【危険】『老ユーザー様限定特別企画のご案内』メール、実例と見分け方
★詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
最近、恋活・婚活マッチングアプリ「Pairs」に成りすます怪しく危険なメールをよく見かけますよね。
今日もしれ~っと「2026年 新年特別企画のご案内」とされるメールが私のもとに届いています。
今回は、そんな Pairs に成り済ます不審なメールのご紹介となります。
では、詳しく見ていくことにしましょう。
あっと、その前に!
これらのメールは開いただけなら被害に遭うことはありませんので先にお伝えしておきますね!
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 老ユーザー様限定特別企画のご案内22:27:14
送信者: “新年限定" <admin@s2pk0wx.top>
【Pairs公式】既存会員様限定|2026年 新年特別企画のご案内
会員の皆様へ
いつもPairsをご利用いただき、誠にありがとうございます。
2026年の新しい一年を迎えるにあたり、
長くご愛顧いただいている既存会員様へ、
新年限定の特別企画をご案内いたします。
本企画は、現在Pairsをご利用中の会員様を対象としており、
ログイン後、会員専用ページから詳細の確認やお申し込みが可能です。
🎍 2026年 新年・既存会員様向け企画内容(抜粋)
- 既存会員様限定の新年特典のご案内
- 期間限定の優待コンテンツの提供
- 会員様限定企画への参加受付
- 今後のサービスに関する最新情報のご案内
※表示内容は会員様の利用状況により異なる場合があります。
📝 お申し込み方法
- Pairsにログイン
- 会員専用ページへアクセス
- 内容を確認し、対象の場合はそのままお申し込み
手続きは簡単で、短時間で完了いたします。
⏰ 受付期限
2026年1月21日(月)23:59まで
▼ 既存会員様専用ページ
h**ps://pairs.lv.hua-lao.com
※本企画は既存会員様限定です。
※詳細はログイン後に表示される画面でご確認ください。
2026年も、会員様一人ひとりのご縁を大切に、
安心してご利用いただけるサービスの提供に努めてまいります。
今後ともPairsをよろしくお願い申し上げます。
Pairs運営チーム
↑↑↑↑↑↑
本文ここまで
※本記事は注意喚起目的で掲載しています
いくら私が還暦だと言っても件名の冒頭に「老」と書くのはあまりにも失礼ですよね!💦💦
結論から書くと、そのメールはPairs公式を装った「フィッシング詐欺」の可能性が非常に高いです。
その理由と対処法を整理します。
不審・危険なポイント
- 送信元ドメインが公式と無関係
表示名は【Pairs公式】ですが、実際の送信元は「admin@s2pk0wx.top」で Pairs の公式ドメインではありません。
Pairs公式は通常「@pairs.lv」や「@eure.jp」など、企業として一貫したドメインを使用します。 - 内容が曖昧で具体性がない
「特別企画」「限定特典」など抽象的。
何がもらえるのか、条件は何かが一切書かれていない。
「ログイン後に確認」という流れでID・パスワード入力を誘導する典型例。 - 締め切りで不安を煽っている
「本日23:59まで」など、極端に短い期限を設定して冷静な判断を失わせるのは詐欺の常套手段です。 - 不自然な日本語・件名
件名:老ユーザー様限定特別企画のご案内22:27:14
→ 「老」:日本の企業メールではまず使わない表現
→ 時刻が件名に入っているのも不自然
推奨される対応
- リンクを絶対にクリックしない すでにクリックしてしまった場合でも、メールアドレス、パスワード、クレジットカード情報などは絶対に入力しないでください。
- メールを削除・ブロックする このメールは無視して削除して問題ありません。
- 公式サイトから確認する もし本当にキャンペーンがあるか気になる場合は、メールのリンクからではなく、普段使っているPairsのアプリや、ブラウザのブックマーク(公式検索)から直接ログインして確認してください。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールのヘッダー情報を確認
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from mail.s2pk0wx.top (139-162-114-21.ip.linodeusercontent.com [139.162.114.21])
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
送信元サーバーが海外(Linode) linodeusercontent.com というドメインは、アメリカのクラウドホスティングサービス「Linode」のものです。
Pairs のような日本の大手サービスが、公式メールの送信にこのような汎用クラウドサーバーの、しかも個人の使い捨てが可能なIPアドレス(139.162.114.21)を使用することはまずありません。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、東京都杉並区付近です。
