フィッシング

2026/1/6

【検証】セゾンカードを装ったメール「【セゾンカード】利用に関するセキュリティ確認」はフィッシングメールか？

見出し

1 【検証】件名「【セゾンカード】利用に関するセキュリティ確認」はフィッシングメールか？

【検証】件名「【セゾンカード】利用に関するセキュリティ確認」はフィッシングメールか？

フィッシングメール（詐欺メール）が届きました。

このメールは、受信者を偽のウェブサイトに誘導し、個人情報やクレジットカード情報を盗み取ることを目的としています。

このメールは「本人確認・情報更新」のパターンに該当します。「本人確認が必要です」「情報を更新してください」などと偽り、個人情報やクレジットカード情報を入力させます。

※この記事は、実際に届いたメール（.eml）をもとに、技術的観点から内容を検証し、証拠（ヘッダ／RDAP／TLS／リダイレクト結果）を整理したものです。

※危険回避のため、URL/ドメイン/メールアドレス/IPは hxxp(s)・[.]・[@] で難読化しています。

このメールの怪しいポイント

フィッシングサイトが運用中：リンク先のサイトが現在も稼働しています。絶対にアクセスしないでください
PhishTankに登録済みのフィッシングサイト：このメールに含まれるURLは、フィッシング対策団体PhishTankに報告・登録されている既知のフィッシングサイトです
URL偽装（userinfo詐称）を検出：見た目は「rfgtisnt[.]com」に見えますが、実際の接続先は「vwhobh[.]cn」です。URLの@より前の部分（userinfo）は無視されます
メール認証に失敗：SPF が pass ではありません。正規の送信元ではない可能性が高いです
Cloudflareで実サーバーを隠蔽：フィッシングサイトはCloudflareを使用しており、実際のサーバーIPが特定できません

判定：複数の重大な警告があります。このメールはほぼ確実にフィッシング詐欺です。

このフィッシングの手口

このメールは「本人確認・情報更新」型の一般的な手口です。

偽装メールの送信：「saisonカード」を名乗り、もっともらしい件名でメールを送信します。
緊急性を演出：「すぐに対応しないとアカウントが停止される」など、焦らせる文言を使います。
偽サイトへ誘導：メール内のリンクをクリックさせ、本物そっくりの偽ログインページへ誘導します。
情報の窃取：ID・パスワード・クレジットカード情報などを入力させ、盗み取ります。
悪用：盗んだ情報で不正ログイン、不正購入、個人情報の転売などを行います。

今回のメールの特徴

メール内のリンク先は「vwhobh[.]cn」など、正規のドメインではありません。
メール認証（SPF）に失敗しており、正規の送信元ではないことが技術的に証明されています。
URL偽装（userinfo詐称）：リンクは「rfgtisnt[.]com」に見えますが、実際の接続先は「vwhobh[.]cn」です。URLの@より前は無視される仕組みを悪用しています。

【技術解説】URL偽装の仕組み

URLはRFC 3986で定義されており、以下の構造を持っています：

scheme://[userinfo@]host/path?query#fragment

1	scheme://[userinfo@]host/path?query#fragment

@ より左側は「ユーザー情報（userinfo）」→ ブラウザは認証情報として扱い、接続先には影響しない
@ より右側が「ホスト名」→ 実際の接続先

例：

https://www.example.jp@malicious.cn/path

1	https://www.example.jp@malicious.cn/path

見た目：「www.example.jp」のサイトに見える
実際の接続先：malicious.cn（攻撃者のサーバー）

さらに巧妙な手口として、通常のスラッシュ「/」(U+002F) の代わりに、見た目がよく似た別のUnicode文字を使うことがあります：

∕ DIVISION SLASH (U+2215)
⁄ FRACTION SLASH (U+2044)
／ FULLWIDTH SOLIDUS (U+FF0F)

