| 頼れる街のIT専門家からのご挨拶 みなさん、こんにちは。
街のIT専門家、Heartland(ハートランド)です。
いつも当ラボの解析レポートをご覧いただき、ありがとうございます。
本日も皆様からお寄せいただいた不審なメールの山から、特に巧妙で危険な事例をピックアップして徹底的に解剖していきます。
見慣れたロゴや丁寧な文章に騙されないよう、安全な場所から一緒に仕組みを紐解いていきましょう。 今回ご紹介するのは「PayPay(ペイペイ)」を騙る不審なメールですが、同ジャンルの関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。
■ 最近のスパム動向と開示のリスク 最近、実在する大手決済サービスや金融機関を騙り、「アカウントが制限された」「お祝いポイントが届いている」といった口実で偽サイトへ誘導する手口が急増しています。
このようなメールは、受け取って開いただけ(閲覧しただけ)であれば、すぐに直接的な金銭被害が発生するわけではありません。 しかし、画像付きのメール(HTML形式のメール)を表示させたり、「画像を表示する」といった操作を行ったりすると、メール内に仕込まれた特殊な配信確認用のデータが犯人側のサーバーと通信を行ってしまいます。
これにより、「このメールアドレスは現在も持ち主が使っている」という、いわゆるアドレスの生体通知(開通通知)が自動的に完了してしまう恐れがあります。 生きたアドレスであると判定されると、今後さらに巧妙化したフィッシング詐欺メールの送信対象リストに入れられ、攻撃がエスカレートする危険性があります。
そのため、見覚えのない不審なメールを受け取った際は、プレビュー画面などで安易に画像を表示させないよう細心の注意が必要です。
■ 今回の不審なメール基本情報 | 緊急性評価 | ★★★☆☆ (5段階中 3:警戒が必要) | | メール件名 | [spam] 【PayPay】アカウント制限解除およびポイント再開のご案内
※件名の冒頭に「[spam](スパム)」という目印が付けられています。
これは、プロバイダや受信サーバーのセキュリティフィルターが「このメールは迷惑メール(あるいは詐欺メール)の可能性が非常に高い」と自動的に判定し、受信者へ危険を知らせるために自動的に付与した警告用の文字列です。 | | 送信者名 | “PayPay” <YNIYBU@cjdkmjl.confirm.kgkeuw.com> | | 受信日時 | 2026年5月28日 14時46分頃 | ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ メール本文のスクショと忠実な再現 | 【受信メール本文のスクリーンショット】 
| ▼ メールのデザインと構成に関する専門家の感想
上部に黒い背景の帯を配し、白抜きで公式そっくりのロゴを配置しています。
さらに「アカウントのご利用制限が解除されました」という文言を、安心感を与える淡い緑色の背景で囲むなど、非常にデザインの完成度が高いです。
「通常利用中」「受取・利用 再開済み」といったステータス表示を並べ、目立つ赤い大きなボタンで偽サイトへ誘導する心理的なトラップ(罠)が仕掛けられています。
丁寧な日本語で書かれており、一見しただけでは偽物だと見抜くのが非常に困難な作りになっています。 ※以下の内容は、受信した実際の詐欺メールから、デザインやテキストをブログ上にできる限り正確に再現したものです。(黒文字を一切使わず再現しています)
PayPay
Account Status Notification | | アカウントのご利用制限が解除されました |
■■■■ 様 平素よりPayPayをご利用いただき、ありがとうございます。PayPay株式会社でございます。 お客様のPayPayアカウントについて、先般のご利用制限措置がすべて解除され、通常どおりのご利用が可能となったことをご報告申し上げます。ご不便をおかけいたしましたことをお詫び申し上げます。 制限期間中に保留されてお互いましたポイントの受取機能およびご利用機能も併せて再開されております。現在お客様がお受取り可能なポイントがございますので、下記よりご確認いただけますと幸いです。
アカウント状態: 通常利用中
ポイント機能: 受取・利用 再開済み
|
・制限期間中にポイントの有効期限が経過した場合、復元できない場合がございます。
・ご不明な点がございましたら、PayPayアプリ内の「ヘルプ」よりお問い合わせください。
・本通知はお客様のアカウントに紐づく重要なお知らせです。
PayPay株式会社
〒102-0094 東京都千代田区紀尾井町1-3
© PayPay Corporation. All Rights Reserved.
