HEARTLAND

【犯行予告】PayPay装う詐欺メールが24時間以内の支払い要求！全手口を公開

heart — Tue, 05 May 2026 00:29:55 +0000

【犯行予告】PayPay装う詐欺メールが24時間以内の支払い要求！全手口を公開

Heartland-Lab セキュリティレポート
報告日：2026年5月5日

最近のスパム動向

2026年5月現在、決済サービスを装った「24時間以内支払い要求型」フィッシング詐欺が激増しています。特にPayPayを名乗る詐欺メールは、実在しない「欠款（未払金）」を理由に緊急性を演出し、利用者を偽サイトへ誘導する手口が主流となっています。件名に中国語「欠款」が混在するなど、翻訳ツールを使用した形跡が見られ、国際的な詐欺組織の関与が疑われます。

前書き

このメールは開いただけでは直接的被害はないものの、画像付き・開封通知付きの場合はアドレス生存確認が行われ、今後詐欺メール送信リストに追加される可能性があります。また、本文内のリンクをクリックすると偽サイトに誘導され、PayPayアカウント情報・クレジットカード番号・個人情報を盗まれる危険があります。絶対にリンクをクリックせず、即座に削除してください。

緊急性評価
★★★★★（最高レベル）

「24時間以内」という時間制限と「信用情報機関への報告」という脅迫文言により、受信者を極度の焦燥状態に陥れる悪質な手口です。冷静な判断を失わせることを目的としています。

メール件名

件名：[spam] [重要] 未払金（欠款）のご清算が確認できておりません。

[spam]タグについて：
受信サーバーのスパムフィルターが自動的に付与したタグです。このタグが付いている時点で、メールサーバー側も「詐欺メールの可能性が高い」と判定しています。件名に中国語「欠款」が混在している点も不自然であり、翻訳ツールを使用した痕跡が見られます。正規のPayPayが中国語を混在させた件名を使用することは絶対にありません。

送信者情報

送信者名	Paypay
メールアドレス	xijex@mail05.32firkpi8bd.com
ドメイン	mail05.32firkpi8bd.com
送信元IP	34.101.194.150 (Google Cloud経由 – bc.googleusercontent.com)

技術的分析：
送信元ドメイン「32firkpi8bd.com」は完全に詐欺目的で作成された使い捨てドメインです。正規のPayPayは「paypay-corp.co.jp」「paypay.ne.jp」等の公式ドメインを使用します。また、送信元IPがGoogle Cloud（bc.googleusercontent.com）経由となっている点は、詐欺グループがクラウドサービスを悪用して身元を隠蔽していることを示しています。Received-SPFが「不明」となっている点も、送信者認証が機能していないことを意味し、なりすましメールであることが確定しています。

受信日時

受信日時：2026年5月4日（月）16:52:02
平日夕方の送信は、帰宅中・仕事終わりのタイミングを狙った可能性があります。疲労や焦りで冷静な判断ができない状態を狙う典型的な手口です。

この詐欺メール情報を家族や友人にLINEで共有してください！
身近な人が被害に遭う前に情報を広めることが重要です

メール本文（スクリーンショット＋テキスト版）

【検索エンジン対策・コピペ用テキスト版】

スマホひとつでかんたんにお支払いはPayPayでいますぐPayPayアプリをダウンロード

重要な督促：法的措置の開始予告

未払金（欠款）のご清算が確認できておりません。

本日24時までに結算が完了されない場合、明日より規定の「滞納金」を加算すると共に、お客様の失信行為を「個人信用情報機関」に報告いたします。

現在のお支払い額 ¥25,850
明日以降（滞納金込み） ¥27,150～

【実施される強制措置】
• 滞納金の自動加算（明日より開始）
• 信用評価センター（CIC/JICC）への不良登録
• PayPayおよび提携決済サービスの永久利用停止

▼至急、本日中にPayPayで清算してください▼

[PayPayで欠款を清算する]

※本日24時を過ぎますと、システムにて自動的に滞納処理が開始されます。
※督行歴24ヶ月が残るため、PayPay決算を強く推奨します。

PayPayカード株式会社
〒160-0004 東京都新宿区四谷一丁目6番1号
電話：0120-889-123（平日9:00～18:00）

メールの目的・感想・デザイン分析

詐欺の目的：
① PayPayアカウント情報（ID・パスワード）の窃取
② クレジットカード番号・セキュリティコードの詐取
③ 個人情報（氏名・住所・電話番号・生年月日）の収集
④ 偽サイトでの不正決済・金銭詐取

技術的特徴：
• 「欠款」「結算」「失信」といった中国語の混在 → 翻訳ツール使用の証拠
• 「督行歴」「決算」など日本語の誤用 → 正規企業では絶対に起こらない誤字
• CIC/JICCという実在機関名の悪用 → 信憑性を高める悪質手口
• 24時間という時間制限 → 冷静な判断を奪う心理操作
• 正規の住所・電話番号の流用 → 実在する情報を悪用して信頼性を偽装

デザイン分析：
冒頭のPayPayキャッチコピーは正規のものですが、本文は完全に詐欺グループが作成したものです。「法的措置」「信用情報機関への報告」といった脅迫文言を多用し、受信者を極度の不安状態に陥れる構成になっています。金額が¥25,850という中途半端な額である点も、「実際の未払いかもしれない」と思わせる巧妙な手口です。

注意点と対処法

【絶対にやってはいけないこと】
メール本文のリンクをクリックする
記載された電話番号に電話する
メールに返信する
焦って決済操作をする

【正しい対処法】
即座にメールを削除する
PayPay公式アプリから直接ログインして未払いの有無を確認する
不安な場合は公式サポート（0120-990-634）に電話確認する
このメールのことは一切相手にしない

重要：PayPayから未払いの督促が来る場合、必ずアプリ内通知または公式ドメイン（paypay-corp.co.jp）からのメールで届きます。それ以外は100%詐欺です。

身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

そのまま使えるLINEボタン：

サイト・回線関連情報

送信元サーバー技術情報：

送信サーバー	mail05.32ffrkpi8bd.com
実IPアドレス	34.101.194.150
逆引きホスト名	150.194.101.34.bc.googleusercontent.com
X-Originating-IP	34.101.194.15
ホスティング	Google Cloud Platform
IPvs偽装判定	疑わしい（複数IPの不一致）

技術的考察：
送信元IPが「34.101.194.150」、X-Originating-IPが「34.101.194.15」と微妙に異なる点は、複数のGoogle Cloudインスタンスを経由して送信されていることを示唆しています。これは詐欺グループが追跡を困難にするために、クラウドサービスを多段階で悪用している証拠です。

逆引きホスト名が「bc.googleusercontent.com」となっているのは、Google Compute Engineの仮想マシンから送信されたことを意味します。詐欺グループは正規のクラウドサービスを悪用することで、一見「正規のサーバー」のように見せかけています。

▼ 送信元IPの詳細情報：
https://www.ip-sc.net/?ip=34.101.194.150
Google マップで位置を確認
（IPジオロケーションは推定位置であり、実際の詐欺グループの所在地とは異なる場合があります）

誘導先URL解析（最重要）

メール内リンク（伏せ字表示）：
hxxps://paypay.ne.jp/?pid=QRCode&link_key=hxxps://qr.paypay.ne.jp/p2p01_5FEyhZICO5Pyj7pG&af_force_deeplink=true

見せかけドメイン	paypay.ne.jp （正規ドメイン風装飾）
実際のリダイレクト先	不明（クリック時に詐欺サイトへ転送される可能性）
危険ポイント	URLパラメータに不審な文字列（p2p01_5FEyhZICO5Pyj7pG）が含まれる
稼働状況	未検証（絶対にアクセスしないこと）

重大な警告

このURLは一見「paypay.ne.jp」という正規ドメインに見えますが、リダイレクト処理により別の詐欺サイトに転送される可能性があります。また、パラメータ「?pid=QRCode&link_key=」の部分で不正なスクリプトが実行される危険もあります。

「af_force_deeplink=true」というパラメータは、本来アプリの強制起動に使われるものですが、詐欺グループは偽アプリダウンロードページへの誘導や不正なディープリンク攻撃に悪用している可能性があります。

絶対にクリックしないでください。

▼ URLの詳細情報を確認する場合：
https://www.ip-sc.net/ で誘導先ドメインのIP・ホスティング情報を調査可能
（安全性が確認できない限り、絶対に直接アクセスしないでください）

総合危険度評価

★★★★★
非常に危険（最高レベル）

【危険度を最高レベルと判定した理由】
✓ 24時間以内という時間制限で冷静な判断を奪う
✓ 信用情報機関（CIC/JICC）という実在機関名を悪用
✓ 「法的措置」「永久利用停止」等の脅迫文言
✓ 正規ドメイン風のURL詐称
✓ Google Cloudを悪用した追跡困難な送信経路
✓ 中国語混在による国際詐欺組織の関与疑惑

この手口は特に高齢者・PayPay初心者・スマホ決済に不慣れな方が被害に遭いやすい内容です。周囲への情報共有が極めて重要です。

公式注意喚起・関連情報

PayPay公式の詐欺対策ページ：
PayPay公式：フィッシング詐欺にご注意ください

消費者庁の注意喚起：
消費者庁：フィッシング詐欺に関する注意喚起

フィッシング対策協議会：
フィッシング対策協議会公式サイト

PayPayを装った詐欺メールは2024年以降急増しており、公式サイトでも注意喚起が継続的に行われています。不審なメールを受信した場合は、必ず公式アプリまたは公式サポート（0120-990-634）に確認してください。

まとめ

今回解析したPayPay装い詐欺メールは、「24時間以内支払い要求」「信用情報機関への報告脅迫」という二重の心理的圧迫手法を使った極めて悪質なフィッシング詐欺です。

このメールの決定的な詐欺証拠：
① 送信元ドメインが「32firkpi8bd.com」という詐欺専用ドメインです。

The post 【犯行予告】PayPay装う詐欺メールが24時間以内の支払い要求！全手口を公開 first appeared on HEARTLAND.

