フィッシング

2026/4/7

【本人確認】ご利用カードについてのご連絡 ─ セゾンカードを騙るフィッシングメール解析レポート（2026年4月）

2026年4月6日、セゾンカードの名称を騙るフィッシングメールが確認されました。本記事では、受信したメールの技術的な解析結果をもとに、攻撃インフラの詳細・手口の特徴・見分け方を公開します。同様の件名でメールを受信した方、またはリンクにアクセスしてしまった方は、本記事の対処手順を参照してください。

フィッシングメール本文のスクリーンショット — フィッシングメール本文のプレビュー（参考表示・メーラー環境の完全再現ではありません）

概要

見出し

1 概要
2 1. ブランド詐称の構造：「SAISON」表示の裏にある本当の送信元
3 2. メール認証（SPF / DKIM / DMARC）解析
- 3.1 SPF・DKIM「pass」の意味を正確に理解する
- 3.2 技術補足：SPF / DKIM / DMARCとは
4 3. 送信インフラの解析
5 4. 誘導URLの解析
- 5.1 URLパスの偽装分析
- 5.2 多段リダイレクト
6 5. メール本文の分析
7 6. メール本文（全文）
8 7. IOC一覧（Indicators of Compromise）
9 8. このメールを受け取ったら
10 まとめ

項目	内容
件名	【本人確認】ご利用カードについてのご連絡
表示差出人	SAISON
実際の送信元アドレス	oyamadakanuma[@]skunkpianofuzzy[.]fwczcw[.]cn
Return-Path	oyamadakanuma[@]skunkpianofuzzy[.]fwczcw[.]cn
受信日時	2026年4月6日 15:31:38 +0300
メールSHA256	`99b7f7b6aabaf796e5cb4d2131d42440e2191526f370b4e29461f874b12e766e`
なりすましブランド	セゾンカード（finance）
フィッシング判定	確定

1. ブランド詐称の構造：「SAISON」表示の裏にある本当の送信元

このメールの最大の問題は、表示名と実際の送信元アドレスの乖離です。

表示名（From ヘッダ）：SAISON
実際の送信元ドメイン：skunkpianofuzzy[.]fwczcw[.]cn

【観測事実】メールクライアントが受信者に表示する差出人名は “SAISON” ですが、実際のメールアドレスは oyamadakanuma[@]skunkpianofuzzy[.]fwczcw[.]cn というセゾンカードとは無関係のドメインです。一般にセゾンカード（株式会社クレディセゾン）の公式サイトは saison[.]co[.]jp として知られており、このメールの送信元ドメインとは一致しません。

【示唆】多くのメールクライアントはデフォルトで表示名のみを表示するため、実際のアドレスを確認しない受信者はセゾンカードからの正規メールと誤認する可能性があります。攻撃者はこの仕様を意図的に悪用し、著名ブランド名を表示名に設定することで正規メールを装っています。

【総合判断】表示名の詐称・非公式ドメインからの送信・後述する誘導URLの不審性を組み合わせると、本メールはセゾンカードのブランドを騙ったフィッシングメールと確定されます。

2. メール認証（SPF / DKIM / DMARC）解析

認証方式	結果	解説
SPF	pass	送信元ドメイン（`skunkpianofuzzy[.]fwczcw[.]cn`）のSPFとして正規
DKIM	pass	同ドメインのDKIM署名として正規
DMARC	検証結果が付与されていない	受信サーバーでのDMARC評価結果が確認できない状態

SPF・DKIM「pass」の意味を正確に理解する

【観測事実】SPFおよびDKIMはいずれも “pass” を返しています。

【示唆】この「pass」は、セゾンカードの正規ドメインとして認証されたことを意味しません。SPF・DKIMは「メールがFrom/Return-Pathのドメインの正規サーバーから送信されたか」を検証する仕組みです。つまり今回の「pass」は、攻撃者が管理する skunkpianofuzzy[.]fwczcw[.]cn の正規送信者であることを示しているに過ぎず、セゾンカードとの関連性をまったく保証しません。

【総合判断】認証が「pass」であることは、攻撃者がこの詐称ドメインを意図的に整備し、フィルターをすり抜ける準備をしていた証拠でもあります。単一の認証結果だけでフィッシング判断を下すのではなく、From詐称・誘導先URL・送信元IPなどを複合的に評価した結果、本メールはフィッシングと確定しています。

技術補足：SPF / DKIM / DMARCとは

SPF（Sender Policy Framework）：DNSに登録された「このドメインからの送信を許可するIPアドレス一覧」と実際の送信元IPを照合する仕組み。
DKIM（DomainKeys Identified Mail）：送信元ドメインの秘密鍵でメール本文・ヘッダに電子署名を付与し、改ざんを検知する仕組み。
DMARC（Domain-based Message Authentication Reporting and Conformance）：SPFおよびDKIMの結果を組み合わせ、送信元ドメインポリシーに従った処理（隔離・拒否等）を受信側に指示する仕組み。