※ 本メールは自動送信されています。 | | |
■ 配信ルートと送信元ヘッダーの解析結果 ▼ ヘッダー情報の抽出データ | Received-SPF | Pass (sender SPF authorized) identity=mailfrom; client-ip=35.217.71.13; helo=confirm.kgkeuw.com; envelope-from=yniybu@cjdkmjl.confirm.kgkeuw.com; | | 最古のReceived | from confirm.kgkeuw.com (kgkeuw.com [35.217.71.13]) by dmail04.m*****_net … for <x*****@y*********.jp>; Thu, 28 May 2026 14:46:30 +0900 (JST) | ※注意:メールヘッダー情報には、受信者側の具体的なサーバー運用情報(ホスト名や内部配送ルートなど)が詳細に刻まれています。セキュリティ保護および個人情報保護の観点から、一部のドメイン名やメールアドレスの固有部分は伏字に加工しております。そのため、ヘッダー全体の生スクリーンショットの掲載は控えさせていただきます。 ▼ 送信元サーバーの身元判定と位置情報
送信者のメールアドレスに使われているドメインのIPアドレス(インターネット上の住所)と、メールヘッダーに記録された「最古のReceived(一番初めにメールを中継したサーバー)」のIPアドレスを照合したところ、双方が完全に一致しました。
これは、他人の無関係なメールサーバーを第三者が乗っ取って送る「なりすまし(偽装)」ではなく、犯人がこの詐欺メールを配信するためだけに用意した専用サーバーから、直接送信されたものであることを示しています。 | 対象のIPアドレス | 推定ロケーションマップ(位置情報) | 偽装判定ステータス | | 35.217.71.13 |
🌐 ip-sc.netで詳細を確認する
📍 位置情報参考:Googleマップで開く
(緯度:4.570868 / 経度:-74.297333)
| 認証通過(Pass)
※Google Cloud(グーグルクラウド)のクラウド型ネットワークインフラ(南米コロンビア付近のノード)が悪用されて構築された送信サーバーです。なお、IPアドレスから割り出される位置情報は刻々と変化するため、あくまで参考値となります。 |
■ 誘導先フィッシングサイトの徹底分析 ▼ リンクが仕掛けられている場所と偽URL
メール本文内の「ポイント状況を確認する」という目立つ赤いボタンに、不正なリンクが埋め込まれていました。
実際のリンク先URLは以下の通りです。
* 偽サイトのURL: `https://www.e***j.com/?peSlVJYOZ4ed&type=paypay`
※安全のため、URLの自動リンクは解除し、一部文字に伏字加工を施しています。ご覧のようにPayPayの公式サイト(paypay.ne.jp)とは一文字も掠っていない、海外で取得された無関係な使い捨てドメインです。 ▼ リンク先サイトの稼働状況およびインフラ情報
犯人が用意した接続先サーバーのバックエンドデータを解析した結果です。 ▼ クローキング(閲覧制限)の罠とブロック画面の理由 | 【「アクセス拒否」のスクリーンショット】 | 一般のユーザーや調査員がこのURLに直接アクセスした際、上の画面のように「アクセス拒否 リクエストがブロックされました。後ほどお試しください。ファイアウォールで保護されています」という素っ気ないエラー画面が表示されるケースがあります。
一見すると「サイトがすでに壊れている」「安全に守られている」ように見えますが、これこそが犯人の仕掛けた「クローキング(アクセス者の環境に応じて表示内容を偽装・選別する技術)」の結果です。 犯人は、セキュリティ会社の調査ロボットやパソコンからのアクセスに対しては、このような「無害なエラー画面」を意図的に見せて追跡を逃れようとします。
その一方で、スマートフォンの特定の環境や、メール内の特殊な追跡コードを経由した「本物の標的(被害者)」がアクセスしてきた時にだけ、本物そっくりの偽ログイン画面を表示させる仕掛けを施しているのです。
つまり、エラーが出たからといって「安全なサイトだった(あるいは消滅したサイトだ)」と誤認するのは非常に危険であるということです。 | 【「ウイルスバスター警告」のスクリーンショット】 
| 今回の事例では、優秀なセキュリティ対策ソフト(ウイルスバスター クラウド)が、このクローキングの裏に隠された悪意をいち早く検知し、「このWebサイトは、安全ではない可能性があります(脅威の種類:フィッシング)」として、通信を強制的に遮断してくれました。
このような警告画面が出た場合は、絶対に「ブロックしたWebサイトにアクセス」といった例外ボタンを押してはなりません。
🚨 大切な家族を守るための注意点と対処法 もしこのようなメールが届いたら?
* メール内のリンクやボタンは絶対に触らない:
「制限解除」「ポイント失効」といった言葉で受取人を慌てさせようとしますが、完全に無視してください。
* 公式アプリや公式ブックマークから確認する:
どうしてもアカウントの状態が気になる場合は、メール内のリンクではなく、スマートフォンの「公式PayPayアプリ」を直接起動して、アプリ内のお知らせボックス等を確認する癖をつけてください。 大切な家族にも伝えてあげてください:
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ まとめ 今回のPayPayを騙るフィッシングメールは、見た目のデザインが非常に洗練されており、クローキング技術を使ってセキュリティの網を掻い潜ろうとする極めて悪質なものでした。
しかし、送信元のメールアドレス(ドメイン)や、誘導先のURLを細かく確認すれば、公式とは全く異なる偽物であることがはっきりと分かります。 つまり、「身を案じるような緊急の通知ほど、一歩立ち止まって公式アプリから確認すべきである」ということです。 身近な人が騙されてからでは手遅れです。
この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
🗂️ サイトデータベース検索 関連する過去の解析事例はこちらから検索できます。 📌 同じ手口の関連記事:
【実録】三井住友カードを騙る詐欺メールも確認されています→こちら | 
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