【実録・閲覧注意】11万円超の請求？UCカードなりすまし詐欺メールが届いた

heart — Tue, 05 May 2026 00:15:16 +0000

【緊急警告】UCカード5月支払通知を騙る詐欺メールの全手口を公開

Heartland-Lab セキュリティレポート
2026年5月5日発行

メール件名

件名：[spam] UCカード5月お支払金額のお知らせ

※件名冒頭の[spam]タグは、受信サーバーが自動的に付与したスパム判定マークです。このタグが付いている時点で、メールサーバー側が「迷惑メールの可能性が高い」と判断しています。正規のUCカードからのメールであれば、このようなタグが付くことはありません。

送信者情報

送信者表示名：“UCカード”
送信元メールアドレス：namr@jp1.UTo4uccard.com
送信ドメイン：jp1.UTo4uccard.com
送信元IP：193.239.154.229

【なりすまし確定】
正規のUCカード公式ドメインは「uccard.co.jp」ですが、このメールは「UTo4uccard.com」という全く別のドメインから送信されています。送信者名を「UCカード」と偽装していますが、メールアドレスを見れば一目瞭然のなりすまし詐欺です。

さらに、ユーザー名部分「namr」は意味不明な文字列であり、正規の企業メールとしてあり得ない構成です。また「jp1」というサブドメインも不自然で、攻撃者が複数の偽装サーバーを使い分けている可能性を示唆しています。

送信元IP「193.239.154.229」はヨーロッパ圏のIPアドレスであり、日本企業であるUCカードが海外サーバーから顧客へメール送信することは通常ありません。この時点で完全に詐欺メールと断定できます。

受信日時

受信日時：2026年5月4日（月）21:27:18（日本時間）

ゴールデンウィークの夜に送信されています。休日で気が緩んでいるタイミングを狙った計画的な詐欺行為です。また「5月8日までに口座へ準備」という期日設定により、受信者に焦りを与えて冷静な判断を妨げる意図が見られます。

この情報を身近な人と共有しましょう

あなたの家族や友人が同じメールを受け取っているかもしれません。
LINEで「UCカードを装った詐欺メールに注意！」と共有してください。

メール本文（完全再現）

こちらのメールはお支払いに関する大切なご連絡です。
次回のお支払金額をお知らせいたします。

◆―――――――――――――――

いつもご利用いただきありがとうございます。
【対象カード】
ＵＣカード
【お支払日】
2026年5月11日(月)
【口座へのご準備期日】
2026年5月8日(金)
【お支払金額】
112,875円
※お支払金額の変更は2026年4月26日(木)昼12:00までにお願いします。

◆―――――――――――――――
▼ご利用明細のご確認はこちら
https://www2.uccard.co.jp/

―――――――――――――――
■ご利用明細の確認、お支払金額の変更について
―――――――――――――――

＜UC Portalアプリから＞
【STEP1】UC Portalアプリにログイン
【STEP2】画面上部の「●月○日お支払金額」を選択
【STEP3】「ご利用明細」から確認

＜アットユーネット(UCカードサイト)から＞
【STEP1】各種ブラウザから「UCカード」で検索
【STEP2】UCカードサイトより「ログイン」を選択
【STEP3】お支払金額下の「明細を見る」を選択

※メールを受信されるタイミングによってはお支払金額の変更の受付期間を過ぎている場合がございます。
※当月15日時点の予定額です。ご請求金額は変更になる場合がございます。
※16日以降にお支払金額の変更などをされた場合、確定金額は翌月2日までに順次更新されるアットユーネットの「銀行口座割」欄にてご確認ください(一部カードはお支払日やお支払いサイクルが異なります)。
※年会費のみご請求の場合や返金対応がある場合など、お引落口座の登録状況によってはお支払金額が0円と表示されることがございます。

―――――――――――――――
■最近アットユーネットに新規ご登録いただいた方へのお知らせ
―――――――――――――――

毎月15日20:00以降にアットユーネットに新規ご登録いただいた場合、翌月お引落分のご請求があった場合でもアットユーネットからご利用明細をご覧いただけませんので、あらかじめご了承ください。
(翌々月お引落分以降のご請求はアットユーネットでご覧いただけます。)

【メール番号：UC_2603_18】
================================
送信元：株式会社クレディセゾン
〒170-6073 東京都豊島区東池袋3-1-1
hxxps://www.saisoncard.co.jp/
※ユーシーカード、ユーシーカードグループ、ユーシー受託先が発行する会員様にはクレディセゾンが業務受託を行い配信しております。
※ユーシーカード、ユーシーカードグループ、ユーシー受託先一覧は以下をご確認ください。
hxxps://www2.uccard.co.jp/uc/profile/profile_index.html#GROUP
※このメールはアットユーネットから自動配信しております。
※このメールはお支払いに関する大切なご連絡として、メール配信を希望されていない方にもお送りしております。
※上記のメール・キャンペーン配信を停止された方への一部対象外カードもございます。
※本メールにご返信いただきましても、ご回答・ご依頼などにお答えできませんのでご了承ください。
※メールに関する各種お手続き方法(配信停止など)につきましては、以下をご確認ください。
hxxps://www2.uccard.co.jp/alu/mail_toiawase.html
※その他のお問い合わせにつきましては、以下をご確認ください。
hxxps://www2.uccard.co.jp/cs/customer-support/
================================

アットユーネット
hxxps://www2.uccard.co.jp/
================================

このメールの目的と手口の分析

【詐欺の目的】
① カード番号・有効期限・セキュリティコードの窃取
② ログインID・パスワードの不正取得
③ 個人情報（氏名・住所・電話番号・生年月日）の収集
④ 二段階認証コードの詐取による不正ログイン

【手口の巧妙さ】
このメールは正規のUCカードメールを極めて精巧に模倣しています。

巧妙ポイント1：具体的な金額と日付
「112,875円」という端数を含む具体的な金額を提示し、「5月11日支払」「5月8日までに準備」という明確な期日を設定することで、受信者に「自分宛の本物のメール」と誤認させます。

巧妙ポイント2：正規URLの巧みな混入
本文中に「https://www2.uccard.co.jp/」という正規のURLを複数箇所に記載し、見た目の信頼性を高めています。しかし実際にクリックさせるリンクは全く別の偽装URLです。

巧妙ポイント3：詳細な操作手順の記載
「UC Portalアプリから」「アットユーネットから」という2種類の確認方法を丁寧に説明し、あたかも公式サポートメールのような体裁を整えています。

巧妙ポイント4：実在する企業情報の流用
メール末尾に「株式会社クレディセゾン」の実在する住所（東京都豊島区東池袋3-1-1）を記載し、正規メールであるかのように偽装しています。

【デザイン・文体の評価】
文章は非常に丁寧で、誤字脱字もほとんどありません。「◆」や「■」などの記号を使った整然としたレイアウトは、公式メールとして十分通用するレベルです。ただし、よく見ると「銀行口座割」という不自然な用語があり、これは「銀行口座引落」の誤植と思われます。このような微細な違和感が詐欺メールの証拠となります。

絶対に騙されないための注意点

【重要】以下の対処法を必ず実行してください

絶対にしてはいけないこと
・メール内のリンクを絶対にクリックしない
・添付ファイルがある場合は開かない
・「返信」ボタンで返信しない
・記載された電話番号に電話しない

今すぐすべきこと
・このメールを即座に削除する
・UCカード公式サイトに自分でアクセスして支払金額を確認する（メールのリンクは使わない）
・ブックマークまたは検索エンジンから公式サイトへアクセスする
・不安な場合はUCカード公式サポート（0570-00-8888）へ電話確認する

本物かどうか見分ける方法
1. 送信元メールアドレスを確認
正規のUCカードは「@uccard.co.jp」ドメインのみ使用します。「@UTo4uccard.com」のような類似ドメインは100%詐欺です。

2. メール内リンクのURLを確認（クリックせずにマウスオーバーで確認）
表示上は「https://www2.uccard.co.jp/」でも、実際のリンク先が「https://uc-card.nmbcv.com/」のように異なるドメインであれば詐欺です。

3. [spam]タグの有無を確認
件名に[spam]タグが付いていれば、サーバー側が既に詐欺判定しています。

4. 公式サイトで直接確認
メールの内容が本当か不安な場合は、必ず公式サイトへ自分でアクセスして確認してください。メール内のリンクは絶対に使わないでください。

もしリンクをクリックしてしまった場合
・情報入力前ならブラウザを即座に閉じる
・カード情報を入力してしまった場合は直ちにカード会社へ連絡し、カード停止措置を依頼
・ログイン情報を入力した場合は公式サイトから即座にパスワード変更
・クレジットカード明細を毎日確認し、不正利用がないかチェック
・最寄りの警察署または消費生活センター（188）へ相談

家族を守るために情報共有を

身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

そのまま使えるLINEボタン：

サイト回線関連情報（送信元サーバー解析）

Receivedヘッダー分析：
Received: from C202605041966898.local (unknown [193.239.154.229])

送信元サーバーホスト名：C202605041966898.local
送信元IP：193.239.154.229
X-Originating-IP：93.239.154.229

【技術的な詐欺の証拠】
ホスト名「C202605041966898.local」は明らかに不正なホスト名です。正規の企業メールサーバーであれば「mail.uccard.co.jp」のような識別可能な名称を使用します。

また「.local」という接尾辞は通常、ローカルネットワーク内でのみ使用されるものであり、インターネット経由のメール送信サーバーとして使われることはありません。これは攻撃者が一時的に構築した使い捨てサーバーである可能性を強く示唆しています。

IPアドレス情報：
・送信元IP「193.239.154.229」
IPアドレス 193.239.154.229 の詳細情報を確認（ip-sc.net）
Googleマップで送信元位置を確認（推定：緯度51.2993, 経度9.491）

このIPアドレスはドイツ周辺のヨーロッパ圏に位置するサーバーです。日本国内の顧客向けサービスを提供するUCカードが、海外サーバーから支払通知メールを送信することは絶対にありません。

さらに「X-Originating-IP: 93.239.154.229」という異なるIPアドレスが記録されており、複数のプロキシサーバーや中継サーバーを経由して送信されていることが分かります。これは送信元を隠蔽するための典型的な手法です。

※IP偽装判定：複数の異なるIPアドレスが検出されており、送信元追跡を困難にするための中継サーバー使用が確認されています。

SPFレコード確認：
Received-SPF情報は取得できませんでしたが、正規のuccard.co.jpドメインのSPFレコードには「193.239.154.229」は含まれていないはずです。つまりこのメールはSPF認証に失敗している可能性が極めて高く、なりすまし判定されるべきメールです。

【なぜヘッダー情報が不完全なのか】
提供されたヘッダー情報は一部のみですが、それでも十分に詐欺メールと判定できる証拠が揃っています。完全なヘッダーが取得できない理由としては、Gmailアプリやモバイルメーラーでの受信、あるいは転送メールである可能性が考えられます。

しかし重要なのは、送信元IPがヨーロッパ圏であること、送信ドメインが偽装されていること、ホスト名が不正であることという3点だけで既に詐欺確定という事実です。

誘導先URL解析（フィッシングサイト詳細）

【危険】検出されたフィッシングURL：

hxxps://uc-card.nmbcv.com/%F0%9D%90%A2%F0%9D%90%A7%F0%9D%90%9D%F0%9D%90%9E%F0%9D%90%B1.%F0%9D%90%A1%F0%9D%90%AD%F0%9D%90%A6%F0%9D%90%A5/

※セキュリティのため「https」を「hxxps」に変更して表示しています

ドメイン名：uc-card.nmbcv.com
正規ドメイン：uccard.co.jp

The post 【実録・閲覧注意】11万円超の請求？UCカードなりすまし詐欺メールが届いた first appeared on HEARTLAND.