これにより、URLがパス区切りを含む通常のURLに見えますが、実際にはすべて userinfo の一部として扱われ、無視されます。

もし情報を入力してしまうと…

このフィッシングサイトで情報を入力してしまった場合、以下のような被害が想定されます。

アカウントが乗っ取られる
個人情報が流出する
金銭的な被害を受ける

もし入力してしまった場合は：

すぐにパスワードを変更してください（使い回している他サービスも含めて）
クレジットカード情報を入力した場合は、カード会社に連絡して利用停止してください
不正利用がないか、明細を確認してください

技術的な検証結果

以下では、実際に届いたメールのヘッダ情報・認証結果・リンク先の調査結果など、技術的な証拠を詳しく解説します。

受信したメールの概要

件名：【セゾンカード】利用に関するセキュリティ確認
受信日時（ヘッダ）：Tue, 06 Jan 2026 21:09:02 +0900
表示上の差出人：saisonカード <harukihaga[@]gtaok[.]com>
Return-Path：<harukihaga[@]gtaok[.]com>

メール本文（原文：難読化）

クリックで本文を表示

【セゾンカード】本人確認のお願い









【セゾンカード】本人確認のお願い

平素よりセゾンカードをご利用いただき誠にありがとうございます。
現在、セキュリティ強化の一環としてご本人様確認をお願いしております。
下記より認証ページへアクセスの上、必要な情報をご入力ください。
🔒 
認証手続きを行う 

【ご注意】本メール受信から24時間以内にお手続きください。期限を過ぎますと一部機能が制限される場合がございます。 

万が一お心当たりのない場合は、公式サイトよりご連絡をお願いいたします。
■ 発行元 
株式会社クレディセゾン東京都豊島区東池袋3-1-1■ お問い合わせ 
専用フォームよりご連絡ください：hxxps://www[.]saisoncard[.]co[.]jp/ 
本メールは送信専用です。返信には対応しておりません。© 2025 SAISON CARD Co., 
Ltd. All rights reserved.

【セゾンカード】本人確認のお願い

平素よりセゾンカードをご利用いただき誠にありがとうございます。

現在、セキュリティ強化の一環としてご本人様確認をお願いしております。

下記より認証ページへアクセスの上、必要な情報をご入力ください。

🔒

認証手続きを行う

【ご注意】本メール受信から24時間以内にお手続きください。期限を過ぎますと一部機能が制限される場合がございます。

万が一お心当たりのない場合は、公式サイトよりご連絡をお願いいたします。

■ 発行元

株式会社クレディセゾン東京都豊島区東池袋3-1-1■ お問い合わせ

専用フォームよりご連絡ください：hxxps://www[.]saisoncard[.]co[.]jp/

メール認証結果（SPF/DKIM/DMARC）

認証方式	結果	意味
SPF	NONE	送信元IPがドメインの許可リストに含まれていません（偽装の可能性）

smtp.mailfrom: harukihaga

受信側の補足：mx.google.com; spf=none (google.com: harukihaga@gtaok.com does not designate permitted sender hosts) smtp.mailfrom=harukihaga@gtaok.com

認証結果の判定：メール認証に失敗しているため、このメールは正規の送信元から送られたものではない可能性が高いです。

送信元ドメインの検査

メールの送信に使用されたドメイン（From / Return-Path）を調査しました。

gtaok[.]com（From / Return-Path）

登録日	2023-12-16（752日前）
ネームサーバー	`NSA3[.]SRV53[.]COM, NSA3[.]SRV53[.]NET, NSA4[.]SRV53[.]ORG`
ステータス	`client transfer prohibited`

インフラ情報（ホスティング・国）

送信元サーバー

IP	国	事業者	備考
`163[.]44[.]89[.]85`	日本	Japan Network Information Center

フィッシングサイト

IP	国	事業者	備考
`104[.]21[.]27[.]29`	不明	Cloudflare	Cloudflareを使用しており、実際のサーバーIPが隠蔽されています
`172[.]67[.]140[.]243`	不明	Cloudflare	Cloudflareを使用しており、実際のサーバーIPが隠蔽されています
`2606:4700:3035::ac43:8cf3`	不明	Cloudflare	Cloudflareを使用しており、実際のサーバーIPが隠蔽されています
`2606:4700:3031::6815:1b1d`	不明	Cloudflare	Cloudflareを使用しており、実際のサーバーIPが隠蔽されています
`13[.]112[.]201[.]201`	不明	Amazon Web Services	AWSのインフラを利用

