【解析】セゾンカード「会員規約に基づく安全確認」詐欺メールの正体
【調査報告】最新の詐欺メール解析レポート 本レポートは、確認された不審メールのヘッダーおよびドメイン構造を技術的に分析したものです。
■ 最近のスパム動向
今回ご紹介するのは「セゾンカード」を騙るメールですが、その前に最近のスパムの動向を解説します。現在、新年度の開始に伴う会員情報の更新時期を狙い、「規約に基づく安全確認」というもっともらしい口実で偽サイトへ誘導する手口が横行しています。特に、大手カード会社を装い、短期間で使い捨てられるドメインを悪用してセキュリティ検知を回避する手法が顕著です。 | ▼ メールの基本データ | 件名 | [spam] 【重要】SAISON Netアンサー会員規約に基づく安全確認実施のお知らせ | | 件名の見出し | 冒頭の[spam]は、サーバー側で既に悪意ある配信元としてマークされている証拠です。 | | 送信者 | “株式会社クレディセゾン” <staff@cs.saisoncard.co.jp> | | 受信日時 | 2026-04-04 12:10 | ▼ 送信者に関する情報 | 送信者アドレスは正規のドメイン(saisoncard.co.jp)を装っていますが、実際の配信ルートを解析すると、全く無関係な海外サーバーを経由していることが判明しました。これは「なりすまし」による信頼獲得を狙ったものです。 | ▼ 本文再現(忠実再現版)
株式会社クレディセゾンより会員規約に基づき配信しております。 当社セキュリティシステムによる監査の結果、お客様のアカウントが
最終ログインから3ヶ月(90日)以上経過していることを検知しました。 本件に伴い、第三者による不正利用のリスクを回避するため、
会員規約第12条に基づき、アカウントの保護措置を執行しております。 ■ セキュリティ再認証・本人確認期限(48時間以内)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 以下のリンクより直ちにログインいただき、ご本人様による
継続利用の意思確認およびセキュリティ認証を完了させてください。 ▼ 本人確認および再認証手続き(ログイン)
https://www.ajbbamg[伏字].com/?claim=fhqbPht[伏字]xEV 本メール送信より48時間経過後、認証が確認できないアカウント
につきましては、システムにより自動的に「全機能利用停止」へと
移行いたします。 ※本措置は、お客様の資産を不正アクセスから守るためのものです。
何卒、迅速なご対応をお願い申し上げます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
発行元:株式会社クレディセゾン
東京都豊島区東池袋3-1-1 サンシャイン60
カスタマーサポート:0120-398-911(24時間対応) Copyright (C) 2026 Credit Saison Co., Ltd. All rights reserved. GDQNKU
| ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 ▼ メールの目的及び感想 【目的】Netアンサーのログイン情報およびクレジットカード決済情報を盗み出すこと。
【感想】本文末尾の署名にある電話番号「0120-398-911」は実在する番号ですが、誘導先のURLは100%偽物です。正しい情報を混ぜることで、受信者の警戒心を解こうとする極めて卑劣な手口です。 | ▼ Received(送信元サーバー)解析 | Receivedヘッダー | from rtrhdu.com (rtrhdu.com [34.11.245.250]) | | 信頼できる送信元 | カッコ内のIPアドレス34.11.245.250は、中継の改ざんが不可能な生の接続情報です。 | | 送信元IPアドレス | 34.11.245.250 | | ホスティング社 | Google Cloud (bc.googleusercontent.com) | | 設置国 | アメリカ合衆国 (United States) | | ドメイン登録日 | 取得されて間もない新造ドメインです。攻撃用に急遽用意された可能性が極めて高いです。
Whois情報詳細はこちら | ▼ メール回線関連情報 ▼ リンク先ドメイン解析 | 誘導URL | https://www.ajbbamg[伏字].com/?claim=… | | リンク先IPアドレス | 172.67.147.234 | | ホスティング社 | Cloudflare, Inc. | | 設置国 | アメリカ合衆国 (United States) | | ドメイン登録日 | 最近登録されたドメインです。正規のクレディセゾンがこのような新造ドメインを使用することはありません。 | ▼ リンク先サイトの状態 【稼働状況】アクセス拒否(ブロック中)
現在、リンク先は「アクセス拒否」の画面が表示され、リクエストが遮断されています。これは運営者が意図的にアクセスを制限しているか、セキュリティ対策により一時的に停止されている状態です。 | ▼ サイト回線関連情報 ▼ まとめと推奨対応 【危険なポイント】送信元がGoogle Cloud経由のアメリカサーバーであること、および誘導先ドメインが正規のものではないことです。過去の事例と比べても、署名に正しい電話番号を記載するなど巧妙化が進んでいます。
【対処法】このようなメールを受信しても、絶対にリンクを開かず削除してください。会員情報の確認は必ず公式サイトのブックマークから行ってください。 | |