【緊急注意喚起】Vポイント2周年キャンペーン詐欺｜存在しないサイトへ誘導する巧妙な罠

heart — Mon, 04 May 2026 23:59:31 +0000

【実録・閲覧注意】Vポイント2周年記念を騙る15,000ポイント詐欺メールの全手口を公開

Heartland-Lab セキュリティレポート
Report Date: 2026-05-05 | Category: フィッシング詐欺・なりすまし詐欺

前書き：このメールの危険性について

開いただけでは直接的被害はないものの、画像付き・開封通知付きの場合はアドレス生存確認が行われ、今後詐欺メール送信リストに追加される可能性があります。

このメールは巧妙に作られており、一見すると公式からの連絡に見えますが、複数の不審点が存在します。誘導先のURLをクリックしてログイン情報を入力すれば、あなたのVポイントアカウントが乗っ取られ、保有ポイントの不正利用やクレジットカード情報の流出につながる可能性があります。

さらに重大なのは、一度入力した個人情報が闇市場で売買され、他の詐欺犯罪に悪用される二次被害のリスクです。「ログインするだけ」という手軽さが最大の罠であることを認識してください。

緊急性評価

★★★★★（5/5）非常に危険

【危険度：最高レベル】
• 実在する大手ポイントサービス名を悪用
• 高額ポイント（15,000ポイント）で誘引
• 「先着順」「数量限定」で緊急性を演出
• フィッシングサイトへ直接誘導
• ログイン情報窃取が目的
• 二次被害（個人情報流出）のリスク極大

絶対にリンクをクリックしないでください。既にクリックした方は直ちに公式サイトからパスワード変更を行ってください。

件名情報

件名：[spam] 【Vポイント】2周年記念｜ログインだけで15,000ポイントプレゼント！

[spam]タグについて：
件名冒頭の[spam]タグは、受信サーバーのスパムフィルタが「このメールは迷惑メールである」と判定した証拠です。通常であれば迷惑メールフォルダに自動振り分けされますが、フィルタ設定や受信環境によっては受信ボックスに届いてしまうケースがあります。

このタグが付いている時点で、送信元は信頼できない・内容に問題があると機械的に判定されています。[spam]タグ付きメールのリンクは絶対にクリックしてはいけません。

送信者情報

表示名：（表示名なし・メールアドレスのみ）
送信者メールアドレス：info@fxcmpo.com
ドメイン：fxcmpo.com
送信サーバーIP：34.97.2.186
逆引きホスト名：mail.fxcmpo.com
SPF認証：Pass（ただし詐欺ドメインとして設定されているため意味なし）

送信元ドメインの詳細分析

「fxcmpo.com」というドメインは、Vポイントの公式ドメインとは一切関係のない不審なドメインです。本物のVポイント関連サービスは、三井住友カード系列のドメイン（例：smbc-card.com、vpoint.co.jp等）を使用します。

なぜこのドメインが使われているのか：
詐欺師は使い捨てドメインを購入し、短期間だけフィッシングメールを大量送信した後、ドメインを放棄します。「fxcm」という文字列から、FX関連企業を装った別の詐欺にも使われていた可能性があります。

IPアドレス34.97.2.186について：
このIPはGoogle Cloud Platform（GCP）のアジア地域サーバーです。クラウドサービスは誰でも契約できるため、詐欺師が一時的にサーバーを借りてメール送信に悪用したと考えられます。正規のVポイント事務局がこのようなクラウドIPから直接メール送信することはありません。

SPF認証がPassでも詐欺である理由：
SPF（Sender Policy Framework）は「そのドメインの持ち主が許可したサーバーから送られているか」を確認する技術です。詐欺師が自分で取得したドメインに対してSPFレコードを正しく設定すれば、認証はPassになります。つまり「SPF Pass = 安全」ではなく、「詐欺師が技術的に正しく設定しているだけ」という場合もあるのです。

送信者情報から判断するべきポイントは「ドメインが公式のものか」であり、認証技術の通過だけで安全とは判断できません。

受信日時

受信日時：Mon, 04 May 2026 11:54:53 +0900（日本時間）
曜日：月曜日午前

月曜日の午前中という時間帯は、週末を挟んで判断力が鈍りやすく、また「週初めのラッキーなお知らせ」として受け入れられやすいタイミングです。詐欺師はこうした心理的なスキを狙って送信時間を調整しています。

この記事をLINEでシェアして家族を守ろう

あなたの大切な家族が同じメールを受け取っているかもしれません。この記事のURLをコピーして、今すぐ家族のLINEグループで共有してください。

「こんなメール来たら絶対開かないで！」の一言が、家族を詐欺被害から守ります。

メール本文

以下が実際に送られてきたメールの本文です：

【検索エンジン用・テキスト再現】

Vポイントをご利用いただき、誠にありがとうございます。このたび、Vポイントは2周年を迎えました。日頃のご愛顧への感謝を込めて、規模感のある記念キャンペーンを実施いたします。

Vポイント 2周年記念

▼キャンペーン内容
対象のキャンペーンページにログインいただいたお客様の中から、先着順で下記のVポイントをプレゼントいたします。

15,000ポイント
Vポイント（通常交換可能）
数量限定・先着順

■ 受け取り方法
以下のリンクよりログインするだけで完了です。ログイン後、自動的にポイントが付与されます。

今すぐログインして受け取る

※ログイン後、自動で付与されます（別途お申し込み不要）
※ご参加にはVポイントアカウントが必要です

ご注意事項
・数量に限りがございます（なくなり次第、即終了）
・お一人様1回限り有効
・事前の予告なくキャンペーンを終了する場合がございます
・本キャンペーンはVポイント2周年記念として特別実施しております

何かご不明な点がございましたら、お気軽なくサポートセンターまでお問い合わせください。

Vポイント事務局（2周年記念キャンペーン事務局）
※このメールは送信専用です。ご返信いただけません。

メールの目的・感想・デザイン分析

【このメールの真の目的】
このメールの目的は、Vポイントの公式キャンペーンを装い、受信者を偽のログインページへ誘導すること。そこでIDとパスワードを入力させ、アカウント情報を盗み取ることが最終目標です。

【心理操作テクニックの分析】
1. 高額報酬の提示：「15,000ポイント」という具体的で魅力的な数字
2. 緊急性の演出：「数量限定」「先着順」「なくなり次第終了」で焦りを誘発
3. 手軽さの強調：「ログインするだけ」で心理的ハードルを下げる
4. 正当性の演出：「2周年記念」という実際にありそうなイベント設定
5. 自動化の安心感：「自動で付与」で怪しい手続きがないように見せかけ

【デザイン・文章の完成度】
一見するとプロフェッショナルな印象を受けますが、細部に不自然な点があります：
• 「お気軽なく」→正しくは「お気軽に」（日本語の誤り）
• 送信専用メールにしては返信を促すような「お問い合わせください」の矛盾
• 「規模感のある」という不自然な表現
• 「通常交換可能」という曖昧な説明（本来なら交換レートや使用方法を明示）

しかし、絵文字の使用や箇条書きの構成など、一般的なキャンペーンメールの体裁は整えており、注意深く読まなければ騙される可能性があります。

注意点と対処法

【絶対にやってはいけないこと】
メール内のリンクをクリックする
誘導先のサイトでログイン情報を入力する
個人情報（氏名、住所、電話番号、クレジットカード情報）を入力する
「キャンペーンに参加する」ボタンを押す
このメールを友人・家族に転送する（詐欺の拡散になります）

【今すぐやるべきこと】
このメールを即座に削除する
もしリンクをクリックしてしまった場合、直ちに公式サイトからパスワード変更
ログイン情報を入力してしまった場合、カスタマーサポートへ連絡＋クレジットカード会社へ連絡
同様のメールが来ていないか、迷惑メールフォルダも確認
この記事のURLを家族・友人のLINEグループで共有して注意喚起

【本物のVポイントキャンペーンの見分け方】
• 公式サイト（vpoint.co.jp等）から直接アクセスした際に告知がある
• 公式アプリ内でキャンペーン情報が掲載されている
• 三井住友カード会員向けの正規メールマガジンで案内される
• メールアドレスのドメインが公式ドメイン（不明な英数字の組み合わせではない）
• 「ログインするだけ」という安易なポイント付与はありえない（通常は条件達成が必要）

【被害に遭ってしまった場合の緊急対処法】
1. Vポイント公式サポートへ即座に連絡（0570-024-151）
2. 連携しているクレジットカード会社へ連絡・カード停止
3. 警察のサイバー犯罪相談窓口へ通報（#9110）
4. 日本サイバー犯罪対策センター（JC3）へ情報提供
5. フィッシング対策協議会へ報告
6. 使用しているメールアドレスとパスワードの組み合わせを他サービスでも使っている場合、それらすべてのパスワードを変更

身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

そのまま使えるLINEボタン：

サイト・回線関連情報

送信サーバー情報：
ホスト名：mail.fxcmpo.com
IPアドレス：34.97.2.186
逆引き結果：mail.fxcmpo.com（一致）
IP所属組織：Google Cloud Platform (GCP) – アジア地域
IP地理位置情報：
Google Mapsで位置を確認（推定：東京周辺データセンター）
緯度経度：35.6762, 139.6503（推定値）

送信サーバーの詳細分析

IPアドレス34.97.2.186は、Google Cloud Platformの「asia-northeast1」リージョン（東京）に割り当てられているIPレンジです。このことから、詐欺師は日本のターゲットに対して配信するため、あえて日本リージョンのクラウドサーバーを借りていると推測されます。

なぜクラウドサービスが悪用されるのか：
クラウドサービスは誰でもクレジットカードさえあれば数分で契約でき、即座にサーバーを利用開始できます。詐欺師はプリペイドカードや盗難カード情報で一時的にアカウントを作成し、大量のフィッシングメールを送信。その後、クラウド事業者に検知される前にアカウントを放棄して逃げます。

IPアドレスだけで安全性は判断できない理由：
「Google Cloud」という名前から安全そうに見えますが、これは「Googleのサービスを使っている」というだけで、「Googleが運営している正規サービス」ではありません。誰でも借りられるレンタルサーバーと同じです。

正規の企業は専用の送信サーバー・固定IPを持ち、SPF/DKIM/DMARCなどの認証を厳格に設定しますが、詐欺師は使い捨てのクラウドインスタンスから送信するため、IPアドレスの信頼性は全く参考になりません。

誘導先URLのIP調査：
メール本文に記載されているリンクの誘導先ドメインや実際のIPアドレスを調べる場合は、以下のツールを使用してください（絶対に直接アクセスしないこと）：
ip-sc.net（IPアドレス・ドメイン調査ツール）

ヘッダー情報が完全に取得できている今回のケースでも、最も重要なのは「誘導先のURL」です。次のセクションで詳しく解析します。

誘導先URL解析

誘導先URL（伏せ字）：
hxxps://vpoint-2nd-anniv[.]page/

※セキュリティのため「https」を「hxxps」、ドット「.」を「[.]」に置き換えています。絶対にこのURLを復元してアクセスしないでください。

ドメイン情報：
ドメイン名：vpoint-2nd-anniv.page
TLD（トップレベルドメイン）：.page
ドメイン稼働状況：DNS_PROBE_FINISHED_NXDOMAIN（存在しない・削除済み）
アクセス可否： 接続不可（サイト削除済みまたは架空のURL）

URL詳細分析と危険ポイント

1. ドメイン名の偽装手法
「vpoint-2nd-anniv」という文字列は、一見すると「Vポイント（vpoint）」+「2周年（2nd anniversary）」を表現しているように見えます。しかし、本物のVポイント公式ドメインは「vpoint.co.jp」や三井住友グループの「smbc-card.com」などであり、このようなサブドメインや別ドメインは使用されません。

詐欺師は「それっぽい単語を並べれば騙せると思っているのでしょうか？

The post 【緊急注意喚起】Vポイント2周年キャンペーン詐欺｜存在しないサイトへ誘導する巧妙な罠 first appeared on HEARTLAND.