送信元サーバを確認します（Receivedヘッダ → 送信経路IP）

送信元候補IP: 163[.]44[.]89[.]85 / 国: 日本

163[.]44[.]89[.]85 （送信元候補）
222[.]76[.]57[.]34

※ここは「メールの送信経路上で観測されたIP」です。リンク先サーバのIPとは別です。

メール内リンクの遷移先を確認します（URL抽出＋リダイレクト追跡）

リンク

抽出URL：hxxps://rfgtisnt[.]com[/]ogmwjfddze[@]vwhobh[.]cn/1QbVHBOb/transactions/F9UhbFBsvwfH0xY/YxoXS8D/order/WdSrbrBR0i86D/sMb8wi/billing/Zyt0h8ozwV/AKisrGPN/cart/hMPBIsl4SqZn-3k?session=Q7OUf9daZj&page=mqQG&cart_id=RrkVx2XsuQ&id=22bPth&token=LOw0NL5s-pNwltzN

⚠ URL偽装を検出： 見た目は「rfgtisnt[.]com」ですが、実際の接続先は「vwhobh[.]cn」です。

実際の接続先URL：hxxps://vwhobh[.]cn/1QbVHBOb/transactions/F9UhbFBsvwfH0xY/YxoXS8D/order/WdSrbrBR0i86D/sMb8wi/billing/Zyt0h8ozwV/AKisrGPN/cart/hMPBIsl4SqZn-3k?session=Q7OUf9daZj&page=mqQG&cart_id=RrkVx2XsuQ&id=22bPth&token=LOw0NL5s-pNwltzN

最終URL：hxxps://rfgtisnt[.]com[/]ogmwjfddze[@]vwhobh[.]cn/1QbVHBOb/transactions/F9UhbFBsvwfH0xY/YxoXS8D/order/WdSrbrBR0i86D/sMb8wi/billing/Zyt0h8ozwV/AKisrGPN/cart/hMPBIsl4SqZn-3k?session=Q7OUf9daZj&page=mqQG&cart_id=RrkVx2XsuQ&id=22bPth&token=LOw0NL5s-pNwltzN

調査対象URL（フィッシングサイト）：hxxps://vwhobh[.]cn/1QbVHBOb/transactions/F9UhbFBsvwfH0xY/YxoXS8D/order/WdSrbrBR0i86D/sMb8wi/billing/Zyt0h8ozwV/AKisrGPN/cart/hMPBIsl4SqZn-3k?session=Q7OUf9daZj&page=mqQG&cart_id=RrkVx2XsuQ&id=22bPth&token=LOw0NL5s-pNwltzN

注記：userinfo_spoofing

遷移先サイトの解決IP（DNS）

104[.]21[.]27[.]29
172[.]67[.]140[.]243
2606:4700:3035::ac43:8cf3
2606:4700:3031::6815:1b1d

※ここは「メール内リンクの遷移先（サイト側）」の情報です。送信元IP（Received）とは別です。

フィッシングサイト稼働状況

※解析時点でのステータスです。フィッシングサイトは短期間でテイクダウンされることがあります。

URL	ステータス	詳細
`vwhobh[.]cn/1QbVHBOb/transactions/F9UhbFBsvwfH0xY/YxoXS8D...`	運用中 (HTTP 200)	運用中（要注意：フィッシングサイトが稼働しています）
`vwhobh[.]cn/1QbVHBOb/transactions/F9UhbFBsvwfH0xY/YxoXS8D...`	運用中 (HTTP 200)	運用中（要注意：フィッシングサイトが稼働しています）

警告：フィッシングサイトが現在も運用中です。絶対にアクセスしないでください。

PhishTank照合結果

PhishTankは、Cisco Talos Intelligence Groupが運営するフィッシングサイトの報告・検証データベースです。メール内のURLをPhishTankと照合した結果を表示します。

