フィッシング

2026/4/1

【注意喚起】セゾンカードを装ったフィッシングメール「会員情報のご確認のお願い（4月2日まで）」を確認

注意: 本記事は自動解析で収集できた証拠が限定的です。追加の技術検証が推奨されます。

⚠ フィッシング判定：確定｜証拠強度：PhishTank検証済み含む複合根拠

概要

見出し

1 概要
2 1. メール認証解析：From ドメインと送信元の乖離
3 2. 送信元インフラ解析
4 3. URL 解析・リダイレクトチェーン
- 4.1 3-1. メール本文中のリンク先
- 4.2 3-3. nghea[.]com のリダイレクトチェーン
5 4. 誘導先ドメイン登録情報
- 5.1 nghea[.]com の WHOIS 情報
6 5. フィッシング手口の解説
7 6. フィッシングと判断した根拠（総合評価）
8 7. 対処方法
- 8.1 このメールを受け取ったら
- 8.2 企業・セキュリティ担当者向け
9 8. IOC 一覧
10 9. メール本文（全文）

2026年4月1日、セゾンカード（株式会社クレディセゾン）を装ったフィッシングメールの着弾が確認された。差出人アドレスは公式ドメインと異なる第三者ドメインを使用しており、メール本文中のリンクはPhishTankにより検証済みフィッシングURLとして登録されている。

本記事では、実際に受信したメールの解析結果を証拠付きで公開し、手口・インフラ・対処方法を解説する。

基本情報
件名	【要ログイン】セゾンカード会員情報のご確認のお願い（4月2日まで）
差出人（表示）	セゾンカード <noreply[@]mail33[.]dkwtp[.]com>
Return-Path	<noreply-info=ccsi[.]jp[@]mail33[.]dkwtp[.]com>
受信日時	2026年4月1日（水）17:44:39 +0900
なりすまし対象	セゾンカード（株式会社クレディセゾン）
EMLハッシュ（SHA256）	6702b02187b500e79871d158d254fbe878e8d181a8d46e16867ec90b272a8389

1. メール認証解析：From ドメインと送信元の乖離

1-1. 送信元ドメインの偽装

【観測事実】 差出人欄（From）の表示名は「セゾンカード」だが、送信元ドメインは mail33[.]dkwtp[.]com である。セゾンカードの公式サイトは一般に saisoncard[.]co[.]jp として知られており、dkwtp[.]com とは無関係な第三者ドメインである。

【示唆】 正規の金融機関が会員向けメールを送信する場合、From ドメインと公式ドメインは一致するのが一般的である。今回の差出人ドメイン dkwtp[.]com はセゾンカードとの関連が確認されておらず、ブランド詐称の可能性を強く示唆する。

1-2. Return-Path の構造

【観測事実】 Return-Path は noreply-info=ccsi[.]jp[@]mail33[.]dkwtp[.]com であった。ccsi[.]jp が = 以降のローカルパート内に埋め込まれた形式は、バウンスメール処理（VERP：Variable Envelope Return Path）と外見上類似している。ただし本件では、エンベロープ送信ドメインが依然として非公式の mail33[.]dkwtp[.]com であることに変わりはない。

【示唆】 VERP 形式の Return-Path は正規の配信システムでも用いられるため、この形式単独での判断は行わない。しかし送信ドメインが非公式である事実は、他の証拠と組み合わせる上での補助的指標となる。

1-3. SPF / DKIM / DMARC

認証方式	結果	解説
SPF	pass	`mail33[.]dkwtp[.]com` の SPF レコードが送信 IP を許可していた。これは「セゾンカードの正規サーバーからの送信」を意味するのではなく、「非公式ドメインの送信設定が整っていた」ことを意味するに過ぎない。
DKIM	pass	署名が検証された。これは「正規の送信者」を意味せず、「攻撃者が `dkwtp[.]com` の秘密鍵を保有している」ことのみを示す。
DMARC	検証結果が付与されていない	受信ヘッダに DMARC 検証結果の付与が確認されなかった。DMARC は SPF/DKIM のアライメント（From ドメインとの一致）を検証する仕組みであり、今回のような From ドメイン詐称の検出に有効な指標である。

技術解説：SPF・DKIM pass はフィッシング否定の根拠にならない
SPF・DKIM が pass でも、検証対象は差出人表示名（From）ではなくエンベロープ送信ドメイン（mail33[.]dkwtp[.]com）である。攻撃者が自分で登録・管理するドメインに SPF レコードと DKIM 秘密鍵を設定すれば、両者を容易に pass させることができる。正規ブランドを騙る際の常套手段の一つである。

【総合判断】 From 表示名はセゾンカードだが、実際の送信ドメイン・Return-Path は非公式の mail33[.]dkwtp[.]com であり、ブランド詐称が確認済みである。SPF・DKIM の pass は攻撃者が自ドメインの設定を整えた結果に過ぎず、正当性の証明にはならない。

