【解析】PayPayクーポン受取手続き詐欺メールのIP・送信元調査報告

■ 最近のスパム動向について

今回ご紹介するのは「PayPay」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年に入り、新生活や年度末のポイント失効を煽る「駆け込み受取」系の詐欺が激増しています。特にSNSや決済アプリのブランドを盗用し、短期間で使い捨てる「ドメイン・スウィッチング」という手法が目立ちます。

▼ 送信者に関する解析情報

送信者のアドレス「no-reply26@propertyagent.co.jp」に注目してください。ドメイン部分は実在する不動産関連企業のものです。これは、攻撃者がセキュリティの甘い企業のメールサーバーを踏み台にしているか、あるいは完全に送信元を偽装しています。PayPay公式が他社ドメインからクーポン案内を送ることは100%ありません。

P‌a‌y‌P‌a‌yをご利用いただきありがとうございます。

日頃のご愛顧に感謝し、特別な「P‌a‌y‌P‌a‌y‌ク‌ー‌ポ‌ン（大額分）」をご用意いたしました。
以下のボタンより、受取手続きを完了させてください。

※本メールのリンクは24時間以内に限り有効です。
リンク先：hXXps://www.annettepaiement.com/?session=dEIH5tO9Bvn…（伏せ字あり）
誘導先：hXXps://www58.sports165.cyou/laxrwglk/（伏せ字あり）

■ 解析：メールの目的とデザイン

【犯人の目的】
このメールの目的は、PayPayの「ログイン情報」および「クレジットカード情報」の窃取です。クーポンという利益を提示し、偽のログイン画面（フィッシングサイト）へ誘導し、情報を入力させることでアカウントを乗っ取ることを狙っています。

【メールのデザイン解析】
バナーを使い、一見すると本物そっくりのデザインに仕上げられています。しかし、文字の間に「‌（ゼロ幅非接合子）」などの特殊文字を忍び込ませてセキュリティソフトの検知を逃れようとしています。もしロゴが添付ファイル化されている場合は、メールサーバーのURLスキャンを回避するための工作です。

■ Received: 送信元インフラ解析レポート

※以下のカッコ内のIPアドレスは信頼できる送信者情報であることを明記します。

【メール回線関連情報】
このIPアドレス「169.40.132.238」は、送信者が利用したIPアドレスそのものです。送信元ドメインとこのIPアドレスのホスト名が一致しない場合、メールの偽装は決定的です。

■ 誘導先（フィッシングサイト）の解析

【サイト回線関連情報・本レポートの根拠データ】
ドメイン登録日が最近である理由は、詐欺サイトが通報を受けて閉鎖されることを前提とした「使い捨て」運用を行っているためです。正常な大手サービスが数日前に取得したドメインで重要告知を行うことはありません。
解析エビデンス：https://ip-sc.net/ja/r/www58.sports165.cyou

▼ リンク先サイトの状態（稼働確認）

現在、このURLにアクセスすると以下のエラーメッセージが表示されます。これはサイトが既に閉鎖されたか、攻撃者がアクセスを制限している状態です。

※リンク先は稼働していませんが、同様の別ドメインが稼働している恐れがあります。

■ 推奨される対応と注意点

1. メールの削除: リンクを絶対にクリックせず、そのまま削除してください。
2. 宛名の確認: 本物のPayPayからのメールであれば、登録した氏名が正確に記載されています。「お客様」などの汎用的な宛名、あるいは宛名がない場合は詐欺です。
3. 公式サイトの確認: クーポン情報は必ずPayPay公式アプリ内、または以下の公式サイトから確認してください。

>> PayPay公式：不審なメール・SMSに関する注意喚起