3種の手口で同時攻撃!セブン-イレブンを騙るプリペイドカード詐欺メール——SPF/DKIM両Pass偽装でフィルター突破、電話番号を狙う
🔴 緊急度:高
ご覧の通り、3通全てセブン-イレブンを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ メール①「最終通告」プリペイドカード失効型
■ メールヘッダー解析①
件名:【セブン-イレブン】【最終通告】プリペイドカード期限経過前の最終ご案内
送信者名:“セブン-イレブン お客様ご優待窓口”(偽装)
送信元アドレス:KSYIAJ@smshflrc.no-reply.rctsaw.com
X-Originating-IP:35.212.156.174(Google Cloud Platform / 米国)
SPF:Pass DKIM:Pass(d=no-reply.rctsaw.com)
受信日時:2026年6月18日 09:28:40
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
【件名】【セブン-イレブン】【最終通告】プリペイドカード期限経過前の最終ご案内 平素よりセブン-イレブンをご利用いただき、誠にありがとうございます。 セブン-イレブン プリペイドカードサービス事務局より、これが最後のご案内です。お客様のプリペイドカード口座に残る未受取残高の受取期限が、まもなく最終期限を迎えます。これまで複数回にわたりご案内を差し上げてまいりましたが、本通知をもって最後のご連絡とさせていただきます。 最終受取期限 2026年6月25日(木)23:59まで 残り 7日間 のみ ※本期限を過ぎた残高は、いかなる場合も復元いたしかねます。 プリペイドカード利用規約第8条に基づき、期限経過後の残高復元には一切応じられません。これはシステム上の絶対的なルールであり、当社カスタマーサポートにおいても例外対応は不可能です。お客様の大切な残高を守るため、何卒ご理解とご対応をお願い申し上げます。 本メール以降、残高失効に関するご案内は一切配信されません。これが本当に最後のご連絡です。受取手続きはスマートフォンから1分もかからず完了します。 最終通知 — 今すぐ最後のご確認を 最終確認:残高を今すぐ受け取る 本日限り・最終確認ページへ ※本通知は全複数回のご案内の最終回です。次回のご案内はございません。 ※期限経過後の残高抹消は、技術的にも運用的にも不可逆です。 ※本ご案内はシステムによる自動配信です。 ※本メールは配信専用です。ご返信には対応いたしかねます。 株式会社セブン-イレブン・ジャパン プリペイドカードサービス事務局 © Seven-Eleven Japan Co., Ltd. All Rights Reserved.
▲ メール①の表示。「最終受取期限 2026年6月25日 残り7日間」と赤字で強調し、残高失効への恐怖心を煽るデザイン
■ メール②「サマーギフトキャンペーン」ギフト当選型
■ メールヘッダー解析②
件名:【セブン-イレブン】サマーギフトキャンペーン進呈のご案内
送信者名:“セブン-イレブン”(偽装)
送信元アドレス:KNAXAG@xlvucosm.online.wrcijg.com
X-Originating-IP:35.212.240.253(Google Cloud Platform / 米国)
SPF:Pass DKIM:Pass(d=online.wrcijg.com)
受信日時:2026年6月18日 09:12:12
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
【件名】【セブン-イレブン】サマーギフトキャンペーン進呈のご案内 平素よりセブン-イレブンをご愛顧いただき、厚く御礼申し上げます。 今年の夏もセブン-イレブンは、お客様の毎日を応援します。プリペイドカード会員様限定のサマーギフトキャンペーンを開催中です。このたび、お客様が本キャンペーンの進呈対象者に選定されましたことをご案内申し上げます。 SUMMER GIFT CAMPAIGN 2026 サマーギフトカード進呈 1,000円分 / 2,000円分 / 5,000円分 対象:選定されたプリペイドカード会員様 ご利用可能店舗:全国のセブン-イレブン全店舗 ※進呈金額は専用ページにてご確認いただけます。 夏のおでかけに、冷たいドリンクやアイスクリーム、お弁当に——全国のセブン-イレブンでご利用いただけるギフトカードです。この機会にぜひお受取りください。 本キャンペーンは期間限定、かつ進呈数に上限がございます。上限到達次第終了となりますので、選定されたお客様はお早めのご確認をお勧めいたします。 サマーギフト進呈 — いまずぐ確認 サマーギフトを確認する 選定会員様専用ページへ ※本ご案内は選定された会員様限定のため、第三者への転送はご遠慮ください。 ※進呈数には上限がございます。上限到達次第終了となります。 ※本メールは配信専用です。ご返信には対応いたしかねます。 株式会社セブン-イレブン・ジャパン プリペイドカードサービス事務局 © Seven-Eleven Japan Co., Ltd. All Rights Reserved.
