フィッシング

2026/4/3

【フィッシング注意喚起】「【重要：SAISON】2026年度ご優待特典（20,000円分）の受取手続きについて」はフィッシング詐欺メールです

クレディセゾン（SAISON）を装い、20,000円のキャッシュバック特典受取を促すフィッシングメールが2026年4月3日に確認されました。メール認証の複合的失敗、差出人ドメインと返信先ドメインの不整合、およびTDS（Traffic Direction System）を使った多段リダイレクト型攻撃インフラの存在を確認しており、フィッシング詐欺と確定しています。本記事では解析結果を証拠付きで公開し、被害防止に役立てます。

フィッシングサイトのスクリーンショット — 誘導先サイトのスクリーンショット（解析時点）

メール概要

見出し

1 メール概要
2 メール認証解析
3 送信元解析
- 3.1 差出人ドメインの偽装
- 3.2 送信元IPアドレス
4 URL・インフラ解析
5 メール本文（全文）
- 5.1 本文に見られる典型的な詐欺手口
6 正規メールとの見分け方
7 対処方法
8 IOC一覧（Indicators of Compromise）

件名	【重要：SAISON】2026年度ご優待特典（20,000円分）の受取手続きについてNo[.]90925001
表示上の差出人	株式会社クレディセゾン <info[@]jreast[.]co[.]jp>
Return-Path（実際の返信先）	support[@]calipatriaca[.]com
受信日時	2026年4月3日（金）19:36:18 +0900
なりすましブランド	クレディセゾン（SAISON）
フィッシング判定	確定
SHA256（メールファイル）	`e4b10a1b4774af788d8d8ae4a137b8057519c533739c800369c53913d6797394`

メール認証解析

現代のメール配信システムには、送信元の正当性を検証するためにSPF・DKIM・DMARCという3つの認証技術が用いられています。正規の企業は通常これらすべてを適切に設定し、受信者のメールサーバーが「このメールは本物だ」と確認できるようにしています。

SPF（Sender Policy Framework）

観測事実: 結果: softfail。実際の送信IPアドレス（34[.]101[.]131[.]92）は、差出人として表示されている jreast[.]co[.]jp のSPFレコードに含まれていない。
示唆: SPF softfailとは「このIPからの送信は許可されていないが、強制拒否はしない」という状態です。送信元IPが jreast[.]co[.]jp（JR東日本のドメイン）の正規送信サーバーではないことを示唆しています。

DMARC

観測事実: 結果: fail。DMARCはSPFまたはDKIMのいずれかが「差出人ドメインと一致した形で」パスすることを要求しますが、今回はその条件を満たしていません。
示唆: DMARCはSPFとDKIMを統合した認証フレームワークです。DMARC failは、このメールが表示上の差出人ドメインの正規サーバーから送信されたものではないことを示す強い指標です。

DKIM（DomainKeys Identified Mail）

観測事実: 今回の解析ではDKIMの検証結果が付与されていない状態を確認しています。
示唆: DKIMは送信ドメインが電子署名によってメールの内容を保証するものです。検証結果が付与されていないため、内容の正当性を署名で確認することができません。

認証の総合判断

SPF softfail・DMARC fail・DKIM検証結果なし、という3つの認証問題が重なっています。加えて、後述する差出人ドメインとReturn-Pathドメインの不整合を合わせると、このメールが正規の送信元から届いたものではないことが強く示唆されます。

送信元解析

差出人ドメインの偽装

観測事実: メールの「差出人（From）」フィールドには info[@]jreast[.]co[.]jp が設定されている。しかし、メールの実際の返信先を示す「Return-Path」は support[@]calipatriaca[.]com となっており、両者は完全に異なるドメインを使用している。
示唆: jreast[.]co[.]jp はJR東日本（東日本旅客鉄道株式会社）として一般に知られているドメインであり、クレディセゾンの公式ドメインとは無関係です。フィッシングメールでは、受信者が一目で不審に思わないよう、実在する有名企業のドメインを「見た目上の差出人」に偽装する手法が多用されます。Return-Pathに設定された calipatriaca[.]com が実際の送信インフラに関わるドメインと考えられます。

送信元IPアドレス

観測事実: 送信元IPアドレス: 34[.]101[.]131[.]92
示唆: このIPアドレスは、解析時点でGoogle Cloud Platform（GCP）のアジア太平洋リージョンに割り当てられているIPアドレス帯域に属しています。クラウドサービスのIPアドレスは攻撃者が容易に取得・破棄でき、スパムフィルターの回避に悪用されることが一般的に知られています。クレディセゾン（SAISON）の公式メール配信インフラとは無関係なIPアドレスです。

