分類:フィッシング詐欺(確定)
検知日:2026年5月5日
なりすまし対象:Paidy(あと払いペイディ)
SHA-256:55906290b2178ef519afc7093410eb13e2c798ad4c02bf986adca6dbdd0a4fe2
概要
2026年5月上旬、後払い決済サービス「Paidy(ペイディ)」を装うフィッシングメールが確認されました。件名は「【重要】Paidy お支払い期限が過ぎています」で、支払い期限の超過と利用制限・遅延損害金の発生を警告し、偽のログインページへ誘導する手口です。
本記事では、このフィッシングメールの全文と技術的な解析結果を公開し、正規メールとの見分け方を解説します。同じメールを受け取った方は、メール内のリンクを絶対にクリックせず、削除してください。
メール本文(全文)
件名:【重要】Paidy お支払い期限が過ぎています
差出人:Paidy <service[@]mail01[.]mooresa1door[.]com>
日時:2026年5月5日 16:36(+0800)フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません) 誘導先サイトのスクリーンショット(解析時点)
Paidy
あと払いペイディお支払いのお願い
お支払い期限のご連絡
2026年5月5日Paidyをご利用いただき、ありがとうございます。
ご利用代金のお支払いが確認できておりません。■ ご請求内容/お支払い期限
ご請求額:33,248円
期限:2026年5月7日 までにご入金ください。※ 期限までにお支払いがない場合、ご利用を制限します。
※ 期限経過後は「遅延損害金(年14[.]6%)」が発生します。[MyPaidyにログイン]
【お問い合わせ】
不明点はアプリ内「ヘルプ」またはhxxps://paidy[.]com/help※ 本メールは送信専用です。ご返信できません。
© Paidy株式会社 All Rights Reserved.
一見すると本物のPaidyからの請求メールに見えますが、以下に示す複数の証拠から、このメールはフィッシング詐欺であると確定しています。
このメールが詐欺である根拠
以下の複数の証拠を総合的に評価し、本メールをフィッシング詐欺と判定しました。単一の根拠ではなく、複合的な証拠に基づく判断です。
根拠1:送信元ドメインがPaidyと無関係(確認済み)
観測事実:差出人(From)のメールアドレスは service[@]mail01[.]mooresa1door[.]com です。Return-Pathも同じドメインです。
示唆:Paidyの正規ドメインは一般に paidy[.]com として知られています。mooresa1door[.]com はPaidyとは無関係のドメインであり、差出人の表示名を「Paidy」に偽装することで、正規のメールであるかのように見せかけています。
根拠2:SPF認証がsoftfail(確認済み)
観測事実:SPF(Sender Policy Framework)の認証結果は softfail でした。送信元IPは 39[.]226[.]162[.]34 です。
示唆:SPFは、メールの送信元IPアドレスが、送信ドメインの管理者が許可したサーバーから送られたものかを検証する仕組みです。softfailは「このIPからの送信はドメイン管理者によって完全には許可されていない可能性がある」ことを示します。送信ドメイン mooresa1door[.]com 自体のSPFレコードに対しても完全な認証が得られていないことを意味しています。
根拠3:メール内の全リンクがフィッシングドメインへ誘導(確認済み)
観測事実:メールのHTML構造を解析した結果、以下の2件のリンクが確認されました。いずれも実際のリンク先(href属性)は hxxps://cncqnlnl134[.]com/TwoJLmwmMjhyNirZ です。
| 表示文言 | 実際のリンク先(href) | 手口 |
|---|---|---|
| 「MyPaidyにログイン」 | hxxps://cncqnlnl134[.]com/TwoJLmwmMjhyNirZ |
CTAボタンによる誘導 |
| 「hxxps://paidy[.]com/help」 | hxxps://cncqnlnl134[.]com/TwoJLmwmMjhyNirZ |
正規URLを装った表示文言の偽装 |
示唆:特に2つ目のリンクは巧妙です。画面に表示されるテキストは hxxps://paidy[.]com/help というPaidyの正規ヘルプページのURLに見えますが、HTMLの href 属性は全く別のドメイン cncqnlnl134[.]com を指しています。HTMLメールでは、表示されるテキストと実際のリンク先を別々に設定できるため、このような偽装が可能です。メール内に存在する2件のリンクはいずれも同一のフィッシングURLへ誘導しており、Paidyの正規サイトへリンクしているものは1件もありません。
総合判断
上記の3つの証拠——①送信元ドメインがPaidyと無関係、②SPF認証がsoftfail、③全リンクがフィッシングドメインに誘導——を複合的に評価し、本メールはPaidyを騙るフィッシング詐欺であると確定しました。
メール認証の技術解説
本メールの認証結果は以下の通りです。
| 認証方式 | 結果 | 意味 |
|---|---|---|
| SPF | softfail | 送信元IPがドメインのSPFレコードで完全には許可されていない |
| DKIM | pass | メールの電子署名が検証に成功 |
| DMARC | pass | ドメインの認証ポリシーを満たしている |
「DKIM pass」「DMARC pass」なのにフィッシング?