3. 送信インフラの解析

3-1. 送信元IPアドレス

項目	詳細
IPアドレス	106[.]219[.]71[.]83
国	インド（IN）
組織	IRT-BHARTI-MO-IN（Bharti Airtel Mobile）
CIDR	106[.]219[.]64[.]0/19

【観測事実】送信元IPは、インド最大手の通信事業者 Airtel のモバイルIP帯（CIDR: 106[.]219[.]64[.]0/19）に属します。

【示唆】セゾンカードが一般にメール送信に使用する正規インフラとは異なるIPアドレスからの送信であることが確認できます（公式サイトの送信ドメインポリシーで確認可能）。インドのモバイルIPからの日本向けフィッシングメールは、現地の端末・SIMカードを悪用した送信インフラの可能性があります。

【総合判断】インド発・非公式ドメイン・ブランド詐称の組み合わせは、海外拠点から日本ユーザーを狙う典型的なフィッシングキャンペーンのパターンと合致します。

3-2. 送信日時のタイムゾーン

メールヘッダに記録された送信日時は Mon, 06 Apr 2026 15:31:38 +0300 です。UTC+3は東アフリカ時間（EAT）やモスクワ標準時（MSK）に相当します。送信元IPはインドですが、タイムゾーン設定との不一致は、複数拠点にまたがる送信インフラや、タイムゾーンが手動設定された可能性を示唆しています。

3-3. メーラー

【観測事実】X-Mailer: Zoho Mail が記録されています。

【示唆】Zoho Mailは正規のクラウドメールサービスですが、無料アカウントを悪用したフィッシングメール送信に利用されるケースが一般的に報告されています。今回のケースでも攻撃者がZohoの無料プランまたは低コストプランを悪用して、認証チェックをすり抜けた可能性があります。

4. 誘導URLの解析

項目	詳細
初期URL	hxxps://cnpmjzm[.]cn/F0TdPAytt6[.]biz[.]jp
リダイレクト	2ホップ経由 → hxxps://www[.]b[.]com
現在の状態	停止 / エラー（解析時点）
フィッシングドメイン	cnpmjzm[.]cn

URLパスの偽装分析

【観測事実】フィッシングURLのパス部分は /F0TdPAytt6[.]biz[.]jp となっており、一見「日本のビジネスドメイン」のように見えるファイル名が付与されています。

【示唆】URLのパス名に .biz[.]jp のような文字列を含めることで、URLプレビューを一瞥した受信者に日本の正規ドメインへのリンクと誤認させる視覚的欺瞞の可能性があります。実際にアクセスしているのは cnpmjzm[.]cn（中国ドメイン）であり、パス以降の文字列はホスト名とは無関係です。

多段リダイレクト

【観測事実】初期URLから2ホップのリダイレクトが確認されており、最終的に hxxps://www[.]b[.]com へ到達しています（解析時点では停止状態）。

【示唆】多段リダイレクトはフィッシングキャンペーンで広く使われる手法で、①URLスキャナーによる初期ドメインのブロックを遅延させる、②TDS（Traffic Distribution System）によってアクセス元のIPやUser-Agentに応じてフィッシングページへの誘導・通常ページへの転送を切り替える、という2つの目的に使われることが一般的に知られています。本解析時点で誘導先が停止しているのは、TDSによるアクセス制御が有効になっているためと推測されます。

【総合判断】中国ドメイン（[.]cn）のフィッシングサーバー・URLパスによる視覚的欺瞞・多段リダイレクトTDSの複合構造は、組織的に整備された攻撃インフラの特徴と合致します。

5. メール本文の分析

5-1. テンプレート混入の痕跡

【観測事実】メール本文の冒頭に DHL Express - 通関手続きが必要です という文言が含まれており、その直後にセゾンカードの文面が続いています。

【示唆】これは異なるフィッシングキャンペーン（宅配業者なりすまし）のテンプレートが誤って混入した可能性が高く、攻撃者が複数ブランドのフィッシングテンプレートを管理・流用していることを示唆しています。この混入自体が本メールの不審性を高める追加証拠の一つです。

5-2. 典型的な詐欺的誘導手法

メール本文は以下の心理的誘導パターンを使用しています：

権威の演出：「セキュリティ強化の一環」という表現でセゾンカードからの公式手続きであるかのように見せる
緊急性の創出：「本メール受信から24時間以内にお手続きください」という期限設定で冷静な判断を妨げる
不作為への脅迫：「期限を過ぎますと一部機能が制限される場合がございます」というペナルティの示唆
正規リンクの並記：「お心当たりのない場合は公式サイトよりご連絡ください」として hxxps://www[.]saison[.]co[.]jp/ を記載し、信頼性を演出

