巧妙化しているフィッシングメール(PayPay)
2025年6月29日
2025年6月30日
最近、PayPayや三井住友など、クレジットカードの請求を装ったフィッシング メールが大量に送信されてきます。
PayPayを例に、本物の請求メールと、フィッシングの請求メールを比べてみました。
本物とフィッシングメールの違いを確認
見た目や、日本語の使い方に違和感がなくなっています。
フィッシング サイトのようにHTMLメールをそのままコピーして作っているのかもしれません。
が、カードのブランドにVisa、Jcbと記載があったり(2枚持ちの場合はこのような表記になるのか?)、支払い口座の情報が銀行名のみでその他の詳細な情報の記載はありません。
また、一番重要な「請求明細を確認する」ボタンのリンク先ですが
本物のリンク
https://paypay.onelink.me/S91O?pid=paypaycard&af_dp=paypay%3A%2F%2Fminiapp&appId=a_k41fEFKZn2&redirectUrl=httpsxxxxxxx
偽物のリンク
http://pay.chaseqi.com/
https://www.duskin-prim.com/
https://www.princess-par.com/
偽物の方はさまざまなリンク先となっており、古いものに関してはサーバーが稼働していないようです。
メールの内容を詳細に見る
以下はメールヘッダーの内容です。ヘッダーは偽装が容易なので当てにはなりませんが、送信元や、Return-Pathが異なっています。
本物は送信元IPが「54.240.110.27」で、送信元のメールアドレスは「010601979b0cfd82-4b14aa11-5eb1-423c-a738-63dee1cda5f5-000000@from.mail.paypay-card.co.jp」
偽物は送信元IPが「49.212.230.104」で、送信元のメールアドレスは「zhwboju@wasaido-gu.com」となっています。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 | Delivered-To: info@programming-se.com Received: by 2002:a05:6000:4014:b0:3a5:8688:a03a with SMTP id cp20csp1908532wrb; Sun, 22 Jun 2025 21:30:10 -0700 (PDT) X-Google-Smtp-Source: AGHT+IHJ0EqJMfKC18bLBhoRSB19uPc0iWoTTPOluXcR05nH6Llu56MD5kON8mhlZEE7ygBUXw60 X-Received: by 2002:a05:6a21:328c:b0:215:f6ab:cf77 with SMTP id adf61e73a8af0-22026f66c17mr16960394637.23.1750653010548; Sun, 22 Jun 2025 21:30:10 -0700 (PDT) ARC-Seal: i=1; a=rsa-sha256; t=1750653010; cv=none; d=google.com; s=arc-20240605; b=Nl3RaQnNwOrl7lg9u7OOezPf7RfCU0OQ6GIRWHk1Gl2uC+mQbaUztZ6D+hecvgBqyX H6OLJNAKNR3BLNGONWHiUXku24752pmK+MADkoHx8vCn/xRO33Cb399K3cuEzax+TKeJ gAte9XhxGSpnZkFJ+N9X+qhd63ssEHEAdvl1TAx9p5JEUxC/icv9HEQuS0DTt/sz/54l QIFOZezP16+05+Q8/lN7XWMbDSV0RWWbriVhVdBWaWPAj1kxQZ9NPChDswv2Pk9fndm6 cXLKVqVT+TiDkHftU8O1vhhOKd7KCol/gbZuzAUsRyDP3z7mxnP6jCsubgnyOWDJeUMC QtyA== ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=feedback-id:date:message-id:mime-version:subject:to:from :dkim-signature:dkim-signature; bh=4NTaCC3SXEbc4/g8aEHcbjmIwH02BOBHRqJQVTNUqLg=; fh=UyPGQMdzidUpSrjxHFA6CaPiAx9CQpfmbwZcqAwfaOg=; b=EYDl7cgnZYRI42DlVGccs/7g+ffbygX+NybA3Xik5+E8yiqsDBUnsU+3mG0Astr5z5 9WYOjjMHUfipaEGIeDMxVcgi98NpMVI9MHsbzc+zcpU2skswdscqf0hHUbuU3sVqfqjn jzeuJX/rwsQnggEWEhL2jPCNPibwzAQE5HrdappFWFWFMD29Oomel0mySg5wlBvJa5ru CVfMpdr+VELaeXuMj1VAAQAHEmIQCYgbchmLgm0kTvgGLekI0CSjs/p6iBe0hoXkv4Bf c4CrIk0egVKtEQGrdfOWdLpjrImg58gPZaliYVsadAJ1NqDgkVW4OP/Uk0EW5n65i8Yo Kblg==; dara=google.com ARC-Authentication-Results: i=1; mx.google.com; dkim=pass header.i=@mail.paypay-card.co.jp header.s=fdllzqygdoqara4xg7fh4yi3eu6zx4oe header.b=JCgInQAp; dkim=pass header.i=@amazonses.com header.s=suwteswkahkjx5z3rgaujjw4zqymtlt2 header.b=sL99Z3ks; spf=pass (google.com: domain of 010601979b0cfd82-4b14aa11-5eb1-423c-a738-63dee1cda5f5-000000@from.mail.paypay-card.co.jp