【解析】PayPay残高ギフト配信通知(Bq: 5e0833)は詐欺か?送信元IPを特定

【調査報告】最新の詐欺メール解析レポート

メールの解析結果:PayPayを騙るフィッシング詐欺のインフラ調査

 

最近のスパム動向


今回ご紹介するのは「PayPay」を騙るメールですが、その前に最近のスパムの動向を解説します。現在、新生活の準備時期を狙い、PayPayや大手金融機関を装った「還元通知」や「本人確認」を促すメールが激増しています。特に、過去の大型キャンペーン(超PayPay祭など)のバナーを再利用し、公式サイトと見分けがつかないデザインで送りつける手法が目立ちます。

 

メール基本情報

件名 [spam] 【受取可能】〇〇〇 様:PayPay残高ギフトの配信通知(Bq: 5e0833)
件名の見出し [spam]と表示されているのは、サーバーが内容の不審点を検知し、受信者に警告を発している証拠です。
送信者 “PayPay” <no-reply00@ntt-finance.co.jp>
受信日時 2026-03-26 8:45

 

送信者に関する情報

【致命的な矛盾】

送信者名には「PayPay」とありますが、アドレスドメインは「ntt-finance.co.jp(NTTファイナンス)」になっています。PayPayが他社のドメインを使って通知を送ることは絶対にありません。これは、信頼性の高い組織のドメインを悪用して受信者を騙そうとする典型的な手口です。

 

メール本文の再現(忠実再現)


できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
————————————————–


〇〇〇 様

おめでとうございます!
お客様のPayPayID( 〇〇〇 @ ●●●●.●●.●● )に、
価値 21,366 円/相当の
特.別ク.ーポンが配_信されました。

こちらのク.ーポンは、全_国のPayPay加盟店(コンビニ、ドラッグストア、飲食店など)にて、お支_払いの際にご利用いただけます。

[ 今すぐク‌ー‌ポ‌ンを_受取‌る ] ← ※リンク無効化済

※有効期_限:2026年03月28日(土)!以内
※期_限を過ぎますと、ク.ーポンは自_動的に無_効となります。

本メ_ールはシ-ステURLより自動配信されています。
Copyright © PayPay Corporation. All Rights Reserved.
————————————————–

 

解析:犯人の目的とデザイン工作

犯人の目的:

高額な残高付与をエサにして偽のログインページへ誘導し、PayPayのID、パスワード、および二要素認証情報を盗み取ることが目的です。
メールのデザイン:

「超PayPay祭」の公式バナーを冒頭に配置し、視覚的な信用を得ようとしています。一方、本文内には「ク.ーポン」「配_信」など、不自然な記号が混じっています。これはAIやセキュリティソフトによる「詐欺キーワード」の自動検知を逃れるための工作であり、非常に怪しい点と言えます。

 

送信元(Received)の通信解析

送信元ホスト p24367-mie506.mie.wakwak.com
送信IPアドレス 169.40.132.225
ホスティング IBM Cloud (SoftLayer) / WAKWAK
設置国 アメリカ合衆国 (United States)

※これは送信に利用された情報であり、括弧内のIPアドレスは信頼できる送信者情報です。WAKWAKのホストを経由していますが、IPの実体は米国のクラウドインフラ上にあります。

 

誘導先サイトの精密調査

リンク箇所 「今すぐク‌ー‌ポ‌ンを_受取‌る」ボタン
誘導URL https://d3eea8.9z9koc.info/P0A326y/ (伏せ字含)
IPアドレス 104.21.31.212
ホスト名 d3eea8.9z9koc.info
国名 アメリカ合衆国 (United States)
ドメイン登録日 直近に取得(調査日: 2026-03-26)

ドメイン取得日が非常に最近である理由は、使い捨ての詐欺サイトとして、セキュリティソフトのブラックリストに載る前に短期間で運用・放棄を繰り返すためです。

 

サイト回線関連情報

本レポートの解析根拠として、以下の外部データと連携しています。
>> https://ip-sc.net/ja/r/104.21.31.212 で解析詳細を表示

 

リンク先サイトの現在の状態

【ステータス:Cloudflare Error 522】

現在、このリンク先は「Connection timed out」となっており、サーバーとの通信が切断されています。

 

まとめ・推奨される対応


過去のPayPay詐欺事例と同様、ロゴやバナーの悪用により「本物感」を出していますが、送信ドメインやリンク先のドメインは全て偽物です。宛名に個人名が入っていない、あるいはメールアドレスの一部が使われている場合は100%詐欺と判断してください。
公式サイトによる注意喚起:

PayPay公式:不審なメールやSMSへの注意について

詐欺メール,paypayPayPay詐欺,サイバー犯罪対策,スパムメール,セキュリティレポート,なりすまし,フィッシングメール,不審メール,個人情報保護,注意喚起,迷惑メール

Posted by heart