URL・インフラ解析

TDS（Traffic Direction System）検出 — 最重要

今回のフィッシングメールでは、TDS（Traffic Direction System：トラフィック誘導システム）と呼ばれる高度な攻撃インフラが使われていることを確認しています。

TDSとは、アクセス元のIPアドレス、ユーザーエージェント、地域情報、アクセス時刻などを判定し、標的と判断した場合は本物のフィッシングサイトへ、セキュリティ研究者やボットと判断した場合は無害なサイトへリダイレクトするシステムです。これにより、自動スキャナーによるブラックリスト登録を回避しながら標的だけを詐欺サイトに誘導します。

観測事実

メール内のリンクURL: hxxps://www[.]hitchandarrow[.]com/?claim=oPhNawRmj8RMisRuweFDGqme
アクセス時のページ表示: “Checking your browser”（ブラウザ確認画面）
サーバー: Cloudflare
TDS中継ドメイン（確認済み）: www[.]hitchandarrow[.]com
観測された最終リダイレクト先ドメイン群: login[.]chuskymuski[.]com および www[.]chuskymuski[.]com
URLパラメータ claim=oPhNawRmj8RMisRuweFDGqme は標的識別用トークンと見られます

示唆

“Checking your browser” という表示はCloudflareのBot対策画面に似せた偽の確認画面であり、アクセスしてきた相手がセキュリティ機器か人間かを判別するためのふるまい検査です。人間と判断された場合のみ本物のフィッシングページへ転送されます。アクセスのたびに異なる最終ドメインへ誘導されるため、URLのブラックリスト化が困難な構造になっています。

総合判断

TDSの検出、複数の最終ドメインへの動的リダイレクト、URLパラメータによる標的追跡の三要素が揃っており、一般的なフィッシングキットではなく、回避能力を持つ組織的な攻撃インフラが背後にあると評価されます。

インフラ構成の全体像

[フィッシングメール]
        ↓ クリック
hxxps://www[.]hitchandarrow[.]com/?claim=oPhNawRmj8RMisRuweFDGqme
  （TDS中継 / Cloudflare配下 / "Checking your browser"）
        ↓ 人間と判定された場合のみリダイレクト
  ┌─────────────────────────────┐
  │ login[.]chuskymuski[.]com  │
  │ www[.]chuskymuski[.]com    │ ← アクセスごとに動的選択
  └─────────────────────────────┘
  （クレディセゾン Netアンサーを模したフィッシングサイト）

[フィッシングメール]

↓ クリック

hxxps://www[.]hitchandarrow[.]com/?claim=oPhNawRmj8RMisRuweFDGqme

（TDS中継 / Cloudflare配下 / "Checking your browser"）

↓ 人間と判定された場合のみリダイレクト

┌─────────────────────────────┐

│ login[.]chuskymuski[.]com │

│ www[.]chuskymuski[.]com │ ← アクセスごとに動的選択

└─────────────────────────────┘

（クレディセゾン Netアンサーを模したフィッシングサイト）

PhishTank照会結果

本記事公開時点で、hxxps://www[.]hitchandarrow[.]com/?claim=oPhNawRmj8RMisRuweFDGqme はPhishTankには未登録です。当社にて登録申請を行います。

メール本文（全文）

以下が実際にフィッシングメールとして送付された本文の全文です。検索でたどり着いた方の確認用に全文を掲載します。

セゾンカードメンバーズ限定告知 [受信者] 様

いつもセゾンカードをご利用いただき、誠にありがとうございます。

この度、2026年度のサービス更新に伴い、日頃からカードをご愛用いただいている会員様へ「特別感謝キャッシュバック」をご進呈いたします。

＼本メール受信者様限定 [/]
20,000円分
（Netアンサーログイン後に反映）

■ 特典種別：2026春季特別キャッシュバック
■ 受取期限：本通知から 48時間以内
■ 反映時期：手続き完了の翌月末

以下の「ログインして受け取る」ボタンより、Netアンサーへログインし、お手続きを完了させてください。

ログインして受け取る

※期限を過ぎますと、特典の受取権利が失効いたしますのでご注意ください。

【お問い合わせ先】
株式会社クレディセゾン
[住所] サンシャイン60
[電話番号]（24时间対応）

※本メールは、Netアンサーにご登録いただいているお客様にお送りしています。

Copyright (C) 2026 Credit Saison Co., Ltd. All rights reserved. 1930L9

本文に見られる典型的な詐欺手口

緊急性の演出: 「受取期限：本通知から48時間以内」「期限を過ぎますと特典が失効」 — 時間的プレッシャーをかけて冷静な判断を奪います
高額報酬による誘引: 「20,000円分キャッシュバック」 — 実際には存在しない特典で行動を促します
住所・電話番号の省略: 本文中の住所・電話番号は具体的な情報が記載されておらず、正規企業のメールとしては不自然です
受信者名の欠落: 「[受信者] 様」と記載されており、個人名が差し込まれていません。正規のクレディセゾンからのメールには会員氏名が記載されることが一般に知られています
電話番号表記の混在: 「24时间対応」と繁体字（时）が混入しており、日本語として不自然な表記が含まれています

