【公開】19,863円の架空請求メール、開いた瞬間にPayPayアプリが起動する仕掛けを暴く

2026年5月16日

【実録】PayPayカード株式会社を騙るフィッシングメール：outlookアドレス偽装＋国内中継サーバー＋DeepLink誘導の三重工作を暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート｜2026年5月16日

今朝（2026年5月16日）、「PayPayカード株式会社」を名乗るメールが大量着弾しました。
件名は「2026年4月 PayPay カードご利用料金について」。送信者名は本物そっくりですが、送信元アドレスはMicrosoft管理のoutlookドメインを使った偽造アドレスです。
さらにメール内のリンクは、スマートフォンで開くとPayPayアプリのP2P送金（個人間送金）画面を直接起動させる特殊なDeepLink（アプリ内の特定画面に直接飛ばすURL技術）が仕込まれており、タップした瞬間に送金操作を誘導される危険があります。

※重要：HTMLメール形式で配信されており、開封するだけで攻撃者のリストに「生きているアドレス」として登録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)　─　DeepLink送金誘導のため最高危険度
偽装工作精度	★★★★☆ (4/5)　─　outlook悪用＋国内中継で送信元を隠蔽

■ メールヘッダー解析（送信者情報）

件名：2026年4月 PayPay カードご利用料金について

送信者名（表示名）：“PayPayカード株式会社”（偽装）

実際の送信元アドレス：no-reply-D9CY@outlook.com

受信日時：2026年5月16日 08:40（JST）

SPF認証：Fail（認証失敗）　─　PayPayカードの正規サーバーから送信されていないことが確定

X-Mailer：DoCoMo Native（ドコモ端末を模倣したヘッダー偽装）

⚠ このメールは「PayPayカード株式会社」を騙った真っ赤な偽物です ⚠

被害を防ぐため、この解析結果を家族のLINEグループで共有してください。
📢 LINEで家族に共有する

※ 以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはクリックしないでください。

件名：2026年4月 PayPay カードご利用料金について

送信者：“PayPayカード株式会社” <no-reply-D9CY@outlook.com>

2026年4月 PayPay ご利用料金のお知らせ

残りのお支払い金額
19,863 円

お支払い期限：本メール確認後、3日以内

お支払い手続きへ　←【危険：フィッシングリンク。絶対にクリックしないこと】

2026年4月のご利用料金について、一部未払いが確認されております。
期限内に残りの金額をお支払いください。

・アプリ内からいつでもご確認・お支払いが可能です
・ご不明点はアプリ内のサポートまでお問い合わせください

PayPayカード株式会社
〒160-0004 東京都新宿区四谷一丁目6番1号

【偽物を見抜くポイント】
① 送信元が @outlook.com　─　PayPayカードの公式ドメイン（@paypay-card.co.jp）とは別物
② 金額「19,863円」は架空の請求。ご自身の利用明細を公式アプリで確認すれば一致しないはずです
③ 「3日以内」という期限設定で焦らせるのは詐欺の定番手口

■ 送信ルート及び偽装判定

Receivedヘッダー解析（メールが通過したサーバーの記録）：


 ① 発信元：kd69914-ibaraki637.ibaraki.megaegg.jp [2.59.152.105]
 → 茨城県のプロバイダ「メガエッグ」の回線から送信

② dmail01.kagoya.net を経由
③ mas17.kagoya.net で受信

【偽装判定】：
正規のPayPayカードからのメールは @paypay-card.co.jp ドメインから送信されます。
このメールの送信元は茨城県のプロバイダ回線（一般家庭・事業者用IPアドレス）であり、PayPayカードの公式サーバーとは一切関係ありません。
国内のIPアドレスを経由させることで、海外からの攻撃に見せないよう偽装しています。
また SPF認証がFail（送信元ドメインの正規認証に失敗）しており、送信者偽造が技術的に確定しています。

発信元ロケーション解析（IP: 2.59.152.105）：
茨城県いばらき広域（ibaraki.megaegg.jp）
【Googleマップで位置を確認する】

■ フィッシングリンク詳細解析

誘導先URL（伏せ字）：

hxxps://paypay.ne.jp/?pid=QRCode&link_key=hxxps://qr.paypay.ne.jp/p2p01_PGxIHia★★★★★f&af_force_deeplink=true

【DeepLink（ディープリンク）とは？】
通常のURLはブラウザでウェブページを開きますが、DeepLinkはスマートフォンにインストール済みのアプリを起動して、アプリ内の特定の画面を直接開く技術です。
このURLに含まれる af_force_deeplink=true というパラメータが「強制的にアプリを起動せよ」という命令です。
さらに p2p01_ で始まるリンクキーはPayPay の個人間送金（P2P送金）画面を直接開くものです。
スマートフォンでこのURLをタップすると、PayPayアプリが起動し「○○円を送金しますか？」という確認画面が表示される可能性があります。

攻撃の流れ（スマートフォンの場合）：

① 偽メールの「お支払い手続きへ」をタップ
② PayPayアプリが自動起動
③ 攻撃者が指定した相手への送金確認画面が直接表示
④ 「はい」を押すと即座に送金完了

リンクドメイン：qr.paypay.ne.jp（PayPayの正規QRサービスドメインを悪用）
【サイトの状態】：PCからアクセスするとPayPayの公式トップページにリダイレクトされますが、スマートフォンではアプリが起動し送金画面に誘導されます。

※ 本URLは技術検証目的での解析済みです。実際にアクセスしないでください。

■ 注意点と対処法

URLを絶対にタップしない：スマホでタップするだけでPayPayアプリが起動し、送金画面が表示されます。
公式アプリで確認：利用料金の確認は必ずPayPayカード公式アプリまたは公式サイトから直接行ってください。
メールを削除：このメールは即刻削除し、リンクを転送・共有しないでください（受け取った人が誤ってタップする危険があります）。
誤ってタップしてしまった場合：送金操作をしていなければ被害は発生していない可能性がありますが、念のためPayPayのサポートに連絡してください。
公式フィッシング注意喚起：
PayPay公式｜フィッシング詐欺にご注意ください

本レポートの結論

今回のフィッシングメールは、①Microsoftが管理するoutlookアドレスを送信元に悪用、②国内プロバイダの回線を中継して送信元を偽装、③PayPayのQRコードサービスのDeepLinkを悪用してスマートフォンで送金画面を直接起動させる──という三重の偽装工作が確認されました。
特にDeepLinkによる送金誘導は、気づかずにタップするだけで金銭被害につながる危険性があります。
PayPayをご利用の方は十分に注意してください。

身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。
📢 LINEで家族に共有する

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net　／　PayPayサポート