この情報は「誤解されやすいポイント」なのですが、 IPアドレスのロケーションが「東京都杉並区」と表示されても、詐欺メール判定は一切覆りません。
むしろ詐欺メールではよくある手口です。
この解析結果に基づき、さらに詳しく状況を整理します。
この送信元は日本の一般的な接続環境ではなく、クラウド上のサーバーであることが明確に示されています。
送信元の正体は
IPアドレス(139.162.114.21)の調査結果
- 組織名とプロバイダー: 送信元は Linode(Akamai Technologies, Inc.)というクラウドホスティングサービスです。
- 利用形式: 「hosting(ホスティング)」と記載されています。
これは個人のスマホや自宅のPCから送られたものではなく、プログラムなどによって自動送信するために借りられたサーバーであることを示しています。 - 地図上の所在地: 東京都杉並区付近
これはプロバイダー(Linode)のデータセンターの位置を示しているに過ぎず、犯人がそこにいるわけではありません。
犯人は世界中のどこからでもこのサーバーを操作できます。
リンク先のドメインを確認
さて、本文に直書きされた詐欺サイトへのリンクですが、リダイレクト(自動転送)偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://pairs.lv.zhiyuanxiao.com/login】
(直リンク防止のため一部の文字を変更してあります)
一見すると pairs.lv が含まれているため公式に見えますが、インターネット住所の仕組み上、このサイトの正体は末尾の「zhiyuanxiao.com」という全く無関係なドメインでこのサイトは公式サイトではありません!
このドメインに関する詳しい情報を「Grupo」さんで取得してみます。
この結果から、このサイトが「作りたての詐欺専用サイト」であることが、客観的な証拠として完全に証明されました。
URLが危険と判断できるポイント
- 作成日が極端に新しい(Creation Date: 2026-01-19)
ドメインが登録されたのは、わずか2日前!
長年運営されているPairsが、キャンペーンのためにわざわざ2日前に取得したばかりの不審なドメインを使うことは絶対にありません。 - 国/地域の不一致(リトアニア)
メールの送信元サーバーは東京(Linode)でしたが、リンク先のIPアドレスはリトアニアを指しています。
情報を抜き取るための「フィッシングサイト本体」を海外のサーバーに置くのは、日本の警察の手が及びにくくするための典型的な手法です。 - 登録情報の隠蔽(DATA REDACTED)
登録者名や住所が「DATA REDACTED(個人情報保護のため非公開)」となっています。
Pairsのような法人が運営する場合、通常は組織名が明記されます。
また、州/省(State/Province)に「文京区」とありますが、これは偽装された情報の可能性が高いです。
割当てているIPアドレスは「192.166.82.116」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、米国のソルトレイクシティ付近であることが分かりました。
ここに記載されている通り、利用されているプロバイダーは「CloudBlast」のようです。
このIPアドレスは、 IP帯(同じIPアドレスを、世界中の複数のサーバが同時に使う仕組み)で、実際のサーバ所在地は隠蔽されています。
故にここに表示される場所(トロント市庁舎付近)はのエッジ拠点に過ぎませんからここに詐欺サイトが設置されているとは限りません。
CloudBlast は世界中に拠点があり、アクセスした人に一番近い拠点が表示されるだけで楽天・運営者・犯人の場所ではありません!
アクセス元・タイミングによっては、ロサンゼルスであったり、東京であったり、今回の様にトロントであったりと別の拠点IPが返ることがあります。
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むとこのようなページが開きました。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
極めて巧妙に作られた偽のログイン画面(フィッシングサイト)ですね。
サイトの正体
- 見た目の偽装
画像は本物の pairs のログイン画面を完全にコピーしていますが、これはユーザーを安心させてメールアドレス、電話番号、パスワードを盗み取るための罠です。 - 不審な通信元
このページをホストしているサーバーはソルトレイクシティにあり、CloudBlast のインフラを利用しています。 - メール送信経路との矛盾
このサイトへ誘導したメール自体は、Linode のクラウドホスティングサービスから送信されており、pairs の公式運用とは一切整合性がありません。
絶対にログインしてはいけません!
ログインしてしまうとその情報は取得されてしまい、不正ログインを行われた上で資産を操作され詐欺被害に遭うことになります。
まとめ
これらの結果からこれが極めて危険なフィッシング詐欺の最終段階であることが確認できました。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;