注意喚起: 2026年5月19日、PayPayを装い「ボーナスポイントの受取手続き」を促すフィッシングメールの配信を確認しました。本メールはPayPay株式会社とは無関係の詐欺メールです。メール内のリンクを開いたり、携帯電話番号などの個人情報を入力したりしないでください。
| 検体情報 | |
|---|---|
| 分析日 | 2026年5月19日 |
| 検体SHA256 | f487e59dde48adcec60e87e09af05423497de301d4ddd0b739630b54e407edbb |
| フィッシング判定 | 確定(複合根拠による) |
| 誘導先状態 | 停止/エラー(2026年5月19日時点) |
概要
本記事では、2026年5月19日に観測されたPayPayを騙るフィッシングメールについて、技術的解析結果に基づいて解説します。
本メールは「キャンペーン特典のPayPayポイント5,000ポイント」の受取手続きを促し、携帯電話番号の入力を求めることで個人情報を窃取しようとするものです。HTML本文にはゼロ幅Unicode文字が複数挿入されており、スパムフィルタの検知回避が図られています。誘導先URLは調査時点で停止/エラー状態ですが、2段階のリダイレクトを伴うTDS(Traffic Direction System)インフラが確認されており、フィッシングページが再稼働する可能性があります。
受信したメールの内容
メールヘッダ情報
| 件名 | 【PayPay】ボーナスポイント受取手続きのご案内 |
|---|---|
| 差出人(表示名) | PayPay |
| 差出人(メールアドレス) | billing[@]fbymjlwn[.]members[.]cowbuchet[.]com |
| Return-Path | billing[@]fbymjlwn[.]members[.]cowbuchet[.]com |
| 送信日時 | 2026年5月19日 14:21(JST) |
| 送信元IP | 35[.]217[.]108[.]135 |
HTML版メール本文
受信者のメールクライアントでは、以下のようなHTML形式のメールが表示されます。
【PayPay】ボーナスポイント受取手続きのご案内
PayPayポイント 受取手続きのご案内
セキュリティ保護のため、携帯電話番号による認証が必要です。
いつもPayPayをご利用いただき、誠にありがとうございます。
お客様のアカウントに対し、キャンペーン特典の「PayPayポイント」の付与準備が整いました。
安全にポイントをお受け取りいただくため、ご登録の携帯電話番号によるご本人様確認をお願いしております。
| 付与内容 | PayPayポイント |
|---|---|
| 付与ポイント数 | 5,000 ポイント |
| 受取期限 | 2026年5月31日 23:59まで |
お受け取り手順
- 下記のボタンより専用ページへアクセスしてください。
- PayPayにご登録の「携帯電話番号」をご入力ください。
- 認証完了後、ポイントが残高に即時反映されます。
【電話番号を入力して受け取る】
→ リンク先: hxxps://login[.]jzsbtw[.]com/?MWctuWkkAjab&type=paypay
【ご注意事項】
・上記のリンクはお客様専用の安全なURLです。第三者への共有はお控えください。
・受取期限を過ぎますと、本特典は自動的に無効となります。
・本メールは送信専用です。ご返信いただいてもお答えいたしかねます。
テキスト版メール本文(全文)
いつもPayPayをご利用いただき、誠にありがとうございます。
お客様のアカウントに対し、キャンペーン特典である「PayPayポイント」の
付与準備が整いましたのでご連絡いたしました。
セキュリティ保護およびご本人様確認のため、ポイントのお受け取りには
ご登録の「携帯電話番号」による認証手続きが必要となります。
大変お手数ではございますが、下記の専用URLより手続き画面へお進みいただき、
携帯電話番号をご入力ください。認証が完了次第、残高へ即時反映されます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 特典内容
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【付与内容】 PayPayポイント
【付与ポイント数】 5,000 ポイント
【受取期限】 2026年5月31日 23:59まで
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 受取手続き(電話番号認証)はこちら
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
以下のURLにアクセスし、画面の指示に従って手続きを完了させてください。
▼受取専用ページ
hxxps://login[.]jzsbtw[.]com/?O3xObE2RNVsw&type=paypay
※上記のURLはお客様専用となっております。第三者への共有はお控えください。
※受取期限を過ぎますと、本特典は自動的に無効となりますのでご注意ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ ご注意事項
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・付与されたPayPayポイントは、出金(払い戻し)・譲渡はできません。
・本メールは送信専用アドレスから配信されています。ご返信いただいても
お答えいたしかねますのでご了承ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 発行元
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
PayPay株式会社
[郵便番号] [住所]
コーポレートサイト: hxxps://login[.]jzsbtw[.]com/?1ofwa3RREJlm&type=paypay
※配信停止をご希望の場合は、アプリ内の設定メニューよりお手続きください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Copyright (C) PayPay Corporation. All Rights Reserved.
