【危険】「11,000円分ギフトをお届け」の甘い罠｜Paidyを騙るフィッシング詐欺メールの正体を暴く

最近のスパム動向

2026年に入り、決済サービスを騙るフィッシング詐欺はさらに巧妙化しています。特に「周年記念」や「ポイント付与」など、ユーザーの「得をしたい」という心理を突くキャンペーン型の偽メールが増加傾向にあります。

今週のスパム傾向

今週は、あと払いサービス「Paidy」のブランド名を悪用したバラマキ型メールが多数確認されています。偽のギフト進呈をエサに、ログイン情報を盗み出すフィッシングサイトへ誘導する手口が共通しています。

前書き

11周年、おめでとうございます！と言いたいところですが、Paidyがわざわざインドネシアの観光サイトっぽいドメインから、11,000円もの大金をバラ撒くほど血迷うはずがありません。
「ボタンを押すだけ」で1万円がもらえるなら、今頃日本中のキーボードが物理的に沈没していることでしょう。
こんな見え透いたお祝辞を丁寧に送ってくれる犯人グループの「ホスピタリティ」には、もはや感服するしかありませんね。

では、詳しく見ていくことにしましょう。

件名

[spam] 【Paidy】11周年を記念して11,000円分ギフトをお届けしますNo.848456970

件名の冒頭に [spam] と記載されています。
これは、受信サーバー側で「送信ドメインの認証失敗」や「ブラックリストに登録されたIPからの送信」を検知し、自動的にスパムのラベルを貼り付けた証拠です。
この文字がある時点で、中身を読む価値はありません。

送信者・受信日時

表示名： “Paidy"
メールアドレス： server@wisatakarimunjawa.com
受信日時： 2026-01-26 23:23

メール本文

危険なポイント

1. 送信元アドレスの矛盾：
Paidyの公式サイトが使用する正規ドメインは @paidy.com です。
対して、今回の送信元は @wisatakarimunjawa.com。
これはインドネシアの観光ガイド関連のドメインであり、Paidyとは1ミリも関係がありません。

2. リンク先ドメイン：
本文内のボタンをクリックさせようとするURLが shuntailong.com となっており、公式ドメインが一切含まれていません。

推奨される対応

即座に削除してください。
「ギフトを受け取る」といったボタンは絶対に押してはいけません。万が一押してしまった場合でも、ログイン情報（メールアドレス、パスワード）やクレジットカード情報を絶対に入力しないでください。

Received（メールヘッダー情報）

メールが実際にどこを経由して届いたかを示すヘッダー情報です。

• Receivedドメイン： wisatakarimunjawa.com
• Received IP： 34.180.118.78
• ホスティング社： Google Cloud
• 国名： USA (United States)

送信ドメイン「wisatakarimunjawa.com」とReceived情報が一致しています。
つまり、「インドネシアの観光サイトが乗っ取られた」か、あるいは「悪意ある第三者がそのドメインを悪用してGoogle Cloudから直接送信している」かのどちらかです。

ウイルスバスター等のブロック状況

このリンク先URL「h**ps://shuntailong.com/～」は、現在 ウイルスバスターおよびGoogle Safe Browsingによって「詐欺サイト」としてブロックされています。
アクセスすると「警告：この先は詐欺サイトです」といった赤い警告画面が表示される危険な状態です。

リンク先ドメイン詳細（Whois情報）

whois.domaintools.com 等で取得した解析データです。

URLが危険と判断できるポイント

ドメインの登録情報を確認すると、作成から日が浅く、かつ実在する企業の名称を騙っている節が見受けられます。
また、CloudflareというCDNサービスを隠れ蓑にしており、「真のサーバー所在地を隠蔽しようとする」フィッシングサイトによく見られる特徴と一致します。

詐欺サイトの画像まとめ