5-3. 文字コードの特徴

Content-Type charset: iso-2022-jp・Subject encoding: iso-2022-jpが設定されています。日本語環境向けに適切な文字コードが設定されており、日本人受信者を標的とした専用テンプレートが使用されていることが確認できます。

6. メール本文（全文）

DHL Express – 通関手続きが必要です【セゾンカード】本人確認のお願い平素よりセゾンカードをご利用いただき誠にありがとうございます。現在、セキュリティ強化の一環としてご本人様確認をお願いしております。下記より認証ページへアクセスの上、必要な情報をご入力ください。 🔒 認証手続きを行う【ご注意】本メール受信から24時間以内にお手続きください。期限を過ぎますと一部機能が制限される場合がございます。万が一お心当たりのない場合は、公式サイトよりご連絡をお願いいたします。 ■ お問い合わせ専用フォームよりご連絡ください： hxxps://www[.]saison[.]co[.]jp/ 本メールは送信専用です。返信には対応しておりません。 © 2025 SAISON CARD Co., Ltd. All rights reserved.

注意：上記URLはフィッシング解析のため難読化表示しています。アクセスしないでください。本文中のリンク（「認証手続きを行う」ボタン）の誘導先は cnpmjzm[.]cn 上のフィッシングサーバーです。

7. IOC一覧（Indicators of Compromise）

メール識別子

種別	値
SHA256	`99b7f7b6aabaf796e5cb4d2131d42440e2191526f370b4e29461f874b12e766e`
件名	【本人確認】ご利用カードについてのご連絡
差出人アドレス	oyamadakanuma[@]skunkpianofuzzy[.]fwczcw[.]cn
Return-Path	oyamadakanuma[@]skunkpianofuzzy[.]fwczcw[.]cn

ネットワークIOC

種別	値	役割
送信元IP	106[.]219[.]71[.]83	フィッシングメール送信元（インド / Airtel Mobile）
CIDR	106[.]219[.]64[.]0/19	Airtel Mobileモバイルネットワーク
フィッシングURL	hxxps://cnpmjzm[.]cn/F0TdPAytt6[.]biz[.]jp	初期誘導先（中国ドメイン）
リダイレクト先	hxxps://www[.]b[.]com	最終誘導先（解析時点で停止）
詐称メール送信ドメイン	skunkpianofuzzy[.]fwczcw[.]cn	攻撃者管理ドメイン
フィッシングドメイン	cnpmjzm[.]cn	フィッシングサーバーホスティングドメイン

PhishTank登録状況

hxxps://cnpmjzm[.]cn/F0TdPAytt6[.]biz[.]jp ── 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

8. このメールを受け取ったら

リンクをクリックしていない場合

メールを開封したままにせず、迷惑メールとして報告して削除する
セゾンカードの公式サイト（ブラウザで直接アドレスを入力）にアクセスし、アカウント状態を確認する
カード会社から連絡が必要な場合、カード裏面の電話番号または公式サイト記載の問い合わせ窓口を利用する

リンクをクリックした・情報を入力した場合

即時：セゾンカードの公式カスタマーセンターに電話し、フィッシングサイトに誘導された旨を報告する
即時：カードの利用停止・再発行を依頼する
入力した情報に応じて：ネットバンキングのパスワードや他サービスへの不正アクセスを確認・変更する
被害が発生した場合：最寄りの警察署またはサイバー犯罪相談窓口に被害届を提出する

見分け方のまとめ

確認ポイント	本物の見分け方	今回の詐欺メールの特徴
差出人ドメイン	公式ドメイン（例: `saison[.]co[.]jp`）から送信	`fwczcw[.]cn` という無関係の中国ドメイン
リンク先ドメイン	公式ドメインのURL	`cnpmjzm[.]cn`（中国ドメイン）
メール本文の整合性	一貫したブランドの文面	冒頭に「DHL Express」の記述が混入
緊急性の強調	過度な期限設定はしない	「24時間以内」「機能制限」の脅迫的表現

検出されたドメイン・URL一覧

ドメイン	区分	状態	検出方法	登録情報
`cnpmjzm.cn`	入口URL	停止/エラー	メール本文	–
`www[.]b[.]com`	最終遷移先	停止/エラー	リダイレクト追跡	–

まとめ

本メールは、表示名詐称・攻撃者管理ドメインからの送信・中国サーバーへの多段リダイレクト誘導・心理的緊急性の演出という複数の証拠に基づき、セゾンカードになりすましたフィッシングメールと確定されています。SPF・DKIMが「pass」であることは、攻撃者が自身のドメインを正規設定した証拠であり、安全性の根拠にはなりません。メールの件名・文面だけで判断せず、リンクをクリックする前に必ず差出人アドレスとURLのドメインを確認する習慣をつけることが重要です。