PayPay「3,399円クーポン」メールは詐欺![spam]判定の解析レポート

【調査報告】最新の詐欺メール解析レポート

メールの解析結果:キャッシュレス決済サービスを標榜するフィッシングキャンペーン

■ 最近のスパム動向


今回ご紹介するのは「PayPay」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年3月末現在、大規模な還元キャンペーン(超PayPay祭等)の終了直前や開始直後を狙った、クーポン配布型の詐欺メールが急増しています。特に「期限付き」を強調し、ユーザーの焦りを誘う心理的手法が目立ちます。

■ メール基本情報

件名 [spam] 3,399円分のクーポンコードをお受け取りください
件名の見出し 冒頭に[spam]が付与されています。これはメールサーバーの検閲により、既に「危険」と判定された通信であることを示しています。
送信者 “*P a y P a y” <no-reply77@sTc3.com>
受信日時 2026-03-31 12:28

■ 送信者に関する解析情報


送信者の表示名は「*P a y P a y」と、文字間にスペースを入れることでフィルタリング回避を狙っています。ドメイン「sTc3.com」は公式サイトとは一切無関係です。また、宛名が受信者のメールアドレスをそのまま引用している場合、名簿業者等から漏洩したリストを用いた機械的な送信であると断定できます。

■ メール本文の精密再現

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

添付ファイル □ Scan Report 8ab87b.dat
■■■@■■■ 様

いつもPayPayをご利用いただき 誠にありがとうございます

現在実施中の 超PayPay祭 の特典として お客様のアカウント ■■■@■■■ 専用の 特別クーポンコード を発行いたしました

安全に特典をお受け取りいただくため 以下の内容をご確認ください
————————————————–
クーポン内容
————————————————–
付与額 3,399 円相当
クーポンコード [ PP2026-c08d-Ln2F ]

お受け取り期限
2026年04月03日 (金) まで
————————————————–

特典のお受取り・ログインはこちら
今すぐクーポンを受取る

ご本人様確認について
安全なサービス利用を目的としたセキュリティ強化のため お受け取りの際に ご本人様確認 SMS認証または パスコード入力を求める場合がございます 画面の指示に従って 簡単な認証手続きを完了させてください

ご利用手順
1. 上記リンクから特設ページへアクセス
2. 必要に応じてご本人様確認を実施
3. 発行されたクーポンコードを入力して獲得

本メールは PayPayのシステムより自動配信されています
認証コードやパスワードを第三者に教えないよう 十分ご注意ください

PayPay株式会社
公式サイト https://paypay.ne.j●/
Copyright (C) PayPay Corporation. All Rights Reserved.

■ 専門的解析ドキュメント

【犯人の目的】

最大の目的は、PayPayの「ログイン情報(ID/PASS)」および「二要素認証コード(SMS認証)」の窃取です。これにより、残高の不正利用や登録済みクレジットカードを用いた不正決済を狙っています。

【デザインと構造の欠陥】

メール内のロゴ画像が添付ファイル「.dat」として処理されているのは、セキュリティソフトによる画像URLの検閲を避けるための工作です。また、公式サイトと異なり、署名に正式な問い合わせ先電話番号や住所が記載されておらず、文字主体の不自然な構成となっています。

■ 送信元の回線関連情報(Received解析)

Received: from kyocera-88fdd689.corp.kddi.ne.jp ([192.168.179.222])
これは送信に利用された物理的な足跡であり、カッコ内のIPアドレスは偽装が困難な「信頼できる送信者情報」です。
送信元ドメイン sTc3.com(偽装ドメイン)
送信元IPアドレス 192.168.179.222
ホスティング KDDI Corporation
設置国 日本 (Japan)
ドメイン登録日 2026-02-15(非常に新しい取得日であり、攻撃用の捨てドメインと判断)
本レポートの根拠データ:
https://ip-sc.net/ja/r/192.168.179.222

■ 誘導先フィッシングサイトの解析

リンク箇所 今すぐクーポンを受取る
誘導先URL https://www00.adq●rl.club/xrwg●alk/(伏せ字処理済)
IPアドレス 104.21.5.211
ホスト名 Cloudflare, Inc.
設置国 アメリカ合衆国 (United States)
ドメイン取得日 2026-03-20(攻撃のわずか11日前に取得。典型的な詐欺用ドメイン)

サイト回線関連情報:

当該ドメインはCloudflareのCDNサービスを隠れ蓑にしており、実サーバーの所在地を秘匿しています。このような構成は、短期間で大量の偽装サイトを構築する犯罪グループによく見られる特徴です。

https://ip-sc.net/ja/r/104.21.5.211(解析データ詳細)

■ 詐欺サイトの稼働状況と画像


現在の状態:稼働中(危険)
アクセスすると、まず足し算をさせるCAPTCHAページが表示されます。これはセキュリティベンダーの自動スキャンを回避するための工作です。その後、「タイムアウトエラー」を装った偽ページへリダイレクトされますが、実際には背後で情報の転送が行われています。


【詐欺サイト実例:本人確認を装った計算画面】


【詐欺サイト実例:安全性を偽装する検証画面】

【詐欺サイト実例:エラーを装う偽装完了画面】

■ まとめと推奨される対応


今回のメールは過去の事例と比較しても、計算をさせる等の「人間味のあるステップ」を導入しており、心理的な信頼を勝ち取ろうとする狡猾な作りです。宛名に個人名がない、あるいはメールアドレスがそのまま使われている場合は100%詐欺です。
注意点:公式のPayPay社がメールで「足し算」を求めてくることは絶対にありません。

必ず公式サイトの公式情報を参照してください:
PayPay公式:不審なメール・SMSにご注意ください

詐欺メール,paypay3399円クーポン,Cloudflare,PayPay詐欺,Receivedヘッダー,SPAM,サイト解析,セキュリティレポート,なりすまし,ネット犯罪対策,フィッシングサイト,フィッシングメール,ログイン情報窃取,二要素認証突破,偽メール,捨てドメイン,注意喚起,短命ドメイン,超PayPay祭,足し算CAPTCHA,通信経路解析

Posted by heart