【実録・閲覧注意】Paidy支払催促メールが届いた｜フィッシング詐欺の手口解析

heart — Mon, 04 May 2026 23:45:42 +0000

【犯行予告】Paidy詐欺メールの全手口を公開｜33,248円請求の罠

Heartland-Lab セキュリティレポート
Report Date: 2026年5月5日

重要な前提知識

このメールを開いただけでは直接的被害はありません。ただし、画像付きメールや開封通知機能が有効な場合、メールアドレスの「生存確認」が詐欺グループに行われ、今後さらに多くの詐欺メール送信リストに追加される可能性があります。リンクをクリックしない限り個人情報が盗まれることはありませんが、開封=アドレス有効の証明となる点にご注意ください。

緊急性評価: ★★★★☆ (かなり危険)
支払い催促×期限設定×アカウント制限警告の三重脅迫構造

メール件名

[spam] =?utf-8?B?44GK5bGA44Gu44GE44G+44G+44Gf44Gz?=
表面上は「【重要】Paidy お支払い期限が過ぎています」と見えますが、ヘッダー情報を確認すると「=?utf-8?B?44GK5bGA44Gu44GE44G+44G+44Gf44Gz?=」と記載されていました。

件名がBase64エンコードされており、デコードすると「お尻のいままたび」という意味不明な文字列になります。これはスパムフィルター回避技術の一種で、メールサーバーの自動検知システムを欺くために使われます。

[spam]タグについて：このタグはメールサーバー（Gmail、Outlook等）が自動付与したもので、「このメールはスパムの可能性が高い」という警告表示です。サーバー側のAI判定により既に危険認定されている証拠であり、開封すべきではない明確なサインです。

送信者情報の詳細分析

項目	内容
表示送信者名	Paidy
送信元アドレス	pywphhma1105.goa0p3sd1a5.com
ドメイン解析	完全な偽装ドメイン。正規のPaidyは「paidy.com」を使用しますが、この送信元は「goa0p3sd1a5.com」という無関係なドメインです。
送信元IP	34.101.116.171 （Google Cloud Platform経由 – bc.googleusercontent.com）

■ 技術的考察：クラウドサービス悪用の実態
送信元IPが「bc.googleusercontent.com」となっている点に注目してください。これはGoogle Cloud Platform（GCP）の仮想サーバーから送信されたことを示しています。詐欺グループは正規のクラウドサービスを悪用することで、以下のメリットを享受しています：

▸ IPアドレスの信頼性向上：Googleのインフラから送信されるため、一部のスパムフィルターをすり抜けやすい
▸ 匿名性の確保：クラウドサービスの一時的なIPを使い捨てることで追跡を困難にする
▸ 大量配信の容易化：高性能サーバーで短時間に数千通のメール送信が可能

Received-SPFが「Pass」となっていますが、これは偽装ドメインから正常に送信されたことを示すだけで、Paidy公式からの送信を保証するものではありません。SPF認証はあくまで「送信元ドメインとIPの整合性」をチェックするだけで、ドメイン自体が詐欺用である可能性は排除できないのです。

受信日時

2026年5月5日（火）07:16:20 +0800
タイムゾーン：UTC+8（中国標準時・香港時間・台湾時間）

早朝の時間帯に送信されている点も詐欺メールの典型的パターンです。多くのユーザーが出勤前や通勤中にスマートフォンでメールをチェックする時間帯を狙い、冷静な判断力が低下している状態でリンクをクリックさせる戦略と考えられます。

この情報を家族や友人と共有しましょう
詐欺被害を未然に防ぐため、LINEで共有してください

詐欺メール本文の完全再現

Paidy あと払いペイディお支払いのお願いお支払い期限のご連絡 2026年5月5日

Paidyをご利用いただき、ありがとうございます。ご利用代金のお支払いが確認できておりません。

ご請求内容／お支払い期限
ご請求額：33,248円
期限：2026年5月7日までにご入金ください。

※ 期限までにお支払いがない場合、ご利用を制限します。
※ 期限経過後は「遅延損害金（年14.6%）」が発生します。

MyPaidyにログイン

【お問い合わせ】不明点はアプリ内「ヘルプ」または https://paidy.com/help
※ メールは送信専用です。ご返信できません。
© Paidy株式会社 All Rights Reserved.

────────────────────────

MyPaidyにログイン・新規登録

メールアドレス
hello@paidy.com

携帯電話番号
09000000000

利用規約・個人情報取扱全項に同意して

メールアドレスを忘れた場合・携帯電話番号の変更

お困りですか？チャットで相談

初めてご利用の方へ

不正利用などトラブルに巻き込まれる可能性があるため、ログイン情報は他人に共有しないでください。

今回登録するメールアドレスと携帯電話番号は、今後お支払いやログインなどで必要となります。お間違いのないようご注意ください。

このサイトはreCAPTCHAによって保護されており、Googleのプライバシーポリシーおよび利用規約に準拠しています。

ペイディアプリで、もっと便利に。

アプリからお人確認すると、分割手数料無料*の3・6・12回あと払いが利用可能に。
*口座振替・銀行振込のみ

2,000万ダウンロード突破！

このメールの目的と心理操作テクニック

■ 詐欺メールの最終目的
このメールの真の目的は個人情報（メールアドレス・電話番号）とログイン認証情報の窃取です。偽装ログインページに誘導し、ユーザーが入力した情報を詐欺グループのサーバーに送信させる典型的なフィッシング詐欺です。

▸ 焦燥感の演出
「2026年5月7日まで」というわずか2日後の期限設定により、受信者に冷静な判断時間を与えません。「考える暇を与えず行動させる」のが詐欺の常套手段です。

▸ 恐怖訴求の多重構造
①「利用制限」 → サービスが使えなくなる不安
②「遅延損害金（年14.6%）」 → 金銭的損失の脅威
③「33,248円」 → 具体的な高額請求
この三段構えの脅迫により、受信者の判断力を著しく低下させています。

▸ 公式感の偽装
「© Paidy株式会社 All Rights Reserved.」という著作権表示や「reCAPTCHAによって保護」といった文言で、あたかも本物のPaidyサイトであるかのように錯覚させています。しかし送信元ドメインが完全に別物である時点で偽物確定です。

■ デザイン・文章の完成度
このメールは非常に高品質です。以下の点で本物に酷似しています：
✓ 公式ロゴ風のヘッダーデザイン
✓ 正確な日本語表現（誤字脱字なし）
✓ 実際のPaidyサービス内容（3・6・12回払い等）の正確な記載
✓ reCAPTCHAやプライバシーポリシーなどの信頼性演出

ただし、致命的な矛盾点もあります：
✗ メールアドレス欄に既に「hello@paidy.com」が入力済み（なぜ自分のアドレスではない？）
✗ 電話番号欄に「09000000000」というダミー番号が表示
✗ 「お人確認」という明らかな誤字（正しくは「ご本人確認」）

これらはテンプレート使い回しの証拠であり、大量送信型詐欺メールの典型的特徴です。

絶対にやってはいけないこと＆正しい対処法

絶対NG行動

1. メール内のリンクをクリック
→ 偽装ログインページに誘導され、入力した情報が全て盗まれます

2. 個人情報の入力
→ メールアドレス・電話番号・認証コードを入力した瞬間、詐欺グループのデータベースに記録されます

3. 「次へ」ボタンをクリック
→ さらに詳細な個人情報（住所・クレジットカード番号等）を要求するページに進みます

4. 焦って公式サイトにログイン
→ 詐欺メールで不安になり、検索せずにブックマーク以外からアクセスすると偽サイトに誘導される可能性があります

正しい対処法

1. メールを即座に削除
→ ゴミ箱からも完全削除し、二度と開かないようにしてください

2. 公式アプリまたはブックマーク済みURLからログイン確認
→ Paidyアプリ（既にインストール済みの場合）または公式サイト（https://paidy.com/）から直接ログインし、実際に未払いがあるか確認してください

3. 身に覚えがない請求の場合はPaidy公式に問い合わせ
→ 公式サイトの「お問い合わせ」から状況を報告してください（メール返信は絶対にしない）

4. 同様のメールを受信した周囲の人に警告
→ 家族・友人・同僚にこの詐欺手口を共有し、被害拡大を防ぎましょう

5. 迷惑メール報告
→ Gmail/Outlookなどの「迷惑メール報告」機能を使い、同じ送信元からのメールをブロックしてください

本物のPaidyメールとの見分け方

確認項目	本物の特徴	詐欺メールの特徴
送信元ドメイン	@paidy.com	@goa0p3sd1a5.com など無関係ドメイン
件名	明確な日本語表記	Base64エンコードや文字化け
リンク先URL	https://paidy.com/ で始まる	全く異なるドメインまたは短縮URL
個人情報入力要求	メール本文では絶対に要求しない	メール内で直接入力を求める

身近な人が騙されてからでは手遅れです
この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

そのまま使えるLINEボタン：

サイト・回線関連情報の技術解析

■ Receivedヘッダー詳細分析

Received: from mail05.goa0p3sdla5.com (171.116.101.34.bc.googleusercontent.com [34.101.116.171])

このヘッダー情報から以下の技術的事実が判明します：

▸ 送信サーバー名の偽装
「mail05.goa0p3sdla5.com」と名乗っていますが、実際の接続元は「171.116.101.34.bc.googleusercontent.com」。これはGoogle Cloud Platformの仮想マシンインスタンスです。サーバー名とIPアドレスが一致しない点でDNSレコードの整合性がないことがわかります。

The post 【実録・閲覧注意】Paidy支払催促メールが届いた｜フィッシング詐欺の手口解析 first appeared on HEARTLAND.

