【PayPay】「アプリ最新バージョンへのアップデートをお願いします」は詐欺——GCPシンガポールから送信、誘導先ドメインは既に閉鎖済み

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★☆☆ (3/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【重要】PayPayアプリ最新バージョンへのアップデートをお願いします
送信者表示:“緊急連絡センター” <送信者A>
送信元IP(Received-SPF: client-ip):34.143.221.136
SPF認証:Pass(このドメイン自体が送信元として正規登録されている、という意味に過ぎません)
受信日時:2026年7月13日(日)05:52:08
※メールヘッダー詳細(生ログ)は個人情報保護のため非掲載
ご覧の通り、このメールは公式PayPayを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです(デザインは実際のメールと多少異なる場合があります)。

実際に届いた詐欺メールの表示画面
【緊急要対応】アプリ セキュリティ全面強化のご案内 平素はPayPayをご利用いただき、誠にありがとうございます。 状態:緊急アップデート待機中/経済産業省ガイドライン改正に基づく義務的措置です。 昨今、電子決済サービスを悪用した不正送金やフィッシング詐欺の手口が急激に巧妙化しており、経済産業省の決済サービスガイドライン改正に伴い、マネー・ローンダリング対策および利用者資産保護の強化が喫緊の課題となっております。 これを受けまして、当社では既存のPayPayアプリに対して徹底的なセキュリティアップグレードを実施いただきました。新バージョンでは業界最高水準の暗号化技術と完全に再構築されたリアルタイム不正検知システムを採用しております。 お客様の資金の安全性を確保するため、PayPayアプリの最新バージョンを直ちにダウンロードしてインストールしてください。 【絶対厳守】ご対応期限:2026年7月13日(月)23:59まで ※期日までに最新アプリのダウンロードとインストールが完了しない場合、全ての決済機能、残高照会、送金機能がご利用いただけなくなります。復旧には最低7営業日を要します。 [新しいPayPayアプリを今すぐインストールする] お客様には大変お手数をおかけいただきますが、安心・安全な決済環境を維持するため、何卒ご理解とご協力をお願い申し上げます。 本メールはシステムから自動的に送信されています。返信はご遠慮ください。 PayPay株式会社 東京都港区港南2-16-1 品川イーストワンタワー 登録番号:関東財務局長 第00012号
まず気になるのは、「経済産業省ガイドライン改正に基づく義務的措置」という、実在する官公庁の名前を持ち出して権威付けする手口です。実際にはそのような義務的アップデートの制度は存在せず、公的機関の名称を出すこと自体が「本物らしさ」を演出するための常套手段です。
また、「7月13日23:59まで」という約1日半の極端に短い期限設定も典型的な焦らせ手口です。「復旧には最低7営業日を要します」という一文まで添えて、読み手に「今すぐ対応しないと」という心理的プレッシャーをかけています。
送信者名も「緊急連絡センター」という、PayPay公式には存在しない部署名を名乗っています。正規のPayPayからの重要なお知らせが、聞き覚えのない部署名で届くことはありません。
送信ルートの解析
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=34.143.221.136; helo=mail.iospe5.shintouisshinryu.com
【偽装判定】:
正規のPayPayからのメールは「paypay.ne.jp」「paypay-corp.co.jp」「paypay.co.jp」等の公式ドメインからのみ配信されます。本メールの送信ドメイン「shintouisshinryu.com」はPayPayとは一切関係のない、攻撃者が独自に取得したと見られるドメインです。SPF認証は「Pass」と表示されていますが、これはあくまで「shintouisshinryu.comというドメインの持ち主が本人である」ことを証明しているに過ぎず、PayPayが送信したことの証明には一切なりません。
発信元ロケーション解析:
IPアドレス:34.143.221.136
プロバイダ:Google LLC(AS396982/GOOGLE-CLOUD-PLATFORM)
ロケーション:シンガポール(緯度1.35208、経度103.82)
Googleマップ:【位置情報を確認する】
💡ここで!GCP(Google Cloud Platform)とは?
Googleが提供するクラウドサーバーサービスです。企業や個人が正規のシステム開発・運用に幅広く利用していますが、契約さえすれば誰でも安価にサーバーを借りられる手軽さから、フィッシングメールの送信インフラとして悪用されるケースも後を絶ちません。今回のように、大手クラウド事業者のサーバーから送信されているからといって、送信者が信頼できるとは限りません。
フィッシングサイトの正体
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://laurenneuman[.]com/tgfdEPWL5638/S4bt9pLybA?sorefz=onemail
リンクドメイン:laurenneuman.com
【サイトの状態】:調査時点(2026年7月12日)でDNS解決不可(DNS_PROBE_FINISHED_NXDOMAIN)。ドメイン自体が既に閉鎖・使い捨てられていました。

誘導先URLへアクセスすると表示されるエラー画面(ドメイン閉鎖済み)
せっかく「経済産業省ガイドライン」まで持ち出して緊急性を演出したのに、肝心の誘導先ドメインがこちらの調査時点で既に消滅しているという、なんとも締まらない結末でした。攻撃者側がドメインを使い捨てにするペースの速さがうかがえます(とはいえ、油断は禁物です。同様の手口は次々と新しいドメインで再来します)。
なお、メールのHTMLソースを確認したところ、本来は画面上に表示されないはずのCSSスタイル指定の一部(フォント指定のコード断片など)が、ソース上にそのまま残っていました。これは詐欺メール作成キットにありがちな、テンプレートの作り込みの粗さを示す痕跡の一つです。
まとめ:こんな時はどうする?
■ 注意点と対処法
- 公的機関の名前が出てきても鵜呑みにしない:「経済産業省ガイドライン」等の実在する官公庁名は、フィッシングメールの権威付けによく利用されます。
- URLをクリックしない:アプリの更新は、必ず公式のApp Store/Google Playから行ってください。メール内のリンクからインストールを促す時点で不審です。
- 極端に短い期限設定は警戒する:「1日半以内」のような切迫した期限は、冷静な判断をさせないための典型的な手口です。
- 公式注意喚起の参照:不正やトラブルへの対策(PayPay公式)
本レポートの結論
「経済産業省ガイドライン改正」という実在しない義務的措置を口実に、極端に短い期限でアプリの再インストールを迫る典型的な焦らせ型フィッシングでした。送信元はGCPシンガポール、誘導先ドメインは既に閉鎖済みという結末でしたが、同種の手口は次々と新しいドメインで再来する可能性があります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月12日)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
使用テーマ:Forest
