designates 54.240.110.27 as permitted sender) smtp.mailfrom=010601979b0cfd82-4b14aa11-5eb1-423c-a738-63dee1cda5f5-000000@from.mail.paypay-card.co.jp; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=mail.paypay-card.co.jp Return-Path: <010601979b0cfd82-4b14aa11-5eb1-423c-a738-63dee1cda5f5-000000@from.mail.paypay-card.co.jp> Received: from a110-27.smtp-out.ap-northeast-1.amazonses.com (a110-27.smtp-out.ap-northeast-1.amazonses.com. [54.240.110.27]) by mx.google.com with ESMTPS id d2e1a72fcca58-7490a42f4b5si9930927b3a.99.2025.06.22.21.30.09 for <info@programming-se.com> (version=TLS1_3 cipher=TLS_AES_128_GCM_SHA256 bits=128/128); Sun, 22 Jun 2025 21:30:10 -0700 (PDT) Received-SPF: pass (google.com: domain of 010601979b0cfd82-4b14aa11-5eb1-423c-a738-63dee1cda5f5-000000@from.mail.paypay-card.co.jp designates 54.240.110.27 as permitted sender) client-ip=54.240.110.27; Authentication-Results: mx.google.com; dkim=pass header.i=@mail.paypay-card.co.jp header.s=fdllzqygdoqara4xg7fh4yi3eu6zx4oe header.b=JCgInQAp; dkim=pass header.i=@amazonses.com header.s=suwteswkahkjx5z3rgaujjw4zqymtlt2 header.b=sL99Z3ks; spf=pass (google.com: domain of 010601979b0cfd82-4b14aa11-5eb1-423c-a738-63dee1cda5f5-000000@from.mail.paypay-card.co.jp designates 54.240.110.27 as permitted sender) smtp.mailfrom=010601979b0cfd82-4b14aa11-5eb1-423c-a738-63dee1cda5f5-000000@from.mail.paypay-card.co.jp; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=mail.paypay-card.co.jp DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=fdllzqygdoqara4xg7fh4yi3eu6zx4oe; d=mail.paypay-card.co.jp; t=1750653009; h=From:To:Subject:MIME-Version:Content-Type:Message-ID:Date; bh=uopr/lEHDcz5wVLUuylyKKVoum8BLfidRTrfNTrgpdI=; b=JCgInQApBz1qbW4WgmEVVyIEbTwXEOB2SgdH9M75Ez17HFhShZ5J77kf2BIJhUX1 8Gg0CitslxRdGhsoq91iS7OCgRrrdgRhOK/LimHh8OjLadj/LwyaVBT2gnoKNYWrIbU BkruAlciCIfLmHpQIR5CoClXmW1pkHa8uzobqjYI= DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=suwteswkahkjx5z3rgaujjw4zqymtlt2; d=amazonses.com; t=1750653009; h=From:To:Subject:MIME-Version:Content-Type:Message-ID:Date:Feedback-ID; bh=uopr/lEHDcz5wVLUuylyKKVoum8BLfidRTrfNTrgpdI=; b=sL99Z3ks5++Rv2qtEZPJPzMAwuP9AQa/k9p1IQA4M0p0qufMluxfwMmub+NpBwh4 2H5+5a7EGQDsrGNciHhXVw55lEIyS5Hglb9SzW0XVN+pDD6LtEHeoOmE7okQ6LJR62i 2aZyUqnCFcgRy/RAyGf4rVd5xrFaMduZ7aPw7IEo= From: =?ISO-2022-JP?Q?PayPay=1B=24B=25+!=3C=25I=1B=28B?= <paypaycard-info@mail.paypay-card.co.jp> To: info@programming-se.com |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 | Return-Path: <zhwboju@wasaido-gu.com> X-Original-To: info@programming-se.com Delivered-To: info@programming-se.com Received: from mx-proxy103.phy.lolipop.jp (mx-proxy103.phy.lolipop.lan [172.19.45.87]) by mail104.phy.lolipop.jp (Postfix) with ESMTP id 2E8B012405D6 for <info@programming-se.com>; Sat, 