Heartland-Lab セキュリティレポート
第1422号:焦りと手抜きの境界線。パパイ銀行の自爆フェーズを斬る | あれほど世間を騒がせ、連日のように「残高が届いています」と強弁していたPayPayの個人送金偽装フィッシング詐欺。当ラボで予測していた通り、ユーザー側のリテラシー向上と飽きに伴い、完全に費用対効果の合わない「下火手口」へと転落しました。その後彼らは第一生命をはじめとする生命保険ブランドの未納脅しへと迷走し、それすらも速攻で見切られた結果、今まさに怒涛の勢いで押し寄せているのが「ポイント・特典付与」を騙る数撃ちゃ当たるの物量作戦です。
しかし、焦る詐欺グループが本日(2026年5月21日)、あまりにも間抜けな自爆メールを配信してきました。ターゲットに選ばれたのは「PayPay銀行」……のはずが、なんと件名も送信者名も「PaPay(パパイ)銀行」。今回は、このマヌケすぎる最新フィッシングメールの裏側と、すでに崩壊を始めている彼らのC2サーバー(詐欺サイト)の実態を、手抜きなしのフルボリュームで徹底的に解剖します。
まずは実際に着信したメールの全貌です。甘いポイントのエサをぶら下げてリンクを踏ませようとする、今まさに横行している典型的な「ポイント付与系」の構成をとっています。
| 【不審メール本文のスクリーンショット】 
| 上記の不審メール本文を、以下に可能な限り忠実にテキストで再現します。
件名:[spam] 【PaPay銀行】PayPayデビット3回利用で3,000円分ポイントプレゼント
送信者:“PaPay銀行” <rk4nm@buouren.com>
いつもPayPay銀行をご利用いただき、ありがとうございます。 PayPayデビットで条件達成で、
3,000円分のPayPayポイントをプレゼントします。 【条件】
・3回以上のご利用
・1回あたり3,000円(税込)以上 【期間】2026年5月1日(金曜日)~2026年6月1日(月曜日)
【付与】2026年6月下旬
【対象者】PayPayデビットをお持ちの年齢20歳以上の個人のお客さま ▼ 詳細・お申し込みはこちら
https://paybank.ccu●●●v.cn/1anvFY ※本キャンペーンの主催はPayPay銀行となります。
※当社の総合的判断(普通預金口座の解約など)により、プレゼントの対象外となる場合がございます。
※本キャンペーンは、開催期間を変更する場合や、予告なく中止する場合がございます。
PayPay銀行株式会社
本社・本店営業部・各支店
東京都新宿区西新宿6-5-1(※実際の住所等) | | 2. Heartland-Lab 視点:ここがマヌケだよ詐欺グループ |
今回のメール、一見するとキャンペーン期間や条件、注記、フッターの会社情報まで綺麗にコピペして作り込まれているように見えます。しかし、彼らは配信直前に大きな、あまりにも大きすぎる「大ボロ」を置き去りにしていきました。
-
- 致命的なタイポ:「PaPay(パパイ)銀行」
件名および送信者表示名が、本物の「PayPay」ではなく「PaPay」になっています。「y」を入力すべきところを「a」にしてしまったのでしょう。本文中では必死に「PayPayデビット」「PayPayポイント」と本物の綴りを連呼しているにもかかわらず、一番目立つ玄関口の看板で豪快に誤字をやらかしています。テスト配信すら行っていない、今の詐欺グループのやっつけ仕事ぶりが透けて見えます。
| 3. メールヘッダー構造の解析(技術的アプローチ) |
どれだけ外見がマヌケであっても、技術的な検証を怠らないのが当ラボのスタンスです。メールヘッダーから認証結果(SPF)と、時系列で最も古い(攻撃者が最初に中継した)Receivedヘッダーを抽出して、彼らの配信環境の足跡を追跡します。
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=74.138.49.208; helo=buouren.com; envelope-from=rk4nm@buouren.com; receiver=*****@●●●●●●●●.jp
Received: from buouren.com (unknown [74.138.49.208])
by dmail02.●●●●●●.net (Postfix) with ESMTP id DC64542447F1
for <*****@●●●●●●●●.jp>; Thu, 21 May 2026 12:37:04 +0900 (JST) 【ヘッダー解析の知見】
注目すべきは「Received-SPF: Pass」となっている点です。送信ドメインである `buouren.com` のSPFレコードと、実際に配信を行っているIPアドレス `74.138.49.208` が完全に一致しています。つまり、既存の大手ドメインの「なりすまし(偽装送信)」ではなく、詐欺グループ自らが使い捨て用に取得した、あるいは乗っ取った独自ドメインの正規サーバーから直接送信していることを意味します。そのため、単純なSPF認証だけをすり抜けて受信トレイ、あるいはスパムフォルダに高確率で滑り込んでくる仕様になっています。マヌケな文面とは裏腹に、配信の到達率を高めるための最低限の技術的セットアップは行われている点に注意が必要です。
メール本文に仕込まれていたURLは `https://paybank.ccu●●●v.cn/1anvFY` です。中国の国別トップレベルドメイン(.cn)を用いた、これまたわかりやすい使い捨てドメインですが、このURLを踏むとブラウザ側およびサーバー側でどのような挙動を示すのかを検証しました。
① ブラウザによる鉄壁のブロック
セキュリティ機能が有効なブラウザ(Chromeなど)でこのURLにアクセスを試みると、間髪入れずにGoogleセーフブラウジングによる「危険なサイト」の真っ赤な警告画面が表示されます。世間の通報スピードとセキュリティベンダーのブラックリスト反映速度が、彼らの配信スピードに完全に打ち勝っている証拠です。
| 【ブラウザのセキュリティ警告画面スクリーンショット】 
| ② サーバーの現状:Not Found(跡形もなし)
さらに、このセキュリティ警告を回避して、C2サーバーの応答を直接確認したところ、画面には無情にも「Not Found (The requested URL was not found on this server.)」の文字。Apacheサーバーが空しく稼働しているだけの状態となっていました。
| 【詐欺サイト(Not Found)のスクリーンショット】 
|
通報されてURLが即座に潰されたのか、あるいは「PaPay」という大ボロに気づいた詐欺グループ側が慌ててディレクトリを削除・閉鎖したのかは定かではありませんが、配信からわずか数時間足らずでこの詐欺サイトは完全に機能不全(死亡状態)に陥っています。
今回の「パパイ銀行」フィッシング詐欺事案は、現在のサイバー犯罪グループの焦燥感を如実に物語っています。「送金ネタ」が全滅し、「生命保険ネタ」も即座に飽きられ、仕方に無しと「ポイント・特典付与」のトレンドへドミノ倒し的に雪崩れ込んできた結果、チェック機能すら働かないガタガタの体制で乱発フェーズに入っているのが彼らの実態です。
彼らがどれだけ物量作戦を仕掛けてこようとも、こちらが冷静に一歩引いて「送信者名」や「ドメインの不自然さ」に目を光らせていれば、騙される要素は1ミリもありません。今後もこうしたポイント関連のばら撒きは数日間続くと思われますが、その中身は驚くほどスカスカで、賞味期限切れ間近の手口ばかりです。引き続き、冷静な選別とスルーを徹底していきましょう。
| © 2026 Heartland-Lab All Rights Reserved. | | 