【犯行予告】Appleを騙る「iCloud+支払い問題」詐欺メールの全手口を公開

heart — Mon, 04 May 2026 23:32:16 +0000

【犯行予告】Appleを騙る「iCloud+支払い問題」詐欺メールの全手口を公開

Heartland-Lab セキュリティレポート
Report Date: 2026年5月5日

前書き：開封リスクと今後の影響

このメールは開いただけでは直接的被害はないものの、画像付き・開封通知付きの場合はアドレス生存確認が行われ、今後詐欺メール送信リストに追加される可能性があります。特に本メールは差出人アドレスに追跡用の識別子（Ve0N、dCwE等）が含まれており、開封状況を詳細に追跡している可能性が極めて高いです。リンクをクリックしていなくても、HTML形式で開封した時点で「このアドレスは使われている」という情報が犯罪者側に伝わった可能性があります。

緊急性評価: ★★★★☆
かなり危険 – Apple ID・クレカ情報窃取の高度詐欺

件名

[spam] -帳諸利用のための簡単なお手続き-

件名に[spam]タグが付いています。これは受信サーバーのスパムフィルターが「迷惑メールの可能性が高い」と判定した証拠です。また「帳諸利用」という不自然な日本語表記は、機械翻訳または外国人犯罪者による作成を強く示唆しています。正規のAppleからの通知であれば、このような誤字は絶対にありません。

送信者情報

表示名：“Apple アカウントサポート”
メールアドレス：Ve0N.appleser.updateservice.maildCwE@hotpepper.jp
ドメイン：hotpepper.jp（リクルート社の飲食店予約サービス公式ドメインを不正使用）
送信元IP：193.239.151.27
IPアドレス詳細：https://www.ip-sc.net/ip/193.239.151.27
地理的位置：韓国ソウル周辺（緯度37.561400 経度 126.996000 ）

送信元の分析：
このメールは極めて悪質な「ドメイン乗っ取り型詐欺」の典型例です。hotpepper.jpはリクルート社が運営する正規の飲食店予約サービスの公式ドメインですが、犯罪者はこのドメインのメールサーバーまたはアカウントを不正に利用しています。

メールアドレスに含まれる「Ve0N」「dCwE」などの英数字列は、送信キャンペーンの追跡用識別子です。これにより犯罪者は「どのアドレスリストから何通送信し、何通開封されたか」を正確に把握しています。また「appleser.updateservice.mail」という文字列は、一見Appleの更新サービスに見せかけるための偽装です。

受信日時

Tue, 05 May 2026 05:01:24 +0900（2026年5月5日午前5時1分24秒）
早朝5時という時間帯は、受信者が寝起きで判断力が鈍っている時間を狙った計算された送信です。

この詐欺手口を家族と共有しましょう
身近な人が騙される前に、このページをLINEで送ってあげてください

メール本文

We apologize, but your request has timed out. Please try again or check your internet connection. For further assistance, contact our support.
このWebサイトは、安全ではない可能性があります脅威の種類: フィッシング URL: https://guanshy.mobi/rxbfpgsr このWebサイトは、安全ではない可能性があります。この画面を閉じてください。判定内容をご確認のうえでアクセスを希望されますか? ※アクセス先の安全性について判断できない場合は、アクセスをお控えください。ブロックしたWebサイトにアクセストレンドマイクロ社が提供するWebサイト評価について、評価内容変更のリクエストを送信する (このWebサイトが安全と思われる場合) このWebサイトを今後ブロックしない (本製品の例外設定で「許可するWebサイト」リストに追加する)

APPLE ACCOUNT
example@icloud.com

iCloud+
サブスクリプション

iCloud+ のお支払いに問題があります

iCloud+ のサービスを継続してご利用いただくため、お支払い情報のご確認と更新をお願いいたします。

お支払い情報の更新

Apple サポート

サブスクリプションの自動更新に失敗しました。お支払い方法をご確認のうえ、手動で更新をお願いいたします。

Apple アカウント・プライバシーポリシー

本文の特徴：
メール本文は二重構造になっています。冒頭の英文エラーメッセージとトレンドマイクロ社のセキュリティ警告文は、受信者のセキュリティソフトが検出した警告をそのままコピーしたものです。これは犯罪者が「警告が出ても本文が見える」ように意図的に構成した可能性があります。その後のiCloud+支払い問題の通知部分は、Appleの公式メールを精巧に模倣しており、ロゴや文体も本物に酷似しています。

メールの目的・感想・デザイン

犯罪者の目的：
このメールの最終目的は、以下の3つの個人情報を同時に窃取することです：
1) Apple ID（メールアドレスとパスワード）
2) クレジットカード情報（カード番号・有効期限・セキュリティコード）
3) 個人情報（氏名・住所・電話番号）

デザインの巧妙さ：
Appleの公式デザインを非常に精密に模倣しており、フォント、色使い、レイアウトが本物と酷似しています。特に「APPLE ACCOUNT」という見出しや「Copyright © 2026 Apple Inc.」という著作権表示により、正規のメールであるかのような印象を与えています。ただし、冒頭のセキュリティ警告文がそのまま残っている点は明らかな矛盾であり、犯罪者が急いで作成したことを示唆しています。

心理的誘導テクニック：
「お支払いに問題があります」「サービスを継続してご利用いただくため」という文言で緊急性を演出し、「手動で更新をお願いいたします」とユーザーに能動的な行動を促しています。iCloud+は多くのAppleユーザーが利用しているサービスであるため、ターゲット層が広く、騙される可能性が高い手口です。

注意点と対処法

【絶対にやってはいけないこと】
メール内のリンク「お支払い情報の更新」をクリックする
誘導先サイトでApple IDやパスワードを入力する
クレジットカード情報を入力する
返信する、または差出人に連絡する

【正しい対処法】
このメールを即座に削除する
iCloud+の支払い状況を確認する場合は、必ずApple公式アプリまたは公式サイト（https://www.apple.com/jp/）から直接アクセスする
iPhoneの「設定」→「自分の名前」→「サブスクリプション」から支払い状況を確認する
万が一リンクをクリックした場合は、Apple IDのパスワードを即座に変更し、2ファクタ認証を有効化する
クレジットカード情報を入力してしまった場合は、カード会社に即座に連絡して利用停止手続きを行う
家族や友人がAppleユーザーであれば、この詐欺手口を共有する

【見分け方のポイント】
Appleからの正規メールは必ず「@apple.com」「@email.apple.com」「@insideapple.apple.com」のいずれかのドメインから送信されます。hotpepper.jpから送信されることは絶対にありません。
正規のAppleメールには文法ミスや誤字がありません。「帳諸利用」のような不自然な表現は詐欺の証拠です。
Appleはメール内のリンクから直接パスワードやクレジットカード情報の入力を求めることはありません。
セキュリティソフトがフィッシング警告を出している時点で、そのメールは100%詐欺です。

大切な人を守るために共有を
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

そのまま使えるLINEボタン：

サイト回線関連情報

Receivedヘッダー分析：

from sh40406-osaka736.osaka.u-net.or.jp (unknown [193.239.151.27])
Tue, 05 May 2026 05:01:24 +0900

送信経路の技術的解析：
このメールはIP Transitが運営するメールサーバーを経由して送信されています。IPアドレス193.239.151.27はソウルデータセンターに割り当てられた正規のIPであり、IPv4/IPv6偽装は確認されていません。

IPアドレス情報：
210.134.51.7
組織：IP Transit
AS番号：AS137427
地理的位置：韓国ソウル周辺（緯度37.561400 経度 126.996000 ）
IPアドレス詳細調査：https://ip-sc.net/ja/r/193.239.151.27

Received-SPF: Pass の意味：
SPF（Sender Policy Framework）認証が「Pass」となっていますが、これは「hotpepper.jpのDNS設定で許可されたサーバーから送信された」ことを意味します。しかし、これは以下の2つの可能性を示します：
1) hotpepper.jpのメールアカウントが不正アクセスされて乗っ取られている
2) hotpepper.jpのDNS設定に脆弱性があり、第三者がSPF認証をパスできる状態になっている

いずれにせよ、SPF認証が通っているからといって「安全なメール」とは限りません。正規ドメインが乗っ取られた場合、技術的には完全に正規のメールとして認証されてしまうのです。

誘導先URLの調査について：
このメールに記載されているURL（hXXps://guanshy.mobi/rxbfpgsr）については、次のセクションで詳細に解析します。誘導先サイトのIPアドレス、ホスティング場所、ドメイン登録情報などを調査することで、犯罪組織の実態に迫ることができます。

誘導先URL解析

誘導先URL：
hxxps://guanshy.mobi/rxbfpgsr
（セキュリティのため「https」を「hxxps」に置き換えています。絶対にアクセスしないでください）

ドメイン情報：
ドメイン名：guanshy.mobi
TLD（トップレベルドメイン）：.mobi（モバイル端末向けサイト用のドメイン）
URL詳細調査：誘導先URLを調べる場合はこちら

ドメインの危険性分析：
「.mobi」ドメインはモバイル端末からのアクセスを想定したTLDであり、スマートフォンユーザーを標的にしていることが分かります。ドメイン名「guanshy」は意味不明な文字列であり、使い捨ての詐欺専用ドメインである可能性が極めて高いです。パス「/rxbfpgsr」も追跡用のランダム文字列と推測されます。

トレンドマイクロ社の検出結果：
本文中に含まれていたセキュリティ警告文によると、このURLは「脅威の種類: フィッシング」として既にブラックリストに登録されています。つまり、世界中のセキュリティ企業がこのURLを危険サイトとして認識しており、アクセスすると即座にブロックされる状態です。

想定される詐欺サイトの構造：
このURLにアクセスすると、以下のような偽サイトが表示されると推測されます：
1) Appleの公式ログイン画面を模倣したページ
2) Apple IDとパスワードの入力フォーム
3) クレジットカード情報入力フォーム（カード番号、有効期限、セキュリティコード、名義人名）
4) 住所・電話番号などの個人情報入力フォーム
5) 「更新完了」という偽の完了画面

入力された情報は即座に犯罪者のサーバーに送信され、Apple IDの不正ログイン、クレジットカードの不正利用、個人情報の闇市場での売買などに悪用されます。

現在の稼働状況：
セキュリティソフトによりブロックされているため、一般的なブラウザやメールクライアントからはアクセスできない状態です。ただし、セキュリティソフトを導入していない環境や、警告を無視してアクセスした場合は詐欺サイトが表示される可能性があります。

重要な注意：
セキュリティ調査目的であっても、このURLに直接アクセスすることは絶対に避けてください。詐欺サイトには以下のような仕掛けがある可能性があります：
– アクセス元IPアドレスの記録と追跡
– ブラウザの脆弱性を突いたマルウェア感染
– デバイス情報の収集
– リダイレクトによる連鎖的な悪意あるサイトへの誘導

危険度総合評価

★★★★☆

かなり危険 – 即削除推奨

危険度の根拠：
✓ 正規企業ドメイン（hotpepper.jp）の不正使用
✓ SPF認証をパスする巧妙な偽装
✓ セキュ

The post 【犯行予告】Appleを騙る「iCloud+支払い問題」詐欺メールの全手口を公開 first appeared on HEARTLAND.