▲ メール②の表示。深緑のヘッダーに「7-Eleven Prepaid Card Service」と英語で添え、本物らしさを演出している
■ メール③「未受取ギフト」システム検出型
■ メールヘッダー解析③
件名:【セブン-イレブン】プリペイドカード未受取ギフトのご案内
送信者名:“セブン-イレブン・ジャパン”(偽装)
送信元アドレス:UEQDMT@kikckgqx.benefits.pywsnez.com
X-Originating-IP:35.212.215.176(Google Cloud Platform / 米国)
SPF:Pass DKIM:Pass(d=benefits.pywsnez.com)
受信日時:2026年6月18日 09:37:28
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
【件名】【セブン-イレブン】プリペイドカード未受取ギフトのご案内 平素よりセブン-イレブンをご利用いただき、誠にありがとうございます。 セブン-イレブン プリペイドカードサービス事務局でございます。当局の自動監査システムが、お客様のアカウントにおける未受取のギフト金額を検出いたしました。本来であれば既にお受取いただいているはずのギフトが、何らかの理由により保留状態となっております。 システム検出:未受取ギフトサマリー 検出内容:未受取プリペイドカードギフト ステータス:受取待ち 受取期限:2026年7月15日(水)23:59 ※正確なギフト金額は専用ページにてご確認いただけます。 この未受取ギフトは、お客様のプリペイドカードご利用に伴い自動付与されたものですが、お客様ご自身の受取確認操作が完了していないため、仮保留の状態です。受取手続きが完了次第、即時に全国のセブン-イレブン店舗でご利用いただけるようになります。 すでに多くの会員様が同様のギフトをお受取りになり、日々のお買い物にご活用いただいております。受取手続きは驚くほど簡単で、わずか30秒で完了します。 未受取ギフトをいますぐ残高へ反映 未受取ギフトを確認する 所要時間30秒・今すぐ簡単受取 ※本検出はシステムによる自動照合です。お客様ご本人宛にのみ送信されています。 ※受取期限を経過したギフトは自動失効し、復元は一切できません。 ※本メールは配信専用です。ご返信には対応いたしかねます。 株式会社セブン-イレブン・ジャパン プリペイドカードサービス事務局 © Seven-Eleven Japan Co., Ltd. All Rights Reserved.
▲ メール③の表示。「システム検出:未受取ギフトサマリー」という表組みで、まるでシステムの自動検出結果のように見せている
■ 送信ルート及び偽装判定(3通共通)
※Receivedヘッダーの全文は受信者側サーバー(非公表)の情報が含まれるため掲載を控えています。
送信元IPアドレス:
① 35.212.156.174 ② 35.212.240.253 ③ 35.212.215.176
→ 全て 35.208.0.0/12 の範囲内 = Google Cloud Platform(米国)
送信ドメインの構造:
ランダム文字列.no-reply.rctsaw.com
ランダム文字列.online.wrcijg.com
ランダム文字列.benefits.pywsnez.com
→ 3通とも「ランダム文字列.機能名.謎ドメイン.com」という同一構造。SPF・DKIMはこの謎ドメインに正しく設定されているため認証を通過してしまいます。
【偽装判定】:
正規のセブン-イレブンからのメールは @sej.co.jp または @omni7.jp 等のドメインから送信されます。本メールの送信ドメイン rctsaw.com・wrcijg.com・pywsnez.com はセブン-イレブンと一切関係のない第三者ドメインです。
発信元ロケーション:米国(Google Cloud Platform)
※GCPのIPアドレスはGoogleのデータセンター施設に帰属するため、実際の攻撃者の物理的な所在地は特定できません。
■ フィッシングサイト詳細解析
▶ 全3通共通の仕組み:PC・スマホで誘導先を振り分け
メール内のリンクをクリックした際、PCからアクセスした場合とスマートフォンからアクセスした場合で異なるURLへ誘導します(User-Agent判定)。セキュリティ研究者や自動解析ツールはPCからアクセスすることが多いため、PCには別のURLを見せることで解析を難しくする目的があると考えられます。
▶ メール①の誘導先
PC用URL(伏せ字):hxxps://login.bxgsale[.]com/?acWJZ8V3kG08
スマホ用URL(伏せ字):hxxps://www.dhakardak-bd[.]com/t0tigz2z?...
PCサイトのIP:172.67.156.159(Cloudflare)
スマホサイトのIP:172.67.206.117(Cloudflare)
PC側サイトの状態:Cloudflareのファイアウォールにより「アクセス拒否」表示
PC側フィッシング内容:「ギフトカード受け取り(1,000円〜5,000円相当)」として電話番号の入力を要求
▶ メール②の誘導先
PC用URL(伏せ字):hxxps://login.51jkjob[.]com/?u8GxHVREchYy
スマホ用URL(伏せ字):hxxps://api.nomurac[.]com/?_t=ZJ78b3UE6N1V...
PCサイトのIP:104.21.71.104(Cloudflare)
スマホサイトのIP:172.67.144.73(Cloudflare)
PC側サイトの状態:Chrome「危険なサイト」赤画面(Googleセーフブラウジング検知済み)
スマホ側サイトの状態:「システムメンテナンス中」画面(サービス再開予定:6月18日11:00)
▶ メール③の誘導先
PC用URL(伏せ字):hxxps://login.zzdxzdm[.]com/?rSdd5Av0Szzi
スマホ用URL(伏せ字):hxxps://api.nomurac[.]com/?_t=XD-ry1DlF-57Vq...
