【解析】PayPay特別給付スパム「【03/21】○◇△ 様へ」の危険性
【調査報告】最新の詐欺メール解析レポート
解析結果:PayPayを騙るフィッシング詐欺(高度な検知回避型)
本レポートは、実在のサービスを装った不審メールの構造および、誘導先サイトのサーバー情報の解析結果をまとめた技術資料です。 | ■ 最近のスパム動向
今回ご紹介するのは「PayPay」を騙るメールですが、その前に最近のスパムの動向を整理します。現在、新年度の準備や春のキャンペーンシーズン(超PayPay祭など)に便乗した詐欺が多発しています。特に「特別給付」「ポイント還元」という言葉を使い、期限を極端に短く設定することで、受信者に「確認しないと損をする」という焦りを感じさせる心理的プレッシャー(ソーシャルエンジニアリング)を多用するのが最近の特徴です。
| ■ 受信メール解析データ | | 件名 | [spam] 【03/21】○◇△ 様へPayPay特別給付の配信について | | 件名の見出し | 件名に含まれる「[spam]」は、メールサーバーが「既知の不正送信元」や「不審なキーワード構成」を検知して自動付与した警告です。 | | 送信者 | “*PayPay” <no-reply88@propertyagent.co.jp> | | 受信日時 | 2026-03-22 12:28 |
【送信者に関する分析】
ドメイン「propertyagent.co.jp」は実在の不動産会社のものですが、PayPayの公式通知が他社ドメインから送られることは絶対にありません。これは正規のメールサーバーが第三者に不正利用(踏み台に)されているか、送信元偽装が行われている証拠です。
| ■ メール本文の忠実な再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 |
○◇△ _様
おめでとうございます!
お客様のPayPayID( ○○○○ @ ○○○○ )に、 価値 347,387 円/相当の
特.別ク.ーポンが配_信されました。 こちらのク.ーポンは、全_国のPayPay加盟店(コンビニ、ドラッグストア、飲食店など)にて、お支_払いの際にご利用いただけます。
※有効期_限:2026年03月24日(火)!以内
※期_限を過ぎますと、ク.ーポンは自_動的に無_効となります。
本メ_ールはシ_ステムより自動配信されています。
Copyright © PayPay Corporation. All Rights Reserved.
|
【専門的な解説】
「ク.ーポン」「配_信」など、単語の途中にドットやアンダースコアを混ぜる手法は、AIやセキュリティフィルタによる「詐欺キーワード」の自動検知を物理的に破壊するための技術的工作です。また、宛名に「様」だけでなく記号が混じっているのは、名簿リストを機械的に流し込んでいる証拠です。
| ■ 送信元回線関連情報 | | Received情報 | from w52582-aichi204.aichi.ocn.ne.jp (unknown [169.40.132.215]) | | 送信利用IPアドレス | 169.40.132.215
※これは送信経路を特定する信頼できる生の情報です。 | | ホスト名 | 169.40.132.215.softlayer.com | | ホスティング社 | IBM Cloud (SoftLayer) | | 設置国 | 日本(Tokyo) | | ドメイン登録日 | 1999-07-27 (propertyagent.co.jp)
正規企業のドメインが第三者によって送信元に悪用されています。 | ■ リンク先ドメイン・回線解析 | | 解析URL | hXXps://www49[.]vwfpan[.]club/laxrwglk/ (※伏せ字あり) | | サイトIPアドレス | 104.21.23.125 | | ホスト名 | cloudflare.com (CDNs) | | ホスティング社 | Cloudflare, Inc. | | 国名 | アメリカ合衆国 (United States) | | ドメイン登録日 | 2026-03-15
登録からわずか1週間。この極端に新しい登録日は、使い捨てのフィッシングサイト用に取得された決定的証拠です。 | 【サイト回線関連情報:解析根拠】
本レポートのデータ整合性は、以下の外部専門解析エンジンによって担保されています:
https://ip-sc.net/ja/r/104.21.23.125
| ■ リンク先サイトの状態・挙動
1. CAPTCHA認証による検知回避(画像1枚目)
アクセスすると、いきなり「10 + 3 = ?」といった単純な計算を求められます。これはセキュリティ会社の自動巡回ロボット(クローラー)を排除し、人間の被害者だけをサイト奥へ導くためのフィルターです。
2. 偽のエラーページ(画像2枚目)
計算を入力すると「We apologize, but your request has timed out…」というエラーが表示されます。しかし、この裏側でブラウザのCookieやIP、ログインセッション情報を盗み取るスクリプトが動いている可能性があります。 | 【詐欺サイト:認証画面】 
【詐欺サイト:エラー偽装】 
| | ■ 専門家によるまとめと対処法
犯人の目的: PayPayのログイン認証情報および、連携しているクレジットカード情報の窃取。
怪しい点: 送信元ドメインの不一致、本文中の異常な記号、そしてドメイン取得日が直近であること。
推奨される対応:
1. メール内のリンクは絶対にクリックせず、メールを削除してください。
2. 万が一情報を入力した場合は、即座にPayPayアプリから「ログイン管理」を確認し、不審なデバイスをログアウトさせた上でパスワードを変更してください。
PayPay公式注意喚起URL:
https://paypay.ne.jp/notice/20200228/01/
| © 2026 Professional Security Analysis – ymg.nagoya |