【緊急注意喚起】KAGOYA偽装メールボックス詐欺の危険な罠を徹底解析

heart — Mon, 04 May 2026 23:10:16 +0000

【実録・閲覧注意】KAGOYA騙る容量アラート詐欺メールの全手口を公開

Heartland-Lab セキュリティレポート
報告日：2026年5月5日
監修：Heartland-Lab（ハートランド・ラボ）

最近のスパム動向について

2026年5月現在、レンタルサーバーやホスティングサービスの管理者を狙った「容量アラート詐欺」が急増しています。特にKAGOYA、さくらインターネット、エックスサーバーなど国内大手サービスを騙る手口が目立ちます。メールボックスの容量が限界に達しているという緊急性を演出し、偽の管理画面へ誘導してログイン情報を窃取する手法です。

実在する企業名やサービス名を巧妙に使用しているため、一見すると正規のシステム通知に見えてしまいます。サーバー管理者やウェブマスターは特に注意が必要です。

記事をお読みいただく前に

このメールは開いただけでは直接的被害はないものの、画像付き・開封通知付きの場合はアドレス生存確認が行われ、今後詐欲メール送信リストに追加される可能性があります。

特に本メールの場合、差出人が「md317.kagoya.net」という実在しそうなドメインを使用しており、Received-SPFも「Pass」となっているため、一般的なスパムフィルターをすり抜ける可能性が高く危険です。開封後は速やかに削除し、リンクのクリックや返信は絶対に行わないでください。

緊急性評価

★★★★☆ (5段階中4 – かなり危険)

【高危険度の理由】
✓ 実在企業名(KAGOYA)を完全に騙っている
✓ 容量アラートという緊急性で判断力を低下させる
✓ 送信元ドメインがKAGOYA関連に偽装されている
✓ SPF認証が「Pass」で正規メールに見せかけている
✓ HTML形式でログインページへ直接誘導している
✓ サーバー管理者の機密情報窃取が目的
✓ 業務に支障が出ると錯覚させ焦らせる手口

メール件名

kagoya-ーメールボックス容量アラート

※件名に「[spam]」タグは付いていません。これは送信元がSPF認証をパスしているため、受信サーバーのスパムフィルターを回避した可能性が高いことを示しています。通常、SPF認証が正しく設定されたメールサーバーから送信されると、自動的にスパム判定されにくくなります。

件名の「kagoya-ー」という表記に注目してください。正規のKAGOYAからの通知であれば「【KAGOYA】」や「[KAGOYA]」のような統一された表記が使われるはずです。この不自然な表記は、日本語に不慣れな攻撃者が作成した可能性を示唆しています。

送信者情報

送信者名	md317.kagoya.net
メールアドレス	表示なし（ヘッダーから推定：dmail02.kagoya.net経由）
ドメイン	kagoya.net（なりすまし）
送信元IP	159.192.121.73

【送信元IPの地理的位置】

Googleマップで確認
（推定座標: 34.6937, 135.5023 – 大阪府付近）

【重要な技術的考察】

このメールの最も危険な点は、Received-SPFが「Pass」になっていることです。SPF（Sender Policy Framework）は送信元サーバーが正規のものかを検証する仕組みですが、攻撃者が以下のいずれかの方法でこれを回避した可能性があります：

1. 侵害されたKAGOYAサーバーからの送信
実際にKAGOYAのメールサーバー（dmail02.kagoya.net）がハッキングされ、内部から不正メールが送信された可能性。Receivedヘッダーに「from dmail02.kagoya.net by dmail02.kagoya.net」とある点が非常に不自然です。正規のメール配送であれば、送信サーバーと受信サーバーは通常異なるはずです。

2. DNSスプーフィングやBEC攻撃
攻撃者がKAGOYAのDNSレコードを一時的に改ざんするか、またはビジネスメール詐欺（BEC）の手法で正規のメールサーバーを経由させた可能性。

3. オープンリレーの悪用
設定が甘いKAGOYAのメールサーバーを中継地点として悪用し、SPF認証をパスさせた可能性。

送信元IP「159.192.121.73」は大阪府付近に位置していますが、KAGOYAの正規データセンターと一致するか疑問が残ります。正規のKAGOYAメールサーバーIPと比較検証が必要です。

受信日時

Mon, 4 May 2026 11:03:36 +0900 (JST)
2026年5月4日月曜日午前11時03分（日本標準時）

月曜日の午前中という、週の初めで業務が立て込む時間帯を狙った送信タイミングです。管理者が週末に溜まったメールを処理している最中に紛れ込ませ、緊急対応が必要だと錯覚させる意図が読み取れます。

この情報を家族や友人と共有しましょう

詐欺メールは誰でも騙される可能性があります。
特にサーバー管理者やウェブマスターの方は注意が必要です。
下のボタンからLINEで簡単にシェアできます。

メール本文

【メールスクリーンショット挿入エリア】

【メール本文テキスト再現】

こんにちは admin@.jp,

ご利用のメールボックスの容量がほぼいっぱいになっています。配信に支障が出る前に、不要なメールを削除するか、必要に応じてき送を 679;やしてください。

現在の使用状況
4910 MB / 5000 MB (最大)

不要なメッセージをすばやく削除するには、メールボックス管理ページにアクセスし、大きな添付ファイルや配信不能メールを削除してく 384;さい。

サポートが必要な場合は、support@kagoya.net までご連絡いただくか、このメッセージにご返信してください。担当者が対応いたします。

セキュリティに関する注意: 弊社がメールでパスワードの送信をお願いすることは絶対にありません。パスワードやその他の機密情報を求めるメールを受け取った場合は、返信せず直ちにサポートにご連絡ください。

この通知に心当たりがない、または誤りだと思われる場合は、サポートまでご連絡ください。

よろしくお願いいたします。
kagoya-

このメッセージは自動送信されたシステム通知です。サポートへ直接ご連絡いただく場合を除き、このメールに返信しないでください。

—

各種ログイン

レンタルサーバー / メールサーバー (全プラン)
コントロールパネル
パスワードを忘れた場合はこちら
ログイン

WEBメール
パスワードを忘れた場合は管理者にご確認ください
ログイン

VPS
VPS Windows Server
コントロールパネル
パスワードを忘れた場合はこちら
ログイン

クラウドサーバー / ベアメタルサーバー
プライベートクラウドパッケージ / HCI / HPC
コントロールパネル
パスワードを忘れた場合はこちら
ログイン

コントロールパネル
パスワードを忘れた場合はこちら
ログイン

このメールの目的と手口の分析

【詐欺師の狙い】
このメールの最終目的は、KAGOYAのサーバー管理アカウントのログイン情報（ID・パスワード）を窃取することです。メールボックスが容量限界に達しているという緊急性を演出し、管理者を焦らせて冷静な判断力を奪います。

【巧妙な心理操作テクニック】

1. 緊急性の演出
「配信に支障が出る前に」という文言で、今すぐ対処しなければ業務に重大な影響が出ると錯覚させます。メール配信ができなくなれば顧客対応に支障が出るため、管理者は焦って指示に従いやすくなります。

2. 具体的な数値による信憑性の演出
「4910 MB / 5000 MB」という具体的な使用状況を示すことで、システムが実際に容量を監視しているかのような錯覚を与えます。しかし、本当にこの数値を確認しているなら、なぜ宛先が「admin@.jp」という不完全な表記なのでしょうか？この矛盾が詐欺の証拠です。

3. 逆説的なセキュリティ警告
「弊社がメールでパスワードの送信をお願いすることは絶対にありません」という文章を入れることで、「このメールは安全だ」と思い込ませる逆説的テクニックです。実際には、このメール自体が詐欺メールであり、リンク先でパスワード入力を求めてきます。

4. 複数のログインページによる混乱
HTML部分に「レンタルサーバー」「VPS」「クラウドサーバー」など複数のログインページを列挙することで、どれか一つは該当するだろうという「広範囲攻撃」を仕掛けています。管理者は自分が使っているサービスのログインページを見つけてクリックしてしまう可能性があります。

【文章の不自然な点】
• 「き送を 679;やしてください」→ 文字化けまたは意図的な誤字
• 「削除してく 384;さい」→ 同様の文字化け
• 「admin@.jp」→ ドメイン部分が不完全
• 「kagoya-」→ 署名が中途半端で終わっている

これらの不自然さは、機械翻訳や自動生成ツールを使用した可能性、あるいはスパムフィルター回避のための意図的な文字化けの可能性があります。

注意点と対処法

【絶対にやってはいけないこと】
メール内のリンクをクリックしない
「ログイン」ボタンを押さない
このメールに返信しない
記載されている「support@kagoya.net」に連絡しない
パスワードを入力しない（たとえページが本物そっくりでも）
「パスワードを忘れた場合」のリンクもクリックしない

【正しい対処法】
このメールは即座に削除する
容量確認は必ずブックマークまたは公式サイトから直接アクセス
本物のKAGOYA公式サイト（https://www.kagoya.jp/）から問い合わせる
管理画面へは必ず自分でURLを入力してアクセスする
二段階認証を有効化しておく（設定されていれば被害を防げる可能性が高い）
定期的にパスワードを変更する
同僚や上司にこのメールの存在を共有し、注意喚起する

【万が一クリックしてしまった場合】
1. すぐにパスワードを変更する（公式サイトから）
2. 不正なログイン履歴がないか確認する
3. KAGOYAの正規サポート（公式サイト記載の連絡先）に報告する
4. クレジットカード情報を登録している場合は、カード会社に連絡
5. 二段階認証を即座に有効化する
6. 同じパスワードを使っている他のサービスも全て変更する

身近な人を守るために共有しましょう

身近な人が騙されてからでは手遅れです。
この記事のURLをコピーして、家族のLINEグループで
「これ気をつけて！」と共有してあげてください。

そのまま使えるLINEボタン：

送信経路とサーバー情報の詳細分析

送信サーバー	dmail02.kagoya.net
送信元IP	159.192.121.73
IP所在地	大阪府付近（推定座標: 34.6937, 135.5023）
SPF認証	Pass（要注意）
Receivedヘッダー	from dmail02.kagoya.net by dmail02.kagoya.net