⚠ 既知のフィッシングサイトを検出

このメールに含まれるURLは、PhishTankに報告・登録されている既知のフィッシングサイトです。

URL	状態	PhishTank	報告状況
`hxxps://vwhobh[.]cn/1QbVHBOb/transactions/F9UhbFBsvwfH0xY/YxoXS8D/order/WdSrbrBR0i86D/sMb8wi/billing/Zyt0h8ozwV/AKisrGPN/cart/hMPBIsl4SqZn-3k?session=Q7OUf9daZj&page=mqQG&cart_id=RrkVx2XsuQ&id=22bPth&token=LOw0NL5s-pNwltzN`	未登録	–	✓ CCSIで報告済み
`hxxps://rfgtisnt[.]com[/]ogmwjfddze[@]vwhobh[.]cn/1QbVHBOb/transactions/F9UhbFBsvwfH0xY/YxoXS8D/order/WdSrbrBR0i86D/sMb8wi/billing/Zyt0h8ozwV/AKisrGPN/cart/hMPBIsl4SqZn-3k?session=Q7OUf9daZj&page=mqQG&cart_id=RrkVx2XsuQ&id=22bPth&token=LOw0NL5s-pNwltzN`	未登録	–	✓ CCSIで報告済み
`hxxps://vwhobh[.]cn/`	未登録	–	✓ CCSIで報告済み

照合日時: 2026-01-06T15:50:18+00:00 (UTC)

RDAP証拠（whois相当：引用）

※この証拠が示す意味：登録日が直近・海外レジストラ・NSが無関係などが重なるほど、なりすまし（フィッシング）である蓋然性が上がります。

※以下はRDAPレスポンスから 再現性のある要点 を固定形式で抜粋したものです。

ドメイン（登録情報）

（ドメインのRDAP情報は取得できませんでした）

IPアドレス（割り当て/組織/国）

RDAP証拠（IP）対象: 163[.]44[.]89[.]85 RDAP: https://rdap.apnic.net/ip/163.44.89.85 取得日時(UTC): 2026-01-06T15:50:15+00:00 org/name: Japan Network Information Center / country: 日本 range: 163.44.89.0 - 163.44.89.255 events: last changed=2025-07-23T02:44:05Z

1
2
3
4
5
6
7

RDAP証拠（IP）
対象: 163[.]44[.]89[.]85
RDAP: https://rdap.apnic.net/ip/163.44.89.85
取得日時(UTC): 2026-01-06T15:50:15+00:00
org/name: Japan Network Information Center / country: 日本
range: 163.44.89.0 - 163.44.89.255
events: last changed=2025-07-23T02:44:05Z

RDAP証拠（IP）対象: 222[.]76[.]57[.]34 RDAP: https://rdap.apnic.net/ip/222.76.57.34 取得日時(UTC): 2026-01-06T15:50:15+00:00 org/name: Chinanet Hostmaster / country: 中国 range: 222.76.0.0 - 222.79.255.255 events: registration=2008-09-04T06:53:33Z / last changed=2021-06-15T08:05:40Z

1
2
3
4
5
6
7

RDAP証拠（IP）
対象: 222[.]76[.]57[.]34
RDAP: https://rdap.apnic.net/ip/222.76.57.34
取得日時(UTC): 2026-01-06T15:50:15+00:00
org/name: Chinanet Hostmaster / country: 中国
range: 222.76.0.0 - 222.79.255.255
events: registration=2008-09-04T06:53:33Z / last changed=2021-06-15T08:05:40Z

RDAP証拠（IP）対象: 104[.]21[.]27[.]29 RDAP: https://rdap.arin.net/registry/ip/104.21.27.29 取得日時(UTC): 2026-01-06T15:50:16+00:00 org/name: Cloudflare, Inc. / country: range: 104.16.0.0 - 104.31.255.255 events: last changed=2024-09-04T06:51:26-04:00 / registration=2014-03-28T11:30:55-04:00

1
2
3
4
5
6
7

RDAP証拠（IP）
対象: 104[.]21[.]27[.]29
RDAP: https://rdap.arin.net/registry/ip/104.21.27.29
取得日時(UTC): 2026-01-06T15:50:16+00:00
org/name: Cloudflare, Inc. / country:
range: 104.16.0.0 - 104.31.255.255
events: last changed=2024-09-04T06:51:26-04:00 / registration=2014-03-28T11:30:55-04:00

