【解析】ソフトバンクを騙る「サービス停止のお知らせ」詐欺メールの正体

【調査報告】最新の詐欺メール解析レポート

メールの解析結果:フィッシング詐欺の構造と動向

 


今回ご紹介するのは「ソフトバンク」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年3月現在、年度末の決算期や新生活の準備期間を狙い、「未払い料金によるサービス停止」を警告する手口が激増しています。特に本事例のように、PayPayとソフトバンクのブランドを混在させることで、利用者のパニックを誘い、冷静な判断を奪う手法が主流となっています。

■ 配信検知情報

件名 2026年3月 <ソフトバンクからのお知らせ> サービス停止のお知らせ(料金未払い) 157
送信者 PayPay <mail-bpzcluuwk@hhxfw.cn>
受信日時 2026年3月31日 3:21

 

■ メール本文の忠実な再現


●●●@●●●.jp 様

ソフトバンクをご利用いただきましてありがとうございます。
お客さまがお持ちのスマートフォンにおきまして、ごくまれに緊急速報メールが受け取れない場合があります。

<ソフトバンクより>ご利用料金のお支払いについて
2026/3/31現在、2月分ご利用料金のお支払いの確認がとれておりません。
My SoftBankもしくは払込用紙でお支払いください。

【利用カード】 PayPay
【支払い日】 2026年3月31日(火)
【お支払金額】 12,650円

▼お手続きはこちらから
PayPay支払い

●払込用紙で「PayPay請求書払い(※PayPayマネーまたはPayPayクレジット限定)」
h●tps://paypay.ne.jp/gu●de/bill-payment/

●My SoftBankご利用の場合、払込用紙がなくても以下よりPayPayなどですぐにお支払いいただけます。
h●tps://u.softbank.jp/3yi3wiY

●払込用紙でお支払いをご希望の場合は到着までお待ちください。

3月29日(日)迄にお支払いの確認がとれない場合ご利用を停止させていただきます(払込用紙が不着の際は、停止が早くなる場合があります)すでにお支払い済みの場合はご容赦ください。

配信元:ソフトバンク(株)

お問い合わせ先:157(10:00~19:00)

※上記は受信メールを視覚的に再現したものです。実際の詐欺メールと細部が異なる場合があります。

 

■ セキュリティ・アナリシス


【犯人の目的】
このメールの真の目的は、PayPayのID/パスワードおよびクレジットカード情報の窃取です。また、受信者のメールアドレスが宛名にそのまま使用されていることから、名簿業者から流出したリストを基に機械的に配信されていることが推測されます。

【署名の不自然さと連絡先】
メール末尾の「お問い合わせ先:157」はソフトバンク携帯電話からの短縮番号としては実在しますが、このメール自体が中国ドメイン(.cn)から送信されている時点で、公式のサポート窓口とは一切無関係です。受信者に「本物かもしれない」と思わせるためのカモフラージュとして、正しい番号を引用しています。

【なぜ本物のサイトに接続されたのか?】
今回のケースでは、リンク先が一時的に本物のPayPay公式サイトに設定されていました。これは「回避行動」と呼ばれる手口です。Googleやセキュリティソフトの自動スキャンをパスするために、初期段階では無害なサイトへ飛ばし、後からサーバー側の設定で詐欺サイトへリダイレクト(転送)先を切り替える、あるいは特定の条件を満たしたユーザーにのみ偽ページを表示させる高度な手法です。

 

■ サイト回線関連情報(解析根拠)

送信元 Received from unknown (HELO hhxfw.cn) (150.5.131.61)
送信元 IPアドレス 150.5.131.61
送信元 ホスト名 150.5.131.61.bc.googleusercontent.com
送信元 設置国 日本 (Japan)
ドメイン取得日 2026年3月25日(最近取得)


【専門コメント】ドメイン取得日が配信のわずか数日前であることは、使い捨ての攻撃用インフラであることを示しています。また、Google Cloudのインフラ(googleusercontent.com)を悪用することで、フィルターの検知を回避しようとしています。

>> 本レポートの根拠データ(ip-sc.net 解析ページ)

 

■ 危険なリンク情報の詳細

リンク先URL h●tps://paypay.ne.jp/gu●de/b●ll-payment/ (伏字あり)
リンク先 IPアドレス 150.5.131.61
リンク先 ホスト名 150.5.131.61.bc.googleusercontent.com
リンク先 設置国 日本 (Japan)

 

■ 偽者を見抜くポイントと対処法


* 送信元アドレスの確認:公式サイトのドメイン(softbank.jp や paypay.ne.jp)と一致しているか確認してください。本事例の「.cn」は明らかに偽物です。
* 公式アプリの利用:メールのリンクは絶対にタップせず、必ず「My SoftBank」や「PayPay」の公式アプリ、またはブックマークした公式サイトからログインしてください。
* 注意喚起の確認:ソフトバンク公式サイトでも、同様の詐欺に対する注意喚起が行われています。
【注意喚起】ソフトバンクをかたる偽メールについて

 

本レポートは、情報セキュリティの向上を目的として、技術的な解析結果を公開しています。

詐欺メール,paypayIPアドレス解析,PayPay,サービス停止,サイバーセキュリティ,セキュリティレポート,ソフトバンク,なりすまし,フィッシング詐欺,不正アクセス,料金未払い,注意喚起,詐欺メール

Posted by heart