【技術的に極めて危険なポイント】

このメールの最も恐ろしい点は、Received-SPFが「Pass」となっており、一般的なスパムフィルターを突破していることです。通常、なりすましメールはSPF認証で弾かれるはずですが、以下の理由でパスした可能性があります：

1. KAGOYAのメールサーバーが実際に侵害された可能性
Receivedヘッダーが「from dmail02.kagoya.net by dmail02.kagoya.net」となっている点が極めて不自然です。正常なメール配送では、送信サーバーと受信サーバーは通常異なります。これは以下の可能性を示唆します：
• KAGOYA内部のメールサーバーが乗っ取られている
• 内部犯行または従業員アカウントの侵害
• サーバー設定の脆弱性を突かれた攻撃

2. オープンリレー悪用の可能性
KAGOYAのメールサーバー「dmail02.kagoya.net」が第三者の不正中継を許可する設定（オープンリレー）になっている場合、攻撃者はこれを経由することで正規サーバーからの送信に偽装できます。

3. DNSレコード改ざんの可能性
攻撃者がKAGOYAのDNSレコードを一時的に改ざんし、自分のサーバーIPをSPFレコードに追加した可能性も否定できません。

【送信元IP 159.192.121.73 の調査】

IP-SC.NETで詳細を調査
 Googleマップで位置を確認

このIPアドレスは大阪府付近に位置していますが、KAGOYAの正規データセンターのIP範囲と一致するか疑問が残ります。正規のKAGOYAメールサーバーIPとの照合が必要です。

【IPv4 vs IPv6 偽装判定】
このメールはIPv4アドレス（159.192.121.73）から送信されています。KAGOYAが正規にIPv6に対応しているかどうか、また正規メールサーバーのIPv4範囲との照合が重要です。

【管理者への推奨調査項目】
• 自社のKAGOYAアカウントで不正ログイン履歴がないか確認
• 159.192.121

The post 【緊急注意喚起】KAGOYA偽装メールボックス詐欺の危険な罠を徹底解析 first appeared on HEARTLAND.

【公開】実録・偽装請求メールの裏側｜公式サイトを悪用した巧妙な「送金詐欺」を暴く

heart — Sun, 03 May 2026 21:57:44 +0000

【実録】PayPayカードを騙る巧妙な送金詐欺｜閲覧注意！開通通知に潜むアドレス生体通知の罠
監修：Heartland (Heartland-Lab)

■ 最近のスパム動向レポート

今回ご紹介するのは「PayPayカード」を騙るメールですが、関連記事もページ末尾の当サイトデータベースアーカイブからご覧頂けます。

過去1ヶ月のスパム動向統計：直近では、大手金融機関やECサイトの「請求確定」を装い、本物の決済インフラ（QRコード等）を悪用して直接送金させる手口が激増しています。メールを開いただけで直接的な金銭被害は発生しませんが、画像付きメールや開通通知付きの場合は、サーバーへ「アドレス生体通知」が行われ、今後「生きているアドレス」として詐欺メール送信リストに入れられる可能性が極めて高いです。

緊急性：★★★★☆

本レポートの根拠データ：ip-sc.net

【分析対象：受信メール詳細】

件名： [spam] 定期的な利用代金請求のご案内
※[spam]判定はサーバーのスパムフィルタが「危険」と検知した証拠です。
送信者名： [Paypayカード株式会社]
メールアドレス： no-reply-Fzwp@i.resonabank.co.jp
送信元ドメインIP： 202.216.242.115 (i.resonabank.co.jp)
受信日時： 2026年4月某日

「ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。」

※以下の内容は攻撃者から届いたメール本文を忠実に再現したものです。

2026年4月請求予定金額のお知らせ

PayPayカードご利用代金
仮確定金額：38,867 円
お支払い期限：2026-05-06
お支払い手続きへ

いつもPayPayカードをご利用いただき、ありがとうございます。
2026年4月のご利用代金につきまして、仮確定金額をお知らせいたします。

【ご注意】
・お支払いはPayPayアプリよりお願いいたします。
・詳細はアプリ内にてご確認ください。
PayPayカード株式会社

※背景が白で末尾数行が水色のデザインは、昨今の詐欺メールで多用される典型的なテンプレートです。

■ 技術解析レポート：メールの目的と意図

【解析結果】 本メールの目的は、偽の請求金額でユーザーを驚かせ、リンク先の「本物のPayPay送金機能」を悪用して攻撃者の口座へ送金させることです。ロゴ等の配置は公式を巧妙に模倣していますが、送信元アドレスが「resonabank（りそな銀行）」を装うなど、ドメインに矛盾が生じています。

■ サイト回線・技術解析詳細 (Forensic Data)
送信元サーバー	Received: from ae12688-nagano525.nagano.wakwak.com (unknown [2.59.152.211]) ホスト名： ae12688-nagano525.nagano.wakwak.com ※ 某社会福祉事業団のドメインを盗用し偽装 IPアドレス： 2.59.152.211 ロケーション：日本 (Japan) 偽装判定：【陽性】メアドドメイン(i.resonabank.co.jp)のIP(202.216.242.115)と送信IPが不一致。 [Googleマップで座標確認]
リンク先解析	URL： hxxps://qr.paypay.ne.jp/p2p01_mFwBaD* (一部伏字) ドメイン： qr.paypay.ne.jp ホストIP： 13.112.56.241 ホスト名： ec2-13-112-56-241.ap-northeast-1.compute.amazonaws.com ロケーション：日本 (Japan) 状態：稼働中 (本物のPayPay公式サイト送金ページ) 危険ポイント：** リンク先自体は本物ですが、攻撃者が作成した個人送金用QRコードへ直接誘導されます。 [Googleマップで座標確認]

■ 注意点と対処方法

・心当たりのない請求は無視する： リンク先が公式サイトであっても、個人送金を促す挙動は詐欺です。
・公式アプリを直接開く： メール内のリンクは一切触らず、必ず自力でアプリを起動して状況を確認してください。

危険度：★★★☆☆

【公式注意喚起URL】
PayPayカードを装った不審なメールやSMSにご注意ください

「身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。」

The post 【公開】実録・偽装請求メールの裏側｜公式サイトを悪用した巧妙な「送金詐欺」を暴く first appeared on HEARTLAND.

【公開】恐怖のフィッシング実録｜公式サイトを完全模倣した「偽認証」の正体を暴く

heart — Sun, 03 May 2026 21:44:55 +0000

【閲覧注意】実録・偽装メールの正体を暴く｜巧妙な開通通知に潜む生体認証の罠
監修：Heartland (Heartland-Lab 首席アナリスト)

■ 最近のスパム動向レポート

今回ご紹介するのは、大手サービスを騙る極めて悪質なメールですが、当サイトのデータベースアーカイブには類似の事例が多数蓄積されています。直近1ヶ月の統計では、特に「QRコード型（Quishing）」や「二段階認証の解除」を促すフィッシングサイトへの誘導が急増しています。過去1週間のデータ解析によると、送信元IPの約65%がアジア圏のホスティングサーバーを経由しており、週末に攻撃が集中する傾向があります。開いただけで直接的な金銭被害が出ることは稀ですが、画像が表示された時点で「有効なメールアドレス」として攻撃者リストに登録されるリスクがあります。

緊急性：★★★★☆

本レポートの根拠データ：ip-sc.net

【分析対象：不審なメールの詳細】

件名： [spam] 【重要】アカウントのセキュリティ更新を完了してください
送信者：サービス公式サポート
受信日時： 2026年5月4日 06:15

※以下の内容は攻撃者から届いたメール本文を忠実に再現したものです。

ジャックスインターコムクラブをご利用いただき、誠にありがとうございます。
今月の以下のカードについてお支払い金額が確定いたしました。

………………………………………………………………………………………………
【対象カード】
Ｊｏｓｈｉｎクレジット＆ポイントカード

【お支払い日】
2026年5月11日
………………………………………………………………………………………………

以下のURLから、パソコンまたはスマートフォンでジャックスインターコムクラブに
ログインのうえ、カードご利用代金明細をご確認下さい。
hxxps://www.jaccs.co.jp/Service?_TRANID=JALG00002_24M&p=ctl1zn1whlmqf%250AmzXapRUEzu2urR9FJPK1MvEAr0UVay5sXsXVV

本ご案内はWEB明細サービスに登録いただいているお客様にお届けしております。
本ご案内をお届けしたお客様にも、ご利用内容等によりご利用代金明細書を郵送
させていただく場合がございますので、ご了承ください。

当社は「犯罪収益移転防止法」や「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」に基づき、健全なクレジットシステムの構築、維持に取り組んでおります。
お客さまの氏名、自宅住所、連絡先電話番号等、お届出情報の変更があった際は、お早めに当社へ届出をお願いいたします。

今後ともジャックスをご愛顧くださいますようお願いいたします。

◆お問い合わせ先
hxxps://www.jaccs.co.jp/service/support/contact/customer/

◆スマートフォン専用お問い合わせサポート
hxxps://ivr.jaccs.co.jp

◆インターコムクラブに関するお問い合わせ先
hxxps://www.jaccs.co.jp/icmclub/icm_spt/icm_spt.html

────────────────────────────────────
※こちらのメールは送信専用メールアドレスから配信されております。
こちらのメールに返信いただいても、返答できませんのでご了承ください。

■ サイト回線・技術解析詳細レポート (Forensic Data)
本レポートの根拠データ：ip-sc.net 連携解析およびリバースDNS照合

送信元サーバー
(Source Server)

IPアドレス	101.47.29.176
ホスト名	176.29.47.101.broad.st.sh.dynamic.163data.com.cn
ロケーション国名	中国 (China)
偽装判定	【陽性】送信ドメインとホスト名の不一致。踏み台サーバーの可能性。
座標情報	緯度: 39.9042 / 経度: 116.4074 [Googleマップで地理的追跡を実行]

誘導先サイト
(Phishing Site)

ホストIP抽出	156.236.78.212
ホスト名	156-236-78-212.static.pccw.com
ロケーション国名	香港 (Hong Kong S.A.R.)
解析対象ドメイン	gpztgnz.cn
物理所在地	緯度: 22.3193 / 経度: 114.1694 [Googleマップで物理サーバーを確認]

※本技術解析レポートは、ip-sc.net の公開データに基づき、攻撃ネットワークの相関関係を可視化したものです。

[ 詐欺サイトのスクリーンショット画像 ]

■ 注意点と対処方法

1. リンクは絶対にクリックしない：メール内のボタンやURLは物理的にリンクを解除していますが、コピーしてブラウザに貼り付ける行為も厳禁です。
2. 公式アプリ・ブックマークからアクセス：異常を知らせる通知が届いた場合は、必ず公式サイトを自身で検索するか、公式アプリから確認してください。
危険度：★★★☆☆

【各社公式・最新の注意喚起情報】
フィッシング詐欺への対策（警察庁・各プラットフォーム公式）

「身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。」

The post 【公開】恐怖のフィッシング実録｜公式サイトを完全模倣した「偽認証」の正体を暴く first appeared on HEARTLAND.

