【実録】PayPay「あと払い未払い」を騙る詐欺メールの巧妙な手口を公開!
最近のスパム動向今回ご紹介するのは「PayPay」を騙るメールですが関連記事もページ末尾に記載のデーターベースアーカイブからご覧頂けます。
【実録】PayPay「4月分あと払い未払いのお知らせ」に隠された巧妙な罠を徹底分析!遅延損害金で脅す詐欺サイトの手口を公開
皆様、こんにちは。頼れる街のIT専門家がお届けするセキュリティ対策ブログです。
今回は、誰もが利用するキャッシュレス決済サービス「PayPay(ペイペイ)」を騙った非常に悪質なフィッシング詐欺メール(実体のない偽サイトへ誘導して情報を盗む手口)を解析しましたので、その詳細を共有いたします。
このメールは、開いただけであればすぐに金銭的な実害が発生するわけではありません。
しかし、画像付きメールや開通通知(メールが届いたことを攻撃者に知らせる仕組み)が仕込まれている場合、あなたのアドレスが「現在も使われている生きたアドレス」であると知られてしまいます。
そうなると、今後さらに多くの詐欺メール送信リスト(カモリスト)に入れられてしまう危険性がありますので、絶対に油断は禁物です。
大切なご家族や身近な方を守るためにも、ぜひこの情報を最後までチェックしてください。
今回の不審メールによる危険度
危険度評価:★★★★☆(星4つ)
「アカウント制限」「遅延損害金」「信用情報機関への通知」といった強烈な言葉を並べ立て、本日中の支払いを迫る極めて緊急性の高い心理的脅迫が行われています。
うっかり騙されてスマートフォンでQRコードを読み込んでしまうと、大切な決済アカウントやクレジットカード情報が一瞬で奪い取られる危険があります。
メールの基本情報
| 項目 | 解析データ |
|---|---|
| 件名 | [spam] 【PayPay】4月分あと払い未払いのお知らせ(遅延損害金発生) |
| 件名の解説 | 冒頭の「[spam]」という表記は、受信サーバーが自動的に「これは迷惑メール(スパム)の可能性が極めて高い」と判断して付与した警告用の目印です。これがある時点で疑うべきです。 |
| 送信者名 | “緊急通知” |
| 送信元メールアドレス | support-product@inbox.letsplayhth.com |
| 受信日時 | 2026年6月1日 08:11:43 (JST) |
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
【実録】受信したメール本文のスクショと完全再現
【メール本文のスクリーンショット】
実際のメール画面を確認すると、一見すると本物のPayPay公式からの連絡に見えるよう、綺麗に整えられたテキストで構成されています。以下に、その迷惑メールの本文をできる限り忠実に再現します。
送信者:”緊急通知” <support-product@inbox.letsplayhth.com>
————————————————————————-
いつもPayPayをご利用いただき
ありがとうございます。
■■ 重要通知 ■■
ご登録口座の残高が不足しており、
4月分ご利用分のお支払いが
完了しておりません。
現在、全決済機能を一時制限しております。
この制限はお支払い手続き完了まで
解除されません。
■ お支払い詳細 ■
・4月分お支払い金額(税込):43,520円
(状態:未払い)
・お支払い期限:6月1日 23:59
緊急注意
期限までにお支払いを完了しない場合、
遅延損害金が日割りで増加するほか、
更なる利用制限や信用情報機関への
通知が行われる場合があります。
速やかに下記リンクより
お支払い手続きを完了してください。
お支払い手続きリンク:
https://qr-paybay.keidoreu.com/information/k8bkgrrzsi-jpi0itab44aa
■ お問い合わせ ■
ご不明な点は公式サポートまで
公式サポート:0570-000-888
受付時間:9:00~21:00(年中無休)
※ 本メールは自動送信メールです。
返信いただいても対応できませんので
ご了承ください。
————————————————————————-
このメールの目的とデザインの特徴
スクショを見た印象として、非常にシンプルですが、本物の事務連絡通知のように見せかける工夫がされています。公式ロゴなどの派手な画像は添付されていませんが、それゆえに一般的なシステム自動送信メールのように誤認しやすくなっています。
メールの目的は、受信者に「利用制限」や「遅延損害金」という不利益を突きつけることで冷静さを奪い、記載された偽のURLへと誘導することです。
送信者アドレスのドメイン(@以降の部分)を詳しく調べてみると、そのドメインが利用しているサーバーのIPアドレスは「35.220.250.26」であることが判明しました。つまり、PayPayの公式ドメイン(paypay.ne.jpなど)とは全く関係のない、無関係な海外のサーバーから送信されているということです。
メールヘッダーの解析(送信ルートの追跡)
※メールヘッダー情報には、受信者側の詳細なサーバー環境や個人の情報が含まれるため、セキュリティ保護の観点からヘッダーのスクリーンショット自体は掲載を控えさせていただきます。代わりに、最も重要な送信元の痕跡を厳選して抽出・解析しました。
メールがどのようなルートを辿って届いたのか、ヘッダーに記録されている「Received-SPF(送信ドメイン認証結果)」と、時系列で最も古い(最初に送信元がアクセスした)「Received(配送記録)」の行を確認します。
Received: from localhost (localhost [127.0.0.1]) by smtp-13.inbox.letsplayhth.com (Postfix) with ESMTP id 34524EaCCeAA for <■■■■@■■■■.■■>; Mon, 01 Jun 2026 08:11:43 +0900 (JST)
偽装判定と送信元サーバーの位置
メールの送信元ドメイン「inbox.letsplayhth.com」が正規に利用しているIPアドレス(35.220.250.26)と、ヘッダー内に記録されている最初の経由地が一致しているため、ドメイン自体の認証(SPF)は「Pass(合格)」となっています。