PCサイトのIP:104.21.80.55(Cloudflare)
スマホサイトのIP:104.21.95.103(Cloudflare)
PC側サイトの状態:Chrome「危険なサイト」赤画面(Googleセーフブラウジング検知済み)
スマホ側サイトの状態:②と同じ「システムメンテナンス中」(nomurac.comを②③で共用)
※全フィッシングサイトはCloudflare経由のため実際のサーバーIPは非公開。ドメイン登録日は調査時点で確認中です。
※解析データに基づき、攻撃者は複数のドメインを使い捨て目的で運用していることが確認されています。
▲ メール①の誘導先偽サイト。セブン-イレブンの公式ロゴを流用し「ギフトカード受け取り」として電話番号の入力を求める。入力するとSMSで送られてくる認証コードも詐取される可能性がある
▲ メール②・③の誘導先(PC)に対するChromeの警告画面。「危険なサイト」として赤画面でブロック。Googleセーフブラウジングが既にフィッシングサイトとして検知している
▲ メール②・③のスマホ誘導先(nomurac.com)に表示されたメンテナンス画面。「2026年6月18日 午前11:00 サービス再開予定」とカウントダウンタイマーまで表示する作り込み(笑)
■ なぜ「システムメンテナンス中」画面が表示されるのか
スマートフォンでアクセスすると本物のフィッシングページではなく「システムメンテナンス中」という画面が表示されます。「壊れているのでは?」と思った方もいるかもしれませんが、これは攻撃者が意図的に設計した仕掛けです。主な理由は4つあります。
- セキュリティ研究者から身を隠すため:フィッシングサイトが常時稼働していると、Googleやセキュリティ企業のクローラー(自動巡回プログラム)にすぐ検出されブラックリストに登録されます。メンテナンス画面にしておけば「ただのメンテ中のサイト」として見え、ブロックされるまでの時間を稼げます。
- 時間帯を絞って稼働させるため:メールを受け取った被害者がリンクを踏む時間帯(昼休み・夜間など)に合わせてフィッシングサイトを「開店・閉店」させています。稼働時間を短くすることで検出・ブロックのリスクを大幅に下げられます。カウントダウンタイマーが表示されているのはこの「開店時刻」を示しているものです。
- PCとスマホでアクセスを振り分けるため:セキュリティ研究者や自動解析ツールはPCからアクセスすることが多いため、PCには「アクセス拒否」や別のページを見せて解析を妨害します。実際の被害者が使うスマートフォンにだけ本物のフィッシングページを見せるという選別を同時に行っています。
- 被害者を引き留めるため:「まもなくページを移動します」という表示は、被害者に「少し待てば使える」と思わせて離脱を防ぐ心理的な仕掛けです。カウントダウンが終わると自動的にフィッシングページへリダイレクトされる仕組みになっています。
今回確認されたサイトの訪問者カウンターには「70」という数字が表示されており、稼働・停止を繰り返しながら既に複数の人がアクセスしていることを示しています。「メンテナンス中で今は使えなかった」からといって安心しないでください。時間をおいて再アクセスすると本物のフィッシングページが表示される可能性があります。
■ 注意点と対処法
- 送信元アドレスのドメインを確認する:セブン-イレブンの正規メールは
@sej.co.jpや@omni7.jp等から届きます。rctsaw.com・wrcijg.com・pywsnez.comなど見覚えのないドメインは全て偽物です。 - 「最終通告」「残り〇日」に焦らない:期限の切迫感は受け手を焦らせるための演出です。焦って操作する前に必ず立ち止まってください。
- 電話番号は絶対に入力しない:今回のフィッシングサイトは電話番号の入力を求めます。入力するとその番号宛にSMSで認証コードが届き、そのコードまで詐取されてアカウントを乗っ取られるリスクがあります。
- SPF/DKIMが「Pass」でも安心しない:今回のメールはSPFとDKIM認証を両方通過しています。「認証が通ったから本物」という判断は危険です。認証はドメインの設定が正しいことを示すだけで、そのドメインがセブン-イレブンのものかどうかは別問題です。
- セブン-イレブン公式の注意喚起を確認:「セブン‐イレブン」「セブン&アイ」を名乗る偽装メール・サイト等に関するお知らせ(公式)
- 不審に思ったらセブン-イレブンへ直接確認:セブン‐イレブン・ジャパン お客様相談室 ☎ 0120-711-372(月〜金 9:30〜17:30)
■ 関連記事
本レポートの結論
今回の3通は同一攻撃者グループがGoogle Cloud Platformを踏み台に、SPF・DKIM認証を突破してセブン-イレブンを偽装した高精度のフィッシングメールです。「失効恐怖」「ギフト当選」「システム検出」と心理的アプローチを3パターン用意し、PC・スマホで誘導先を使い分けるというかなり手の込んだ攻撃です。Chromeはフィッシングサイトとして既に検知していますが、古いブラウザや警戒が薄い高齢者の方は騙される可能性があります。セブン-イレブンから届くメールのドメインは「@sej.co.jp」などのセブン-イレブン公式ドメインのみ。それ以外は全て偽物です。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月18日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