2. 送信元インフラ解析

送信元 IP	35[.]200[.]25[.]165
IP 帯域（CIDR）	35[.]192[.]0[.]0/12
登録組織	Google LLC

【観測事実】 送信元 IP 35[.]200[.]25[.]165 は、RDAP 照会により Google LLC が管理する CIDR 35[.]192[.]0[.]0/12 に属することが確認された。

【示唆】 Google Cloud Platform（GCP）等のクラウドサービスは、一般に誰でもサーバーを借りられるパブリックインフラである。攻撃者が GCP 上にスパム送信サーバーを構築した場合、送信元 IP が Google LLC に帰属する状況が生じる。これは Google が攻撃に加担していることを意味しない。

3. URL 解析・リダイレクトチェーン

3-1. メール本文中のリンク先

メール本文には以下の URL が含まれていた。

URL（難読化済み）	状態	備考
hxxps://www[.]saisoncard[.]co[.]jp/update	停止/エラー	本文中の「ログイン」ボタン先として記載。
hxxps://www[.]saisoncard[.]co[.]jp/	稼働中	カスタマーセンターリンクとして記載。
hxxps://nghea[.]com/GRL1QEWc9l	停止/エラー	2ホップリダイレクト経由で `hxxps://www[.]a[.]com` へ誘導。本記事公開時点で応答なし。

技術解説：サイトクローニング手法について
フィッシングサイトの典型的な手法として、正規サイトの HTML を丸ごとコピーし、別のサーバーで公開する「サイトクローニング」がある。ページタイトルや外観が正規サイトと一致していても、アクセス先の実態が異なる場合、入力した認証情報は攻撃者のサーバーへ送信される。今回はソース内に中国語コメントが検出されており、クローニングツールや第三者テンプレートが使用された可能性を示唆する（可能性）。ただし「中国語コメント＝中国拠点」と断定するものではなく、あくまで参考指標として提示する。

3-3. nghea[.]com のリダイレクトチェーン

hxxps://nghea[.]com/GRL1QEWc9l
  ↓ hop 1
  （中間リダイレクト）
  ↓ hop 2
hxxps://www[.]a[.]com
  ↓
停止/エラー（本記事公開時点）

hxxps://nghea[.]com/GRL1QEWc9l

↓ hop 1

（中間リダイレクト）

↓ hop 2

hxxps://www[.]a[.]com

↓

停止/エラー（本記事公開時点）

【観測事実】 nghea[.]com/GRL1QEWc9l は 2ホップのリダイレクトを経て hxxps://www[.]a[.]com へ誘導することが確認された（確認済み）。本記事公開時点では当該 URL は応答しない。

【示唆】 多段リダイレクトはフィッシングキャンペーンで広く使われる手法であり、最終誘導先を頻繁に差し替えることでセキュリティフィルターを回避しやすくなる。中継ドメインを使うことで、メール本文中に最終フィッシングページの URL が直接現れないため、URLフィルターによる検出を困難にする。

4. 誘導先ドメイン登録情報

nghea[.]com の WHOIS 情報

ドメイン	nghea[.]com
レジストラ	Gname[.]com Pte. Ltd.
登録日	2023年5月10日
ドメイン年齢	1,057日（解析時点）
ネームサーバー	ernest[.]ns[.]cloudflare[.]com megan[.]ns[.]cloudflare[.]com

【観測事実】 nghea[.]com は Gname[.]com Pte. Ltd. を通じて2023年5月10日に登録されており、Cloudflare をネームサーバーとして使用している。

【示唆】 Cloudflare のネームサーバー使用は攻撃者のインフラ隠蔽において一般的に利用される手法である。Cloudflare のリバースプロキシを通すことで、実際のオリジンサーバーの IP アドレスが直接露出しにくくなる。ドメイン年齢が約3年あることから、このドメインは今回初めて登録されたものではなく、既存のドメインが流用または転売された可能性がある（可能性）。

5. フィッシング手口の解説

手口①：期限による焦りの誘発

メール本文には「2026年4月2日までにログインいただけない場合、一部サービスのご利用が制限される」という文言が含まれる。受信翌日に期限を設定することで、受信者が冷静に判断する余裕を奪う典型的な心理誘導である。正規の金融機関からの案内では、このような極端に短い期限を設定することは一般的でない。

手口②：実在するポイント残高への言及

「お客様の口座には 9,874ポイントの永久不滅ポイントがございます」という具体的な数字の記載は、受信者に「自分の個人情報を知っている正規の連絡」と錯覚させるための手法である。この数字は実際の残高と無関係な固定値である可能性が高い（可能性）。

手口③：多段リダイレクトによる検出回避

nghea[.]com を経由した2ホップリダイレクトにより、メール本文中に最終フィッシングページの URL を直接記載しない構造になっている。メールセキュリティフィルターによる URL ブロックを困難にする手法である。