「DKIMやDMARCがpassなら安全なメールでは?」と思われるかもしれませんが、これはよくある誤解です。
DKIMとは:DKIM(DomainKeys Identified Mail)は「このメールが特定のドメインから送信され、途中で改ざんされていないこと」を証明する仕組みです。本メールの場合、DKIM passは mooresa1door[.]com から正当に送信されたことを意味しているに過ぎず、Paidyから送信されたことの証明にはなりません。
DMARCとは:DMARC(Domain-based Message Authentication, Reporting and Conformance)は、Fromヘッダーのドメインと、SPFまたはDKIMの認証結果の整合性(アライメント)を検証する仕組みです。本メールの場合、Fromヘッダーのドメイン(mail01[.]mooresa1door[.]com)とDKIM署名ドメイン(mooresa1door[.]com)のアライメントが一致するため、DMARCはpassとなっています。
つまり、攻撃者が自分のドメインに正しくDKIM署名を設定すれば、DKIMもDMARCもpassさせることが可能です。本件はまさにその手口であり、攻撃者が mooresa1door[.]com というドメインのメール基盤を適切に構築した上で、表示名だけを「Paidy」に偽装しています。
重要なポイント:メール認証(SPF/DKIM/DMARC)は「どのドメインから送られたか」を検証するものであり、「そのドメインが信頼できるか」を判断するものではありません。見覚えのないドメインからのメールは、認証結果がpassであっても信頼すべきではありません。
手口の分析
心理的な誘導テクニック
本メールは以下の手法で読者の焦りを誘い、冷静な判断を妨げています。
- 緊急性の演出:「お支払い期限が過ぎています」「2026年5月7日 までにご入金ください」と、受信日(5月5日)からわずか2日後の期限を提示し、即座の行動を促しています。
- 不利益の明示:「ご利用を制限します」「遅延損害金(年14[.]6%)が発生します」と、対応しなかった場合の具体的な不利益を突きつけています。年14[.]6%という遅延損害金率は実際の法定利率に近い数値であり、信憑性を高める狙いがあると考えられます。
- 具体的な金額の提示:「33,248円」という端数を含む具体的な金額を記載することで、実在する請求であるかのような信憑性を演出しています。
表示文言を偽装したリンク
本メールで最も注意すべき手口は、2つ目のリンクの表示文言偽装です。「お問い合わせ」セクションに記載された hxxps://paidy[.]com/help というテキストは、一見するとPaidyの正規ヘルプページへのリンクに見えます。しかし実際のリンク先は hxxps://cncqnlnl134[.]com/TwoJLmwmMjhyNirZ という全く別のドメインです。
この手口は「URLに見える文字列を表示テキストとして使い、href属性で別のURLに誘導する」というHTMLメールの仕様を悪用したものです。テキストメール(プレーンテキスト形式)ではこの偽装は不可能ですが、HTMLメールでは表示テキストとリンク先を個別に設定できるため、このような詐欺が成立します。
タイムゾーンの不整合
観測事実:メールヘッダーのDate値は +0800(UTC+8)です。
示唆:日本標準時(JST)は +0900(UTC+9)です。Paidyは日本国内のサービスであり、一般に日本のインフラからメールを送信する場合はJST(+0900)が使用されます。+0800は東アジア圏(中国、台湾、シンガポール、マレーシア等)で使用されるタイムゾーンであり、メールの送信環境が日本国外に存在する可能性を示唆しています。
HTMLソースに見られる難読化
観測事実:メールのHTMLソースには、.ZDQqjs、.JOzHVBl、.tffxiaxhld-dkgckrhrs といったランダムな文字列で構成されたCSSクラス名と、実質的に意味を持たないCSSプロパティの定義が大量に含まれています。
示唆:これはメールセキュリティフィルターによるコンテンツベースの検知を回避するための手法として、一般にフィッシングメールで確認されるパターンです。無関係なCSSコードを大量に挿入することで、HTMLの構造的な特徴を隠蔽し、自動検知を困難にする狙いがあるとみられます。