正規メールとの見分け方

差出人アドレスを確認する

クレディセゾンの公式サービスドメインは、公式サイトで確認できます。今回のメールの差出人 info[@]jreast[.]co[.]jp はJR東日本のドメインであり、クレディセゾンとは無関係です。また、たとえ差出人表示が正規ドメインに見えたとしても、後述するReturn-Pathも確認することが重要です。

リンク先URLを確認する（クリック前に）

正規の「Netアンサー」のURLはクレディセゾン公式サイトで案内されているドメインを使用しています。今回のリンク先は hitchandarrow[.]com という、クレディセゾンとは無関係のドメインです。マウスオーバーなどでリンク先を確認し、見覚えのないドメインへは絶対にアクセスしないでください。

TDS型攻撃への注意

TDSを使った攻撃では、リンク先が一見「正常に見えるページ」や「エラーページ」として表示される場合があります。「Checking your browser」のような画面が表示された場合は特に注意が必要です。これはフィッシングサイトに誘導されていないことの証明にはなりません。

対処方法

このメールを受け取った場合

メール内のリンクには絶対にアクセスしないこと。 今回の攻撃はTDSを使っており、アクセスするだけで標的と認識される可能性があります。
メールを削除する。
クレディセゾンのサービスについて確認が必要な場合は、ブラウザのアドレスバーに直接公式URLを入力するか、ブックマークからアクセスしてください。

リンクをクリックしてしまった場合

IDとパスワードを入力した場合は、直ちにクレディセゾン公式サイトまたは公式アプリからパスワードを変更してください。
同じパスワードを他のサービスでも使用している場合は、それらのサービスのパスワードも変更してください（パスワードの使い回しは危険です）。
クレジットカード番号や個人情報を入力した場合は、クレディセゾンのカスタマーサービスに連絡し、カードの利用停止を依頼してください。
被害が発生した場合は、最寄りの警察署または消費者ホットライン（188）に相談してください。

セキュリティ研究者・システム管理者の方へ

以下のIOC一覧に掲載されているドメインおよびIPアドレスについて、ファイアウォールルールやDNSフィルタリングへの追加をご検討ください。TDS中継ドメインおよび最終リダイレクト先ドメインの双方をブロック対象とすることを推奨します。

IOC一覧（Indicators of Compromise）

メール関連

種別	値	備考
SHA256（メール）	`e4b10a1b4774af788d8d8ae4a137b8057519c533739c800369c53913d6797394`	確認済み
From（偽装）	`info[@]jreast[.]co[.]jp`	JR東日本ドメインへの偽装（確認済み）
Return-Path	`support[@]calipatriaca[.]com`	実際の送信インフラ関連ドメイン（確認済み）
送信元IP	`34[.]101[.]131[.]92`	確認済み

URL・ドメイン

種別	値	備考
フィッシングURL（TDS中継）	`hxxps://www[.]hitchandarrow[.]com/?claim=oPhNawRmj8RMisRuweFDGqme`	確認済み・稼働中
TDS中継ドメイン	`www[.]hitchandarrow[.]com`	確認済み
最終リダイレクト先1	`login[.]chuskymuski[.]com`	確認済み（今回観測）
最終リダイレクト先2	`www[.]chuskymuski[.]com`	確認済み（今回観測）

PhishTank登録状況

本記事公開時点で hxxps://www[.]hitchandarrow[.]com/?claim=oPhNawRmj8RMisRuweFDGqme はPhishTankには未登録です。当社にて登録申請を行います。

メール認証サマリ

認証種別	結果
SPF	softfail
DKIM	検証結果付与なし
DMARC	fail

検出されたドメイン・URL一覧

ドメイン	区分	状態	検出方法	登録情報
`www[.]hitchandarrow[.]com`	入口URL	稼働中	メール本文	–
`www[.]chuskymuski[.]com`	TDS到達先	稼働中（TDS先）	ブラウザ観測	–
`login[.]chuskymuski[.]com`	TDS到達先	稼働中（TDS先）	ブラウザ観測	–