21 Jun 2025 08:24:57 +0900 (JST) Received: from wasaido-gu.com (os3-314-46600.vs.sakura.ne.jp [49.212.230.104]) by mx-proxy103.phy.lolipop.jp (Postfix) with ESMTP id CB48B14053812 for <info@programming-se.com>; Sat, 21 Jun 2025 08:24:56 +0900 (JST) Authentication-Results: mx01.lolipop.jp; dkim=none; dmarc=fail reason="No valid SPF, No valid DKIM" header.from=wasaido-gu.com (policy=none); spf=softfail (mx01.lolipop.jp: 49.212.230.104 is neither permitted nor denied by domain of zhwboju@wasaido-gu.com) smtp.mailfrom=zhwboju@wasaido-gu.com ARC-Seal: i=1; s=arc-20240105; d=lolipop.jp; t=1750461896; a=rsa-sha256; cv=none; b=1711f/PvyNpM8bu3e6DPPUKB131/lGSpo+Hg803FdBTXZrwvt8mZCl5jbLKrNE8vALmw+1 sUgmSMH6VcY3W0GIQK7qNgyIqbKiqGvQwZmIOMKh3XQgKfBL8fJvd+WngdTTgRiA5eNHXi a6yvK9amyNcUv8WRbAQ76qcoDi63pY6gB8lodyRwRD8NJ1HijTJhJQvgYOXtxrl2A5evQZ rYNn2xfY06qBV/q6+krJdyaGtsXL5x0reLdQC4EGGQe4ckD0oIJ4B3rVhC5OqTVCr/mdf8 mnavvadNQmrluSvxEFh4ckyFBnjwihsQV8WMDKJAntPh/1hKODPvofYoMgb9wQ== ARC-Authentication-Results: i=1; mx01.lolipop.jp; dkim=none; dmarc=fail reason="No valid SPF, No valid DKIM" header.from=wasaido-gu.com (policy=none); spf=softfail (mx01.lolipop.jp: 49.212.230.104 is neither permitted nor denied by domain of zhwboju@wasaido-gu.com) smtp.mailfrom=zhwboju@wasaido-gu.com ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=lolipop.jp; s=arc-20240105; t=1750461896; h=from:from:sender:reply-to:subject:subject:date:date: message-id:message-id:to:to:cc:mime-version:mime-version: content-type:content-type:content-transfer-encoding:in-reply-to: references; bh=GiZZ8lRMS3e1LS7AqvaeTPZ+onMqHRy9w94AcmOl54E=; b=Vp+415G2U6yakUu16h9il3ZNxzIVJZwdLHaL5Llio06MeHchKtGniNhRGZ+jUcU8LBawtu 0VwE7crzaO4iq4dKBIKxo9jIdqoHIZVVU/z6/7adXOe2OBrq6qBGGQehzwJByrnC+bjWhZ T0Gun5HJxw9dCoX9M93EE58ssZ7IcUSF6FVS9bW1qW3k0TS6vbPE3THZCBBIosm+O9yC7R J++WeFxtClg/epPW4ORbj/oHRVULEZenAOKP6p93n31aU1fvS/fXypXPdtQvkfL4ITMO+a n7i1EW1in2t95gdZPrUa8PYKipY8qw3I7uBIUcTAc0neDDN9drLkeflZ32T4SA== Message-ID: <92016078A1A2959003B85703CADFA13A@wasaido-gu.com> From: =?utf-8?B?UGF5UGF544Kr44O844OJ?= <zhwboju@wasaido-gu.com> |
どこから送信されているのか?
送信元IPアドレス:54.240.110.27
- ホスト名:
a110-27.smtp-out.ap-northeast-1.amazonses.com - 運営者:Amazon Web Services (AWS)
- 国:🇯🇵 日本(Tokyo リージョン)
- 地域:東京近辺
- 備考:Amazon SES(Simple Email Service)から送信されたメール。正規のクラウドメールサービスを利用。
送信元IPアドレス:49.212.230.104
- ホスト名:
os3-314-46600.vs.sakura.ne.jp - 運営者:さくらインターネット株式会社(Sakura Internet Inc.)
- 国:🇯🇵 日本
- 地域:大阪府 or 東京都(さくらインターネットのデータセンター)
- 備考:VPSなどのレンタルサーバーからの送信。個人や業者による不正利用の可能性あり。
いずれも日本からの送信ですが、PayPayがさくらサーバーから送信することはありえないように思えます。
リンク先は?
本物のリンク先はアプリストアにリダイレクトされます。
偽物に関しては2件はアクセスできませんでしたが、1件はQR決済のページに遷移しました。
フィッシング サイト、メールには気をつけて
巧妙化してきているフィッシング サイト、メールですが、テキスト(日本語)で怪しさを判断するのが難しくなってきているようです。
メールからのアクセスは避け、ブラウザ等のブックマークより確認するのが今の所最善なのかもしれません。