IOC(侵害指標)一覧
セキュリティ担当者向けに、本フィッシングメールに関連するIOC(Indicators of Compromise)を記載します。フィルタリングルールや脅威インテリジェンスへの登録にご活用ください。
| 種別 | 値 | 備考 |
|---|---|---|
| SHA-256 | 55906290b2178ef519afc7093410eb13e2c798ad4c02bf986adca6dbdd0a4fe2 |
メール全体のハッシュ |
| 送信元メール | service[@]mail01[.]mooresa1door[.]com |
From / Return-Path |
| 送信元IP | 39[.]226[.]162[.]34 |
SMTP接続元 |
| 送信ドメイン | mail01[.]mooresa1door[.]com |
メール送信インフラ |
| 親ドメイン | mooresa1door[.]com |
DKIM署名ドメイン |
| フィッシングURL | hxxps://cncqnlnl134[.]com/TwoJLmwmMjhyNirZ |
誘導先(本記事公開時点で停止を確認) |
| フィッシングドメイン | cncqnlnl134[.]com |
誘導先ドメイン |
PhishTank登録状況
| URL | 登録状況 |
|---|---|
hxxps://cncqnlnl134[.]com/TwoJLmwmMjhyNirZ |
未登録 |
hxxps://paidy[.]com/help |
未登録 |
本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処方法
メール内のリンクをクリックしていない場合
- メールを削除してください。返信や転送は不要です。
- 支払い状況が気になる場合は、Paidyアプリまたは公式サイトを直接開いて確認してください。メール内のリンクは一切使用せず、ブラウザのアドレスバーに直接URLを入力するか、公式アプリを起動して請求状況を確認するのが最も安全です。
リンクをクリックしてログイン情報を入力してしまった場合
- 直ちにPaidyアプリまたは公式サイトからパスワードを変更してください。フィッシングサイトに入力したメールアドレス・パスワード・SMS認証コード等は攻撃者の手に渡っている可能性があります。
- 同じパスワードを他のサービスで使い回している場合は、それらのパスワードもすべて変更してください。攻撃者は窃取した認証情報を他のサービスにも試行するのが一般的です。
- クレジットカード情報を入力した場合は、直ちにカード会社に連絡し、不正利用の監視またはカードの再発行を依頼してください。
- Paidyアプリで利用履歴を確認し、身に覚えのない取引がないか確認してください。不審な取引があった場合は、Paidyのカスタマーサポートに連絡してください。
このタイプのフィッシングメールの見分け方
- 送信元のメールアドレスを確認する:差出人の表示名が「Paidy」でも、実際のメールアドレスのドメインを確認してください。本メールでは
mooresa1door[.]comという無関係なドメインから送信されています。Paidyからの正規メールは、一般にPaidy公式サイトで案内されているドメインから送信されます。 - リンク先を事前に確認する:PC環境ではリンクにカーソルを合わせる、モバイル環境ではリンクを長押しすることで、実際のリンク先URLを確認できます。
cncqnlnl134[.]comのような見覚えのないドメインが表示された場合は、フィッシングの可能性が高いです。 - URLに見えるテキストを信用しない:本メールでは「hxxps://paidy[.]com/help」という正規URLに見えるテキストが表示されていましたが、実際のリンク先は別のドメインでした。HTMLメールでは表示テキストとリンク先を別々に設定できるため、「URLが正しく見える」だけでは安全と判断できません。
- 緊急性を煽るメールは疑う:「期限が過ぎています」「利用を制限します」「損害金が発生します」といった表現で即座の行動を促すメールは、冷静な判断を妨げるための典型的な手口です。本当に未払いがあるか不安な場合は、メールのリンクではなくPaidyアプリから直接確認してください。