RDAP証拠（IP）対象: 172[.]67[.]140[.]243 RDAP: https://rdap.arin.net/registry/ip/172.67.140.243 取得日時(UTC): 2026-01-06T15:50:16+00:00 org/name: Cloudflare, Inc. / country: range: 172.64.0.0 - 172.71.255.255 events: last changed=2024-09-04T07:54:28-04:00 / registration=2015-02-25T20:57:09-05:00

1
2
3
4
5
6
7

RDAP証拠（IP）
対象: 172[.]67[.]140[.]243
RDAP: https://rdap.arin.net/registry/ip/172.67.140.243
取得日時(UTC): 2026-01-06T15:50:16+00:00
org/name: Cloudflare, Inc. / country:
range: 172.64.0.0 - 172.71.255.255
events: last changed=2024-09-04T07:54:28-04:00 / registration=2015-02-25T20:57:09-05:00

RDAP証拠（IP）対象: 2606:4700:3035::ac43:8cf3 RDAP: https://rdap.arin.net/registry/ip/2606%3A4700%3A3035%3A%3Aac43%3A8cf3 取得日時(UTC): 2026-01-06T15:50:17+00:00 org/name: Cloudflare, Inc. / country: range: 2606:4700:: - 2606:4700:ffff:ffff:ffff:ffff:ffff:ffff events: last changed=2024-09-04T07:55:39-04:00 / registration=2011-11-01T15:59:58-04:00

1
2
3
4
5
6
7

RDAP証拠（IP）
対象: 2606:4700:3035::ac43:8cf3
RDAP: https://rdap.arin.net/registry/ip/2606%3A4700%3A3035%3A%3Aac43%3A8cf3
取得日時(UTC): 2026-01-06T15:50:17+00:00
org/name: Cloudflare, Inc. / country:
range: 2606:4700:: - 2606:4700:ffff:ffff:ffff:ffff:ffff:ffff
events: last changed=2024-09-04T07:55:39-04:00 / registration=2011-11-01T15:59:58-04:00

RDAP証拠（IP）対象: 2606:4700:3031::6815:1b1d RDAP: https://rdap.arin.net/registry/ip/2606%3A4700%3A3031%3A%3A6815%3A1b1d 取得日時(UTC): 2026-01-06T15:50:17+00:00 org/name: Cloudflare, Inc. / country: range: 2606:4700:: - 2606:4700:ffff:ffff:ffff:ffff:ffff:ffff events: last changed=2024-09-04T07:55:39-04:00 / registration=2011-11-01T15:59:58-04:00

1
2
3
4
5
6
7

RDAP証拠（IP）
対象: 2606:4700:3031::6815:1b1d
RDAP: https://rdap.arin.net/registry/ip/2606%3A4700%3A3031%3A%3A6815%3A1b1d
取得日時(UTC): 2026-01-06T15:50:17+00:00
org/name: Cloudflare, Inc. / country:
range: 2606:4700:: - 2606:4700:ffff:ffff:ffff:ffff:ffff:ffff
events: last changed=2024-09-04T07:55:39-04:00 / registration=2011-11-01T15:59:58-04:00

RDAP証拠（IP）対象: 13[.]112[.]201[.]201 RDAP: https://rdap.arin.net/registry/ip/13.112.201.201 取得日時(UTC): 2026-01-06T15:50:17+00:00 org/name: Amazon Data Services Japan / country: range: 13.112.0.0 - 13.115.255.255 events: last changed=2016-11-30T06:57:05-05:00 / registration=2016-11-30T06:57:05-05:00

1
2
3
4
5
6
7

RDAP証拠（IP）
対象: 13[.]112[.]201[.]201
RDAP: https://rdap.arin.net/registry/ip/13.112.201.201
取得日時(UTC): 2026-01-06T15:50:17+00:00
org/name: Amazon Data Services Japan / country:
range: 13.112.0.0 - 13.115.255.255
events: last changed=2016-11-30T06:57:05-05:00 / registration=2016-11-30T06:57:05-05:00