しかし、そもそもこの「letsplayhth.com」というドメイン自体が、PayPay公式とは一切関係のない、使い捨て用に取得された、あるいは乗っ取られたドメインであると判断できます。つまり、「ドメイン認証に合格している=安全な公式メールである」という意味では全くありません。
この送信元サーバーのIPアドレスを基に、その物理的なネットワーク所在地を調査しました。
| 経由IPアドレス | ロケーション(位置情報) |
|---|---|
| 35.220.250.26 | アメリカ合衆国(United States) 緯度・経度:37.751, -97.822 ip-sc.netで詳細を確認 Googleマップで表示 |
※ご注意:IPアドレスから割り出されるロケーション情報は、プロバイダの割り当て変更や中継経路によって刻々と変化するため、あくまで参考値となります。
リンク先URLの危険性と「クローキング」の手口
メールに記載されていた実際のリンク先URLは以下のものでした。安全のため一部を伏字(■■)にし、リンクを無効化しています。
ttps://qr-paydayco7.com/ (またはメール本文中の ttps://qr-paybay.keidoreu.com/■■)
このURLをクリックしてパソコンからアクセスを試みると、画面には以下のようなメッセージが表示され、それ以上進めなくなります。
一見すると「サイトがすでに閉鎖されたのか」あるいは「セキュリティで弾かれたのか」と思ってしまいますが、これこそが攻撃者の仕掛けた罠であり、クローキング(Cloaking)と呼ばれる非常にずる賢い隠蔽工作の結果です。
クローキングとは、アクセスしてくる相手の環境(パソコンか、スマートフォンか、あるいはセキュリティ会社の調査用ロボットか)を判別し、表示する画面をガラリと変える手法のことです。
今回の詐欺サイトは、セキュリティ会社の自動巡回ロボットやパソコンからのアクセスに対しては、上記のような「アクセス拒否」のダミー画面を見せて、安全なサイトであるかのように偽装します。これによって、Googleなどの検索エンジンやセキュリティソフトから「有害サイト」としてブラックリストに登録されるのを遅らせようとしているのです。
つまり、意図的にアクセスを拒否する挙動を見せているということになります。
スマートフォン誘導と「詐欺サイト」の正体
しかし、特定の経路やスマートフォンを模した環境でアクセスを試みると、以下のような画面へと誘導されます。
【スマートフォン誘導・セキュリティ警告偽装画面のスクリーンショットを】
画面には「スマートフォンでQRコードを読み取ってください」「セキュリティ保護のため、PCでは続行できません」という、もっともらしい案内が表示されます。
さらに驚くべきことに、下部には「【重要】警告画面の表示について:PayPayのセキュリティアップデートにより、送金時に『詐欺にご注意ください』という警告が表示される仕様となりました。これはシステム側の一律の自動確認であり、本件のお支払いにおいて不正はございません。ご安心して手続きを継続してください。」という、非常に悪質な嘘(言い訳)があらかじめ記載されています。
これは、実際にスマートフォンでQRコードを読み取って手続きを進めた際、スマホのブラウザやアプリが「この先は詐欺サイトの恐れがあります!」と警告を発することを見越して、被害者に「これはシステムのエラーだから大丈夫だ」と思い込ませるための、極めて用意周到な目眩まし(心理的トラップ)です。
【ここに詐欺サイト・QRコード表示画面のスクリーンショットを挿入】
誘導先ドメインの通信インフラ調査
この詐欺サイトが設置されているドメインについて、その裏側のネットワーク情報を徹底的に調査しました。
| 項目 | 解析データ |
|---|---|
| 対象ドメイン | qr-paydayco7.com |
| 紐づくIPアドレス | 172.67.170.217 |
| 物理所在地 | アメリカ合衆国(United States) 緯度・経度:37.751, -97.822 ip-sc.netで詳細を確認 Googleマップで表示 |
| 危険と判断できる点 | PayPayの国内正規サーバーではなく、Cloudflare(クラウドフレア:身元を隠蔽しやすいネットワークサービス)を悪用してアメリカ国内に設置されています。また、ドメイン名自体が「payday(給料日)」などの無関係な単語を混ぜた不自然な文字列です。 |
| 稼働状況 | 【稼働中】(現在もスマホからのアクセスを待ち構えている危険な状態です) |
※ご注意:IPアドレスの位置情報は、ネットワークの経由ルートにより変動するため、あくまで参考データとなります。
メールの注意点と今後の対処方法
このような「未払い」「口座残高不足」を謳う緊迫したメッセージを受け取ると、誰でも一瞬パニックになってしまいます。しかし、以下の鉄則を必ず守り、冷静に行動してください。
- メール内のリンクやQRコードは絶対に開かない: どれほど公式に似せて作られていても、メールに記載された動線から手続きを行ってはいけません。
- 必ず公式アプリや公式サイトから直接確認する: 本当に未払いがあるのか、制限がかかっているのかを確認したい場合は、メールをすべて無視し、スマートフォンにインストールされている「PayPay」の公式アプリを直接起動して、お知らせやマイページ(アカウント情報)を確認してください。
- 不審なメールは迷惑メール報告をして削除: 返信などは一切せず、お使いのメールアプリの「迷惑メールとして報告」機能を使い、速やかに削除してください。
不審なメールやフィッシング詐欺に関するPayPay公式の正確な情報や最新の注意喚起は、以下の公式ページよりご確認いただけます。
👉 公式確認URL: PayPayをかたるフィッシングメールについて(公式ヘルプ)
まとめ
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
関連する過去の解析事例はこちらから検索できます。👉 こちら
📌 同じ手口の関連記事:
【実録】クレジットカードの未払い請求を装う「三井住友カード」を騙る詐欺メールも確認されています→こちら