技術解析
送信元アドレスの分析
観測事実: 差出人の表示名は「PayPay」ですが、実際のメールアドレスは billing[@]fbymjlwn[.]members[.]cowbuchet[.]com です。PayPayの公式ドメインは一般に paypay[.]ne[.]jp として知られており、cowbuchet[.]com はこれとは無関係のドメインです。また、サブドメイン fbymjlwn はランダムな文字列であり、members[.]cowbuchet[.]com 配下に動的に生成されたサブドメインである可能性があります。
示唆: 多くのメールクライアントは表示名を大きく表示し、実際のメールアドレスを省略または小さく表示します。攻撃者はこの仕様を利用し、表示名に「PayPay」と設定することで、PayPay公式からの通知であると受信者に誤認させることを意図しています。
メール認証結果の解析
| 認証方式 | 結果 | 解説 |
|---|---|---|
| SPF | softfail | 送信元IP(35[.]217[.]108[.]135)が送信ドメインのSPFレコードで完全に許可されていない状態 |
| DKIM | pass | メールの電子署名が正当であることを確認 |
| DMARC | pass | 送信ドメインのDMARCポリシーに適合 |
観測事実: SPFはsoftfailとなっていますが、DKIMおよびDMARCはpassとなっています。
示唆: DKIMおよびDMARCがpassであることは、一見するとメールが正当であるかのような印象を与えます。しかし、これらの認証結果は送信者自身が設定した独自ドメイン(cowbuchet[.]com)に対する検証結果であり、PayPayの正規ドメイン(paypay[.]ne[.]jp)に対する認証ではありません。攻撃者が自身の管理するドメインに正しくDKIMとDMARCを設定すれば、これらの認証は「pass」となります。
つまり、DKIM passやDMARC passは認証対象のドメイン自体が正規のものであるかどうかを保証するものではありません。本件では、認証を通過しているドメインがPayPayとは無関係であるため、これらのpass結果はメールの正当性を裏付けるものではありません。
技術解説: SPF・DKIM・DMARCとは
SPF(Sender Policy Framework)は、送信元IPアドレスがそのドメインの正規送信サーバーであるかを検証する仕組みです。「softfail」は、そのIPアドレスが明示的に許可されていないことを示しますが、hard fail(明確な拒否)ほど厳格ではない判定です。
DKIM(DomainKeys Identified Mail)は、メールに電子署名を付与し、送信後に内容が改ざんされていないことを証明する仕組みです。
DMARC(Domain-based Message Authentication, Reporting & Conformance)は、SPFとDKIMの結果を統合的に評価し、ドメイン所有者が設定したポリシーに基づいてメールの正当性を判定する仕組みです。SPFまたはDKIMのいずれかがドメイン整合性を伴って合格すれば、DMARCは「pass」と判定されます。
HTMLメール構造の解析
誘導ボタンの分析
観測事実: HTML版メール内には1件のリンクが確認されました。
| 表示文言 | 「電話番号を入力して受け取る」 |
|---|---|
| リンク先URL | hxxps://login[.]jzsbtw[.]com/?MWctuWkkAjab&type=paypay |
| HTML実装 | CTAボタン(class属性: btn) |
このボタンの直前には「下記のボタンより専用ページへアクセスしてください」「PayPayにご登録の『携帯電話番号』をご入力ください」「認証完了後、ポイントが残高に即時反映されます」という3ステップの手順案内が配置されており、受信者に携帯電話番号の入力を自然な流れで促す導線となっています。
示唆: リンク先ドメイン login[.]jzsbtw[.]com はPayPayの公式ドメインではありません。サブドメインに「login」を使用することで、ログインページを装う意図がうかがえます。また、URLパラメータに type=paypay が含まれていることから、同一のフィッシングインフラが type パラメータによって複数のブランドを使い分けている可能性があります。
ゼロ幅文字によるフィルタ回避
観測事実: HTML本文中に、画面上では表示されないゼロ幅Unicode文字が複数箇所に挿入されていることを確認しました。
- U+200C(ZERO WIDTH NON-JOINER): 「ありがとうございます」と句点の間に挿入
- U+200D(ZERO WIDTH JOINER): 「ポイント」「共有」「かねます」等の単語内に挿入
- U+200B(ZERO WIDTH SPACE): 「携帯電話番号」の直後に挿入
示唆: これらのゼロ幅文字は画面上には一切表示されませんが、テキストパターンマッチングに基づくスパムフィルタの検知を回避する目的で使用される手法として一般に知られています。たとえば「ポイント」という文字列の間にゼロ幅文字を挿入することで、フィルタが「ポイント」というパターンに一致しなくなります。正規の企業メールでこのような文字が意図的に挿入されることは通常ありません。
誘導先URLの解析