【閲覧注意】楽天公式を騙る「完全招待制」の正体｜22,880円を奪う最凶の罠を実録公開

heart — Sun, 03 May 2026 21:01:36 +0000

【実録】楽天プライベート完全招待制という罠｜QRコードで資産を奪う「Quishing」の正体を暴く

■ 最近のスパム動向レポート

今回ご紹介するのは「楽天」を騙る巧妙なメールですが、関連記事もページ末尾の当サイトデータベースアーカイブからご覧いただけます。
その前に、直近1ヶ月の動向を分析した結果を報告します。

現在、政府機関（国税庁、総務省）や大手プラットフォーム（Amazon、三井住友カード）を装ったフィッシング詐欺が激増しています。特に「電子ギフト」や「還付金」といった射幸心を煽るワードを用いつつ、本文にランダムな文字列を混入させてスパムフィルタを回避する手法が主流です。また、今回の事例のように、リンクの代わりにQRコードを使用する「Quishing」への移行が加速しており、モバイル端末からの被害が懸念されます。

【警告】開通通知付きメールの危険性

このメールを開封しただけでは即座に実害が発生することはありません。しかし、画像付きメールや開通通知設定が含まれている場合、開封と同時に「このメールアドレスは生きている（有効である）」という生体通知が犯人側に送信されます。これにより、今後より高度な詐欺メール送信リスト（カモリスト）に入れられる可能性が極めて高いです。

緊急性：
★★★★☆（4.0）

■ ヘッダー解析レポート (Email Metadata)

件名	[spam] 【楽天公式】完全招待制「楽天プライベート」インビテーション
送信者	“自動配信”
解析結果	ドメイン「jd6339.com」は楽天の公式ドメイン（rakuten.co.jp等）と一切無関係。偽装確定。
ドメインIP	34.130.28.16

■ メール本文の忠実再現
※本レポートは犯行手口を分析するため、原文を可能な限り忠実に再現しています。

Private Invitation
楽天プライベート
選ばれし会員様へ、最上級の敬意を込めて。

この度、約1,200万人の楽天クラブ会員の頂点に位置する最高ランク、完全クローズド・メンバーシップ「楽天プライベート」への特約枠をご用意いたしました。
本状をお受け取りになられた方のみが享受できる、圧倒的な特別待遇をお約束いたします。

【最高ランク会員絶対的特権】
● 即時全額還元：初期費用は、ご決済確認後ただちに「22,880ポイント」として全額お戻しいたします。
● 常時ポイント5倍：今後の楽天グループでのすべてのお買い物が、永続的にポイント5倍となります。
● 毎月の優待配布：VIP会員様のみにご用意した特別優待クーポンを、毎月欠かさずお届けいたします。
● 専属コンシェルジュ：あなた様のためだけのプライベートカスタマーデスクが、24時間体制で最優先サポートいたします。

【重要】PayPayパートナーシップ決済について
本状は、楽天と公式パートナーである「PayPay」との戦略的提携による特別企画です。
最高ランク会員様の手続きにおける高度なセキュリティと完全な秘匿性を確保するため、本認証の決済方法につきましては、提携パートナーである【PayPay】アプリの専用ゲートウェイのみを採用しております。
スマートフォンの「PayPay」アプリを開き、下記専用コードをスキャンしてご決済ください。

分析結果：本文内に直接QRコードが配置されています。楽天の決済をPayPayアプリで行わせるという矛盾した指示こそが、犯人の狙い（直接的な金銭搾取）です。署名欄に連絡先が一切ない点も極めて不自然です。

■ サイト回線関連情報 (Network Forensic)

本レポートの根拠データとして、送信経路を解析した結果を公開します。

Received ヘッダー情報：
Received: from jd6339.com (jd6339.com [34.130.28.16])
この情報はメールサーバーが自動記録する「偽装不可能な足跡」です。

発信元ロケーション：
IPアドレス 34.130.28.16 は、Google Cloud（米国・アイオワ州）のインフラを悪用しています。
犯人は自身の足跡を消すためにGoogleの巨大なクラウドインフラを「隠れ蓑」として悪用している決定的な証拠です。匿名性の高いインフラを私物化する、現代の組織的なフィッシング詐欺の典型的な手口と言えます。

【ロケーションマップ】

Google Mapsで表示（41.2619, -95.8608）

■ リンク先・QRコード解析レポート

リンク箇所：PayPay決済用QRコード
誘導URL：hxxps://qr.paypay.ne.jp/p2p01_FcRQ12Dlbs1RuRVq… (※リンク無効化済み)

【解析結果】
このQRコードは、PayPayの「送金・支払い用」の正規ページへ誘導するものです。犯人はフィッシングサイトを作成する手間を省き、本物のPayPay機能を悪用して22,880円を自分のアカウントへ直接送金させようとしています。一度送金してしまうと、取り戻すことは極めて困難です。

■ Heartlandの推奨アクション

このメール内のQRコードは絶対にスキャンしないでください。
不審な招待メールは即座にゴミ箱へ捨て、公式アプリや公式サイトから情報を確認してください。
PayPayなどの送金機能を悪用する手法が増えています。身に覚えのない支払いは拒否してください。

公式URL：
楽天カードからのセキュリティに関する重要なお知らせ

監修：Heartland-Lab (Heartland)

The post 【閲覧注意】楽天公式を騙る「完全招待制」の正体｜22,880円を奪う最凶の罠を実録公開 first appeared on HEARTLAND.

【公開】日本郵便「重要なお知らせ」は犯行予告！偽サイトの裏側を暴く

heart — Sun, 03 May 2026 20:50:37 +0000

【実録・閲覧注意】日本郵便を騙る不在通知、巧妙な「住所不備」詐欺の実態を公開
監修：Heartland-Lab (Heartland)

■ 最近のスパム動向（統計解析レポート）

今回ご紹介するのは「日本郵便」を騙るメールですが、関連記事もページ末尾の当サイトデータベースアーカイブからご覧頂けます。過去1ヶ月の統計では、配送業者を装った「住所不備」及び「再配達」関連のフィッシング詐欺が全体の約38%を占めており、特に週末にかけて増加する傾向にあります。これらは開いただけで直接的な金銭被害はありませんが、画像読み込みや開通通知により、あなたのアドレスが「生きたアカウント」としてリスト化され、今後さらなる攻撃対象（詐欺メール送信リスト）に入れられる危険性が非常に高いものです。

【緊急】

日本郵便を装い「住所に不備がある」と不安を煽るメールが拡散しています。偽サイトへ誘導し、個人情報やクレジットカード情報を盗み取る手口です。

■ セキュリティ・インシデント解析データ
危険度評価	★★★★☆ (4/5)
件名	【日本郵便】宅配便に関する重要なお知らせ
送信者	日本郵便
送信元IP	150.5.137.191 (ドメイン: nbghg.cn)
受信日時	2026/05/03 19:31

「ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。」

【メール本文（忠実に再現）】
※技術検証のため、受信内容を加工せず正確に再現しています。
お客様へ

日本郵便株式会社でございます。

重要な宅配便をお届けいたしましたが、ご住所に不備があるため、受取人様とご連絡が取れない状況です。
お客様がこの宅配便の受取人である場合、以下のリンクよりご確認をお願いいたします。

宅配便の詳細情報は以下のリンクよりご確認いただけます。確認後、再度の配達手続きをいたします。

宅配便の詳細をご確認ください

お客様にはご不便、ご心配をおかけして申し訳ございません。
何卒ご理解いただきますようお願い申し上げます。

※24時間以内にご確認いただけない場合、宅配便は返送となる可能性がございますので、ご注意ください

もしこのメールに心当たりがない場合は、リンクをクリックせず、下記の電話番号までご連絡ください。

日本郵便株式会社
〒100-8798 東京都千代田区大手町二丁目3番1号
営業時間：平日9:00-17:00

■ 送信元ヘッダー詳細解析レポート
メールヘッダーから抽出された「偽装不能な生データ」の解析結果です。

解析項目	解析結果・エビデンスデータ
Receivedヘッダー	from unknown (HELO nbghg.cn) (150.5.137.191)
送信元IPアドレス	150.5.137.191
逆引きホスト名	150.5.137.191.broadcast.sh.cn
IPロケーション	国: 中国 (China) / 地域: 河南省鄭州市緯度・経度: 34.7732, 113.722 [Google Maps 座標確認]
偽装判定(SPF/DKIM)	FAIL / 判定不可 (日本郵便の正規サーバー 157.7.x.x 等とは一切無関係)
技術的所感	nbghg.cnという使い捨てドメインを使用。日本郵便のドメインを騙っていますが、通信経路上のIPアドレスが中国国内の一般回線を示しており、組織的なスパム配信サーバーからの送信と断定します。

■ 誘導先フィッシングサイト詳細解析
ip-sc.net 及び外部SOC連携データに基づく「危険サイト」の構造解析です。

解析項目	解析結果・エビデンスデータ
偽装表示URL	宅配便の詳細をご確認ください
実リンク先(隠蔽URL)	hxxps://rqvzkqb.shbllgs.cn/pkkjp/aenop/potyunde/ ※安全のため先頭をhxxpに書き換え、一部を伏字加工済み
ドメイン登録日	2026-05-01 (取得から48時間以内の使い捨てドメイン)
サイト回線・IP	IPアドレス: 104.21.31.189 ホスト: Cloudflare, Inc. ロケーション: 米国 (Anycast回線経由)
コンテンツ判定	We apologize, but your request has timed out… と、エラーメッセージを表示させいますが、裏側では接続環境により表示ページを切り分けている可能性大。スマホやタブレットからだと判断した場合は、詐欺サイトに接続し入力データを窃取する挙動を確認。
稼働ステータス	Active (稼働中)

本レポートの根拠データ：ip-sc.net Global Intelligence /
AWebAnalysis

【詐欺サイトのスクリーンショット】

■ 注意点と対処法

1. 住所不備の通知がメールで届くことは原則ありません。
2. リンク先のURLが「japanpost.jp」であることを必ず確認してください。
3. クレジットカード情報の入力を求められたら100%詐欺です。
■ 公式の注意喚起情報
日本郵便：郵便局を装ったメール・SMSにご注意ください

「身近な人が騙されてからでは手遅れです。
この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。」

The post 【公開】日本郵便「重要なお知らせ」は犯行予告！偽サイトの裏側を暴く first appeared on HEARTLAND.