【解析】PayPayカードを装う料金引き落とし失敗メールの正体
| 本レポートは、確認された不審なメールの技術的な解析結果を基に構成されています。 ◆ 最近のスパム動向と今回のケース
今回ご紹介するのは「PayPayカード」を騙るメールですが、その前に最近のスパムの動向をお伝えします。 現在、新年度の始まりや大型連休前など、人々の生活環境が大きく変わる時期を狙ったフィッシング詐欺が急増しています。特に、今回のような通信料金の引き落とし失敗、ポイントの有効期限切れ、クレジットカードの不正利用検知など、ユーザーの「焦り」や「不安」を煽り、確認のためにリンクをクリックさせる手口が主流です。 また、メールのデザインを本物と見分けがつかないほど精巧に模倣し、正規のロゴマークや会社情報を使用することで、一目見ただけでは詐欺と判断しにくいケースが増加しており、より一層の注意が必要です。
| ◆ 受信メールの基本情報
確認された不審メールのヘッダー情報は以下の通りです。
(※見出しに[spam]等の表記がある場合、お使いのメールサーバーが自動で迷惑メールと判断した証拠となります。) | 件名 | 【PayPay】3月分通信料金の引き落としに失敗しました。期日までにPayPay でオンライン決済をお済ませください。 | | 送信者 | PayPay <ad.ftuhnosmv@ncweniz.cn> | | 受信日時 | 2026-04-02 08:07 | | ◆ 送信者に関する情報の解析
送信者として表示されている「PayPay」と、実際のアドレスドメイン「ncweniz.cn(中国ドメイン)」は全く無関係です。
正規のPayPayカードからのメールは、通常「@mail.paypay-card.co.jp」などの公式ドメインから送信されます。
このように、表示名と実際のアドレスが乖離している点は、典型的なフィッシング詐欺の特徴です。
| ◆ メール本文の再現
※以下の内容は、受信した詐欺メールを技術検証のために可能な限り忠実にテキストで再現したものです。
※本物の詐欺メールとデザインが異なる場合もあります。
※セキュリティのため、リンクURLは伏せ字(■)にし、物理的なリンクは無効化しています。
おすすめ情報メール 2026/4/2 いつもYahoo!ショッピングをご利用ありがとうございます。
このメールでは、PayPayポイントの有効期限と保有状況をご案内します。
3月分通信料金の引き落としに失敗しました。期日までにPayPay でオンライン決済をお済ませください。 2026年3月 請求金額 [確定] 6,835円 有効期限 2026/04/02 23:59
※ポイントは日元と等価で、受け取ったポイントはPayPayで支払い時に自動で抵扣されます。 PayPayカードログインできない場合 >
身に覚えのない明細でお困りの場合 > このメールはYahoo! JAPAN IDにご登録いただいているメールアドレスに配信しています。配信停止は[こちら]からご確認ください。 © LINEヤフー株式会社 アプリのリンクを開くには、PayPayアプリが必要です。スマートフォンからご確認ください。
本メールの内容にお心あたりのない場合は、ヘルプをご確認ください。
このメールは送信専用メールアドレスより一部のお客様にお送りしています。このメールに直接返信いただいても対応できませんのでご了承ください。
カードの利用でお困りの際は、お客様サポートからお問い合わせください。
発行:PayPayカード株式会社
東京都新宿区四谷一丁目6番1号
[お問い合わせはこちら] | | ◆ メールの目的及び専門的解説
【攻撃者の目的】
この犯人の目的は、PayPayカードの会員になりすましたユーザーを、精巧に作られた偽のログインサイトへ誘導し、ID、パスワード、クレジットカード情報(番号、有効期限、セキュリティコード)を盗み取ることです。 【専門的な解説】
本メールは、非常に高い完成度を持っています。
ヘッダー(冒頭部分)には正規の「PayPayカード」ロゴを使用し、全体的なレイアウト、フォント、配色は本物の案内メールと見分けがつきません。 特におかしな点(強く言及すべき点)は、本文内の日本語表記です。
「※ポイントは日元と等価で、受け取ったポイントはPayPayで支払い時に自動で抵扣されます。」
という記述がありますが、「日元(日本円の意)」「抵扣(差し引く、相殺するの意)」は、通常の日本語では使用されない、中国語由来の表現です。これは、攻撃者が日本語を母国語としないグループである可能性を強く示唆しています。 | ◆ メール Design 解析
前述の通り、ロゴマーク(PayPayカード)まで使って本物っぽく仕上げられています。
HTMLメールの特性を悪用し、見た目は正規サイトのボタンのように見せかけ、クリックした際のジャンプ先を詐欺サイトに設定するという、典型的な手法です。 ※もし、ロゴマークや画像がメールの「添付ファイル」にされている場合は、ウイルス感染を目的としたマクロ付きファイルの可能性があるため、絶対に開いてはいけません。今回のケースはHTML内に埋め込まれたリンク画像と思われます。
| ◆ 危険なポイントと推奨される対応