リダイレクト挙動の分析
観測事実: メール内に含まれる3つの誘導先URLを分析したところ、以下のリダイレクト挙動が確認されました。
| 項目 | 内容 |
|---|---|
| 誘導URL(HTML版CTAボタン) | hxxps://login[.]jzsbtw[.]com/?MWctuWkkAjab&type=paypay |
| 誘導URL(テキスト版・受取ページ) | hxxps://login[.]jzsbtw[.]com/?O3xObE2RNVsw&type=paypay |
| 誘導URL(テキスト版・コーポレートサイト偽装) | hxxps://login[.]jzsbtw[.]com/?1ofwa3RREJlm&type=paypay |
| リダイレクト | 各URL共通: 2ホップ → hxxps://www[.]g[.]com |
| 状態 | 停止/エラー(2026年5月19日時点) |
3つのURLはすべて同一ドメイン login[.]jzsbtw[.]com を使用し、クエリパラメータのみが異なります。すべてのパラメータに type=paypay が含まれており、トラッキングまたはブランド識別に使用されていると推定されます。調査時点では、いずれのURLも2段階のリダイレクトを経て www[.]g[.]com に到達しました。
示唆: 最終的なリダイレクト先が無関係のサイトであることは、フィッシングページ自体が調査時点で停止しているか、TDS(Traffic Direction System)がセキュリティ調査ツールからのアクセスを検知してフィッシングページの配信を回避した可能性を示唆します。ただし、2段階のリダイレクトが存在することからTDSインフラ自体は稼働しており、フィッシングページが再度活性化される可能性があります。
また、テキスト版メール本文の末尾では「コーポレートサイト」としてフィッシングURLが記載されており、受信者が発行元の正当性を確認しようとした際にもフィッシングサイトに誘導される仕組みになっています。
技術解説: TDS(Traffic Direction System)とは
TDSは、アクセス者の環境(IPアドレス、ブラウザの種類、地域、アクセス時刻など)に応じて、異なるURLに自動的にリダイレクトする仕組みです。フィッシング攻撃においては以下の目的で使用されます。
- 検知回避: セキュリティ研究者やボットからのアクセスを識別し、無害なページに誘導することで分析を妨害する
- ブロックリスト回避: 最終的な詐欺ページのドメインを頻繁に切り替えることで、URLブロックリストへの登録による防御を困難にする
- 地域ターゲティング: 攻撃対象となる国や地域のユーザーのみを詐欺ページに誘導し、それ以外を無害なページにリダイレクトする
TDSの使用は、個人が場当たり的に行うフィッシングではなく、組織的に運用されるフィッシングインフラであることを示唆しています。
フィッシング判定の総合根拠
以下の複合的な根拠から、本メールはPayPayを騙るフィッシング詐欺であると確定しています。
| # | 証拠 | 確度 | 内容 |
|---|---|---|---|
| 1 | 送信元ドメインの不一致 | 確認済み | 差出人アドレスのドメイン(cowbuchet[.]com)がPayPayの公式ドメイン(一般に paypay[.]ne[.]jp として知られている)と一致しない |
| 2 | SPF softfail | 確認済み | 送信元IPが送信ドメインのSPFレコードで完全に許可されていない |
| 3 | 誘導先URLの不一致 | 確認済み | メール内のCTAボタンのリンク先(login[.]jzsbtw[.]com)がPayPayの公式ドメインと一致しない |
| 4 | TDSインフラの使用 | 確認済み | 誘導先URLに2段階のリダイレクトが実装されている |
| 5 | ゼロ幅文字の挿入 | 確認済み | HTML本文にフィルタ回避目的のゼロ幅Unicode文字(U+200B, U+200C, U+200D)が複数箇所に挿入されている |
| 6 | 不正な個人情報収集 | 確認済み | PayPayの一般的な運用にない、メール経由での携帯電話番号入力を要求している |
| 7 | コーポレートサイト偽装 | 確認済み | テキスト版フッターの「コーポレートサイト」URLがフィッシングドメインに向けられている |
総合判断: 送信元ドメインの偽装(#1)、メール認証の不備(#2)、PayPay公式とは無関係なドメインへの誘導(#3)、検知回避のためのTDSインフラ(#4)、スパムフィルタ回避のためのゼロ幅文字挿入(#5)、不正な個人情報収集の試み(#6)、および発行元リンクの偽装(#7)を総合的に評価し、本メールはフィッシング詐欺であると確定しました。
IOC(侵害指標)一覧
以下のIOCは、メールフィルタやセキュリティ機器のブロックリストに追加することで、同一インフラからの攻撃を検知・遮断できます。
メール関連
| 種別 | 値 |
|---|---|
| SHA256 | f487e59dde48adcec60e87e09af05423497de301d4ddd0b739630b54e407edbb |
| 差出人アドレス | billing[@]fbymjlwn[.]members[.]cowbuchet[.]com |
| 送信ドメイン | fbymjlwn[.]members[.]cowbuchet[.]com |
