定:
GCP(Google Cloud Platform)の該当IPレンジはグローバルに分散しており、物理的な所在地の特定は困難です。
Googleマップ:【GCP本社所在地(参考)を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場能性があります。
偽ログインサイト解析:本物そっくりの罠
■ フィッシングサイト詳細解析
リダイレクター(最初の転送先):hxxps://www.wnkjgs[.]com/?XO3Y1lxDcyAl
調査時点でDNS失効済み→アクセス拒否(既にブロック・閉鎖済みと推定)
最終誘導先・偽ログインサイト(伏せ字):hxxps://login.lwjxsj[.]com/login
偽サイトドメイン:lwjxsj.com
サーバーIP:172.67.220.69(Cloudflare CDN配下)
【偽サイトの特徴】:
- 「SAISON CARD Netアンサー」「SAISON ID」のロゴ・レイアウト・配色を精巧に模倣したログイン画面を表示。
- 「ID/メールアドレス」「パスワード」の入力欄、「ログイン」ボタン、「IDを保存する」チェックボックスまで本物と同一の構成。
- フッターには「株式会社クレディセゾン © CREDIT SAISON CO., LTD.」の表記まで再現。
- 実際の正規ログインURLは
https://www.saisoncard.co.jp/配下であり、lwjxsj.comとは全く異なります。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
▲ 偽ログインサイト(login.lwjxsj[.]com)。本物のNetアンサーログイン画面と見分けがつかないほど精巧に模倣されている。絶対にID・パスワードを入力しないこと。
注意点と対処法
■ 注意点と対処法
- メール内のリンクをクリックしない:セゾンカードに関する確認は、必ずブックマーク済みの公式サイトまたは公式アプリ「セゾンPortal」からアクセスしてください。
- 送信元ドメインを必ず確認:クレディセゾンの正規メール送信ドメインは
@mail.saisoncard.co.jp/@mail2.saisoncard.co.jp/@cs.saisoncard.co.jp/@saisonid.comです。これ以外のドメインからのメールは偽物と判断してください。 - IDやパスワードを入力してしまった場合:至急、公式サイトから NetアンサーID・パスワードおよびSAISON IDのパスワードを変更し、クレディセゾンのお客様デスクに連絡してください。
- 公式注意喚起を確認:セゾンカードを騙る不審なメール・SMSにご注意ください(クレディセゾン公式)
本レポートの結論
「永久不滅ポイントが1.5倍になる」という魅力的な内容で受信者の判断力を奪い、精巧に作られた偽ログイン画面でNetアンサーID・パスワードを盗み取る高精度なフィッシング攻撃です。送信元は中国語系の使い捨てドメインをGCPサーバーから発信しており、偽ログインサイトはCloudflareの配下に隠れて運営者の特定を困難にしています。セゾンカードからのメールを受け取った際は、必ず送信元ドメインを確認し、メール内のリンクは絶対にクリックしないようにしてください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年6月10日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