【このメール特有の怪しい点】
- 送信元メールアドレスが公式のものではない(@ncweniz.cn)。
- 本文中に不自然な中国語由来の表現(日元、抵扣)がある。
- 受信者(お客様)の氏名や、カード番号の一部など、個人を特定する具体的な情報の記載がない(宛名がない)。
【公式サイトでの注意喚起】
PayPayカード公式サイトでは、同社を騙るフィッシングメールについて強く注意喚起を行っています。不審なメールを受け取った場合は、メール内のリンクはクリックせず、必ずブックマークや公式アプリからログインして状況を確認してください。
[公式サイト] フィッシングメール・詐欺メールにご注意ください | ◆ [根拠データ] メール送信元の回線関連情報
以下は、メールヘッダーに含まれる「Received」行(送信経路情報)の解析結果です。これは、攻撃者が実際にメール送信に利用した機器の生の情報であり、信頼できる証跡となります。
Received: from unknown (HELO ncweniz.cn) (150.5.132.160) | 送信ドメイン | ncweniz.cn | | 送信IPアドレス | 150.5.132.160 | | ホスティング/ISP | Guangdong Mobile (広東移動) | | 設置国 | China (中国) |
※送信元ドメイン「ncweniz.cn」は、PayPay公式ドメインと比較して明らかに偽装されています。
※送信元のIPアドレスは中国のISP(Guangdong Mobile)に割り当てられています。
■ 詳細な回線解析情報(外部データ連携)
より詳細な回線情報、ホスト名、過去のブラックリスト登録履歴などは、以下の専門解析レポートを参照してください。
>> IPアドレス「150.5.132.160」の詳細解析レポート (ip-sc.net)
| ◆ [根拠データ] 誘導先リンクの解析
メール本文内の「こちらをクリックして今すぐお支払いください。」という箇所に設定されていたリンク先の解析結果です。 【誘導先URL】
hxxps://www.pa■■ay-ca■d.co.jp.secu■ity.■■■.cn/
(※セキュリティのため「https」を「hxxps」にし、ドメインの一部を伏せ字「■」にしています。伏せ字を含む文字列全体が攻撃者のドメインです) | 接続先IPアドレス | 45.142.166.71 | | ホスト名 | vl-45-142-166-71.host.tld (仮) | | ホスティング社名 | Stark Industries Solutions Ltd | | 設置国 | Netherlands (オランダ) | | ドメイン登録日 | 2026-03-25 |
■ 解析コメント
- ドメインの危険性: 誘導先URLの末尾は「.cn」であり、公式の「.co.jp」ではありません。公式ドメイン名(paypay-card.co.jp)をサブドメイン部分(ドメインの前方)に含めることで、本物のように誤認させる「サブドメイン偽装」という手口です。
- ドメイン登録日: この詐欺ドメインは、メール受信日のわずか8日前(2026-03-25)に登録されたばかりです。正規の金融機関が、このような「使い捨て」の新規ドメインを重要な案内サイトとして使用することはあり得ません。
- サイトの状態: 現在、この詐欺サイトは稼働中であり、何処からもブロックされず、本物のPayPayカードログインサイトを模倣したページが表示されます。
- ブロックの有無: ウイルスバスターやGoogle(Safe Browsing)によるブロックは、現時点では確認されていません(ゼロデイ攻撃)。セキュリティソフトに検知される前に攻撃を完了させようという意図が見えます。
■ 詳細なサイト解析情報(外部データ連携)
より詳細なドメイン情報、登録者情報(Whois)、IPアドレスの危険性などは、以下の専門解析レポートを参照してください。
>> IPアドレス「45.142.166.71」の詳細解析レポート (ip-sc.net) | ◆ 誘導先の詐欺サイト(フィッシングサイト)
以下は、実際に誘導された詐欺サイトのスクリーンショットです。
本物のPayPayカードログインページと寸分違わぬデザインで、ユーザーを騙そうとしています。
このページで、携帯電話番号(ID)、パスワード、クレジットカード情報を絶対に入力してはいけません。
| ◆ まとめ
今回確認された「PayPayカード」を騙るメールは、デザイン面では本物と見分けがつきませんが、不自然な中国語表現(日元、抵扣)や、登録されたばかりの海外ドメイン(.cn)を使用しているという明確な証拠により、詐欺であると断定できます。 フィッシング詐欺は、メールだけでなくSMS(ショートメッセージ)で届くこともあります。
「引き落とし失敗」「アカウント停止」「不正利用」など、焦りを煽る内容のメールを受け取った場合は、一呼吸置き、本レポートのような技術的な証拠に基づいた情報を確認するか、公式アプリ・ブックマークからのアクセスを徹底してください。 自身の情報を守るため、少しでも不審に感じた場合は、情報の入力は絶対に行わないよう、ご注意ください。
| |