| 送信元IP | 35[.]217[.]108[.]135 |
URL・ドメイン関連
| 種別 | 値 | 備考 |
|---|---|---|
| 誘導URL(HTML版CTAボタン) | hxxps://login[.]jzsbtw[.]com/?MWctuWkkAjab&type=paypay | HTML版CTAボタンのリンク先 |
| 誘導URL(テキスト版) | hxxps://login[.]jzsbtw[.]com/?O3xObE2RNVsw&type=paypay | テキスト版本文内の受取ページURL |
| 誘導URL(コーポレートサイト偽装) | hxxps://login[.]jzsbtw[.]com/?1ofwa3RREJlm&type=paypay | テキスト版フッターのコーポレートサイト偽装URL |
| フィッシングドメイン | login[.]jzsbtw[.]com | TDS機能を持つ入口ドメイン |
PhishTank登録状況
| URL | 登録状況 |
|---|---|
| hxxps://login[.]jzsbtw[.]com/?MWctuWkkAjab&type=paypay | 未登録 |
| hxxps://login[.]jzsbtw[.]com/?O3xObE2RNVsw&type=paypay | 未登録 |
| hxxps://login[.]jzsbtw[.]com/?1ofwa3RREJlm&type=paypay | 未登録 |
本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処法
リンクを開いていない場合
- メールを削除してください。返信・転送は不要です
- 同様のメールが繰り返し届く場合は、メールクライアントの迷惑メールフィルタに登録してください
リンクを開いたが個人情報は入力していない場合
- ブラウザのタブを閉じてください
- 念のため、ブラウザの閲覧履歴とCookieを削除することを推奨します
携帯電話番号を入力してしまった場合
本メールの手口は携帯電話番号の窃取を目的としています。入力してしまった場合は、以下の対応を速やかに行ってください。
- PayPayアカウントのセキュリティ設定を見直す — PayPayアプリの「アカウント」→「セキュリティとプライバシー」から、ログイン履歴に不審なアクセスがないか確認してください
- PayPayのパスワードを変更する — 同じ携帯電話番号で登録している他のサービスについても、パスワードの変更を推奨します
- SMS認証を利用する他のサービスに注意する — 窃取された電話番号は、SMS認証コードの傍受やソーシャルエンジニアリングに悪用される可能性があります。銀行、決済サービス、SNS等のセキュリティ設定を確認してください
- 不審なSMS・電話に警戒する — 入力した電話番号宛にさらなるフィッシングSMSや詐欺電話が送信される可能性があります
金銭的被害が発生した場合
- 最寄りの警察署、または警察相談専用電話(#9110)に相談してください
- 国民生活センター消費者ホットライン(188)でも相談を受け付けています
このフィッシングメールを見分けるポイント
-
差出人のメールアドレスを必ず確認する
表示名が「PayPay」であっても、実際のメールアドレスが@paypay[.]ne[.]jpでなければPayPayからのメールではありません。スマートフォンでは差出人名をタップ、PCではメールヘッダを表示して、実際のアドレスを確認してください。本件ではcowbuchet[.]comという無関係のドメインが使われていました。 -
リンク先のURLをクリック前に確認する
スマートフォンではリンクを長押し、PCではマウスカーソルを重ねることで、実際の遷移先URLを事前に確認できます。本件ではボタン表示が「電話番号を入力して受け取る」でしたが、実際のリンク先はlogin[.]jzsbtw[.]comというPayPayとは無関係のドメインでした。 -
メールからの携帯電話番号入力要求は疑う
PayPayが公式メールを通じて携帯電話番号の入力を求めることは、一般的な運用として知られていません。携帯電話番号はSMS認証の起点となる重要な情報であり、窃取された場合のリスクは大きいです。ポイントの受取にメール経由の電話番号認証が必要という説明は、フィッシング特有の誘導です。 -
「受取期限」による焦りに乗らない
「2026年5月31日 23:59まで」という受取期限は、受信者の冷静な判断を妨げ、即座の行動を促すソーシャルエンジニアリング手法です。正規のサービスであれば、十分な期間が設けられており、メール1通で即座に対応を迫ることは通常ありません。 -
「お客様専用の安全なURL」という表現に注意する
本メールには「上記のリンクはお客様専用の安全なURLです。第三者への共有はお控えください」という文言が含まれています。この表現は、受信者がURLを他者に共有してフィッシングが発覚することを防ぐとともに、「専用URL」という表現で信頼感を演出する手口です。
PayPayポイントの残高や受取状況を確認したい場合は、メール内のリンクを使用せず、PayPayアプリを直接起動するか、ブラウザのアドレスバーにPayPayの公式URL(一般に hxxps://paypay[.]ne[.]jp/ として知られています)を直接入力してアクセスしてください。