【必読】セゾンカード「本人確認サービス」再設定は詐欺!件名に仕込まれた”見えない文字”の正体——サイト内検索でも引っかからない理由

HL-META: date=2026-07-01 | brand=セゾンカード(本人確認サービスなりすまし) | sender_geo=アメリカ(Microsoft Azure経由) | site_geo=日本(クラウド経由) | spf=pass | dkim=不明 | cloaking=no

【必読】セゾンカード「本人確認サービス」再設定は詐欺!件名に仕込まれた”見えない文字”の正体——サイト内検索でも引っかからない理由

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「【重要】サービス安全性向上に伴う「本人確認サービス」の再設定について」というセゾンカードを騙るメールが届きました。実はこのメール、2026年4月に本ブログで解析した詐欺メールと本文が一字一句同じ、テンプレートの使い回しです。しかし今回はそれ以上に興味深い発見がありました。件名の文字と文字の間に、画面には一切表示されないUnicode文字が大量に埋め込まれていたのです。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★☆☆ (3/5)
偽装工作精度 ★★★★☆ (4/5)

■ メールヘッダー解析(送信者情報)

件名:[spam] 【重要】サービス安全性向上に伴う「本人確認サービス」の再設定について

送信者表示名:セゾンカード

送信元アドレス:akrso@sq40.funtradeparts.com(セゾンカード公式ドメインとは無関係)

※メールヘッダー詳細は個人情報保護のため非掲載

受信日時:2026年7月1日 15:00頃

ご覧の通り、このメールはセゾンカードを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族や職場のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。


セイフティ通知:本人確認設定の更新

いつもセゾンカードをご利用いただき、誠にありがとうございます。

この度、オンラインショッピングにおける不正利用を防止するため、弊社の安全基準を最新のプロトコルへと更新いたしました。

これに伴い、お客様の「本人確認サービス(3Dセキュア)」が正常に機能しているか、再度アクティベートを行っていただく必要がございます。

【お手続き期限:2026年07月01日】
※期限までにお手続きいただけない場合、一時的にオンラインでのカード決済が制限される場合がございます。

本人確認を更新する
リンク先:hxxps://msaodhnionan[.]top/jp(伏字・無効化済み) ※Netアンサーへログイン後、画面の指示に従って情報の確認を行ってください。 ご不便をおかけしますが、安全なサービス提供のため、ご理解とご協力をお願い申し上げます。 発行:株式会社クレディセゾン 東京都豊島区東池袋3-1-1 サンシャイン60

※実際に届いたセゾンカード偽装メールの画面です。

💡ここで!

ゼロ幅文字とは

画面には一切表示されないのに、データとしては確かに存在するUnicode文字のことです。今回のメール件名を1文字ずつ調べたところ、「サービス安全性向上に伴う「本人確認サービス」の再設定について」という文字列の、ほぼすべての文字の間にこの見えない文字が挟み込まれていました。見た目は普通の日本語のままなので受信者は全く気づきませんが、コンピューターにとっては「サービス」と「​サ​ー​ビ​ス」(間に見えない文字が入ったもの)は別の文字列として扱われます。この性質を悪用し、スパムフィルターや検索エンジンの「完全一致」判定をすり抜けるのが狙いです。

実はこの記事を作る過程で、当ブログのサイト内検索に今回の件名をそのまま貼り付けても、4月に公開した同一テンプレートの記事がヒットしませんでした。理由はまさにこのゼロ幅文字です。見た目が同じでも、不可視文字が挟まっているだけで「別の文字列」としてコンピューターに認識されてしまいます。皮肉なことに、詐欺師のフィルター回避テクニックが、私たちの記事整理まで巻き込んでしまったわけです(笑)。

■ 送信ルート及び偽装判定

送信元IPアドレス:20.171.81.224(Received-SPFヘッダーのclient-ip値より特定)

HELO名:sq40.funtradeparts.com

SPF認証:Pass(成功)

【偽装判定】:
送信元IPアドレスはMicrosoft Azure(マイクロソフトのクラウドサービス)のIPアドレス帯に属しています。SPF認証がPass(成功)していても、それは攻撃者自身が取得したドメイン「funtradeparts.com」の認証が通っているだけで、セゾンカード公式とは一切関係ありません。「funtradeparts(架空の貿易会社を思わせる文字列)」という名称も、フィッシング専用に用意された使い捨てドメインとみられます。

発信元ロケーション:アメリカ(クラウドサーバーの所在リージョンに基づく)
詳細:ip-sc.netで20.171.81.224を確認する

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://msaodhnionan[.]top/jp(一部伏字)

リンクドメイン:msaodhnionan.top(意味のないランダムな文字列の.topドメイン。セゾンカードとは一切無関係)

このURLはGoogle Chrome(Googleセーフブラウジング)から「危険なサイト:フィッシングが検出されました」と警告されました。ブロックを回避すると、Netアンサー(セゾンカードの会員専用サイト)のログイン画面を精巧に模した偽ページが表示されます。

サイトサーバーIP:43.167.180.140(クラウドサービス, 日本国内リージョンとみられる)
詳細:ip-sc.netで43.167.180.140を確認する

※Googleセーフブラウジングによる警告画面です。

※本物そっくりに作られた偽のNetアンサーログイン画面です。

■ 注意点と対処法

  1. 「本人確認を更新する」リンクは絶対にクリックしない:リンク先は情報を盗むための偽サイトです。
  2. 件名だけで安心・不安を判断しない:見た目が普通の日本語でも、不可視文字が挿入されている場合があり、迷惑メールフィルターをすり抜けて受信トレイに届くことがあります。
  3. ログインは必ずNetアンサー公式アプリまたはブックマークから:メール内のリンクからはアクセスしないでください。
  4. 公式の注意喚起の参照:セゾンカード公式:不審なメール・SMSにご注意ください

本レポートの結論

「本人確認サービス再設定」を騙るこのメールは、4月に確認したものと同一のテンプレートを使い回しつつ、件名に見えないUnicode文字を挟み込むという新たな回避策を組み込んだセゾンカード偽装フィッシングです。件名が「安全そう」に見えても油断はできません。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族や職場のLINEグループで『これ気をつけて!』と共有してあげてください。

※ロケーション等の情報は調査時点(2026年7月1日)のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る