RDAP証拠（IP）対象: 13[.]159[.]203[.]118 RDAP: https://rdap.arin.net/registry/ip/13.159.203.118 取得日時(UTC): 2026-01-06T15:50:17+00:00 org/name: Amazon Data Services Japan / country: range: 13.158.0.0 - 13.159.255.255 events: last changed=2025-04-17T13:52:07-04:00 / registration=2025-04-17T13:52:07-04:00

1
2
3
4
5
6
7

RDAP証拠（IP）
対象: 13[.]159[.]203[.]118
RDAP: https://rdap.arin.net/registry/ip/13.159.203.118
取得日時(UTC): 2026-01-06T15:50:17+00:00
org/name: Amazon Data Services Japan / country:
range: 13.158.0.0 - 13.159.255.255
events: last changed=2025-04-17T13:52:07-04:00 / registration=2025-04-17T13:52:07-04:00

RDAP証拠（IP）対象: 13[.]113[.]0[.]91 RDAP: https://rdap.arin.net/registry/ip/13.113.0.91 取得日時(UTC): 2026-01-06T15:50:17+00:00 org/name: Amazon Data Services Japan / country: range: 13.112.0.0 - 13.115.255.255 events: last changed=2016-11-30T06:57:05-05:00 / registration=2016-11-30T06:57:05-05:00

1
2
3
4
5
6
7

RDAP証拠（IP）
対象: 13[.]113[.]0[.]91
RDAP: https://rdap.arin.net/registry/ip/13.113.0.91
取得日時(UTC): 2026-01-06T15:50:17+00:00
org/name: Amazon Data Services Japan / country:
range: 13.112.0.0 - 13.115.255.255
events: last changed=2016-11-30T06:57:05-05:00 / registration=2016-11-30T06:57:05-05:00

TLS証明書の整合性（引用）

※危険回避のため、ドメイン/IPは [.] 形式で難読化して掲載しています。

TLS証拠対象ホスト: vwhobh[.]cn 解決IP: 104[.]21[.]27[.]29 SNIあり CN: vwhobh[.]cn SNIあり SAN: DNS:vwhobh.cn, DNS:*.vwhobh.cn SNIあり一致判定: match SNIなし: 取得失敗

1
2
3
4
5
6
7

TLS証拠
対象ホスト: vwhobh[.]cn
解決IP: 104[.]21[.]27[.]29
SNIあり CN: vwhobh[.]cn
SNIあり SAN: DNS:vwhobh.cn, DNS:*.vwhobh.cn
SNIあり一致判定: match
SNIなし: 取得失敗

TLS証拠対象ホスト: www[.]saisoncard[.]co[.]jp 解決IP: 13[.]112[.]201[.]201 SNIあり CN: www[.]saisoncard[.]co[.]jp SNIあり SAN: DNS:www.saisoncard.co.jp SNIあり一致判定: match SNIなし CN: www[.]saisoncard[.]co[.]jp SNIなし SAN: DNS:www.saisoncard.co.jp

1
2
3
4
5
6
7
8

TLS証拠
対象ホスト: www[.]saisoncard[.]co[.]jp
解決IP: 13[.]112[.]201[.]201
SNIあり CN: www[.]saisoncard[.]co[.]jp
SNIあり SAN: DNS:www.saisoncard.co.jp
SNIあり一致判定: match
SNIなし CN: www[.]saisoncard[.]co[.]jp
SNIなし SAN: DNS:www.saisoncard.co.jp

フィッシングメールの見分け方

以下のポイントをチェックすることで、フィッシングメールを見分けることができます。

チェックポイント	正規メール	フィッシング
送信元アドレス	公式ドメイン	似ているが違うドメイン
リンク先URL	公式サイト	全く違うドメイン
文面の日本語	自然な文章	機械翻訳のような不自然さ
緊急性の演出	冷静な案内	「24時間以内」など焦らせる
宛名	氏名で呼びかけ	「お客様」など汎用的