6. フィッシングと判断した根拠（総合評価）

以下の複合的な根拠からフィッシングと確定判断する。

送信元ドメイン詐称（確認済み）：From に表示された「セゾンカード」とは無関係の mail33[.]dkwtp[.]com から送信。セゾンカードの公式送信ドメインとの一致は確認されていない。
ソース内中国語コメントの検出（確認済み）：誘導先ページの HTML ソースから中国語コメントが検出された。正規の金融機関サイトに中国語コメントが埋め込まれている合理的な理由は確認されておらず、クローニングまたは第三者ツール使用の可能性を示唆する（可能性）。
メール内容による心理的誘導（確認済み）：翌日期限の設定、実在ブランド名「永久不滅ポイント」の言及、ポイント残高の具体的数値提示による信頼性偽装が確認された。
非公式ドメインからの GCP 経由送信（確認済み）：送信元 IP 35[.]200[.]25[.]165（Google LLC、CIDR 35[.]192[.]0[.]0/12）はクラウドサービスの VPS と推定され、正規の金融機関が自社送信インフラとして使用することは一般的でない。

7. 対処方法

このメールを受け取ったら

リンクは絶対にクリックしない。 「4月2日まで」等の期限付き文言は焦りを誘う典型的な手口であるため、焦らず一旦立ち止まること。
メール内の URL からではなく、ブラウザのブックマークや検索エンジンから直接アクセスする。 セゾンカードの公式サイトへのアクセスは、メール内のリンクを経由せず、ご自身で確認した公式 URL を使用すること。
ポイント残高の確認は公式アプリ・公式サイトで行う。 メール記載の「9,874ポイント」という数字は実際の残高と無関係の可能性がある。
入力してしまった場合はただちにパスワード変更と不正利用確認を行う。 セゾンカードのカスタマーセンターへの連絡も推奨する。

企業・セキュリティ担当者向け

本記事記載の IOC（ドメイン・IP）をメールフィルタ・WAF のブロックリストへ追加することを推奨する。
nghea[.]com の Cloudflare ネームサーバー使用については、Cloudflare のフィッシング報告窓口への通報を推奨する。
PhishTank 未登録の URL（nghea[.]com/GRL1QEWc9l 等）については、当社にて登録申請を行う。

8. IOC 一覧

メール送信インフラ

種別	値
差出人ドメイン	mail33[.]dkwtp[.]com
Return-Path ドメイン	mail33[.]dkwtp[.]com
送信元 IP	35[.]200[.]25[.]165
送信元 CIDR	35[.]192[.]0[.]0/12（Google LLC）

誘導先 URL・ドメイン

種別	値	状態
リダイレクト中継 URL	hxxps://nghea[.]com/GRL1QEWc9l	停止
最終リダイレクト先	hxxps://www[.]a[.]com	停止

PhishTank 登録状況

URL	登録状況
hxxps://nghea[.]com/GRL1QEWc9l	本記事公開時点で PhishTank には未登録。当社にて登録申請を行う。

EML ハッシュ

アルゴリズム	ハッシュ値
SHA256	6702b02187b500e79871d158d254fbe878e8d181a8d46e16867ec90b272a8389

9. メール本文（全文）

お客様各位
平素よりセゾンカードをご利用いただき、誠にありがとうございます。
━━━━━━━━━━━━━━━━━━━━

■ 会員情報のご確認について

━━━━━━━━━━━━━━━━━━━━
お客様の会員情報につきまして、長期にわたりログインがない状態が続いております。
2026年4月2日 までにログインいただけない場合、セキュリティ保持の観点から、一部サービスのご利用が制限される可能性がございます。
※一定期間ログインがない場合、事前にご確認のお知らせを送信しております
━━━━━━━━━━━━━━━━━━━━

■ お客様の永久不滅ポイントについて

━━━━━━━━━━━━━━━━━━━━
お客様の口座には 9,874ポイント の永久不滅ポイントがございます。
ログインいただくことで、これらのポイントは引き続きご利用いただけます。
永久不滅ポイントは有効期限がなく、1ポイント最大5円相当で、商品やギフトカードへの交換、ご請求額への充当などにお使いいただけます。
━━━━━━━━━━━━━━━━━━━━

■ ログイン方法

━━━━━━━━━━━━━━━━━━━━
会員情報のご確認および各種サービスの継続ご利用には、下記公式サイトよりログインをお願いいたします。
▼ セゾンカード ログイン

hxxps://www[.]saisoncard[.]co[.]jp/update
※ 「現在、ログインはSAISON IDのみとさせていただいております」
━━━━━━━━━━━━━━━━━━━━

■ セゾンカード会員さま向けサービス

━━━━━━━━━━━━━━━━━━━━
ログイン後は、以下のようなサービスをご利用いただけます。
ご利用明細の確認

永久不滅ポイントの確認交換

会員限定キャンペーンのご利用

各種お手続きのオンライン完了
━━━━━━━━━━━━━━━━━━━━

■ ご注意事項

━━━━━━━━━━━━━━━━━━━━
ログインが確認できない場合、会員限定サービスの一部が制限されることがございます

本メールは送信専用のため、ご返信いただいてもお答えできません

ご不明な点は、セゾンカード カスタマーセンターまでお問い合わせください
━━━━━━━━━━━━━━━━━━━━
セゾンカード カスタマーセンター

hxxps://www[.]saisoncard[.]co[.]jp/
v92iA2iz