フィッシング

2026/1/5

【検証】Pairsを装ったメール「【Pairs公式】年間感謝祭特別プレゼントNo.791889」はフィッシング詐欺か？

見出し

1 【検証】件名「【Pairs公式】年間感謝祭特別プレゼントNo.791889」はフィッシングメールか？

【検証】件名「【Pairs公式】年間感謝祭特別プレゼントNo.791889」はフィッシングメールか？

フィッシングメール（詐欺メール）が届きました。

このメールは、受信者を偽のウェブサイトに誘導し、個人情報やクレジットカード情報を盗み取ることを目的としています。

このメールは「当選・還付金」のパターンに該当します。「当選しました」「還付金があります」などと偽り、受け取りのためと称して個人情報や口座情報を入力させます。

※この記事は、実際に届いたメール（.eml）をもとに、技術的観点から内容を検証し、証拠（ヘッダ／RDAP／TLS／リダイレクト結果）を整理したものです。

※危険回避のため、URL/ドメイン/メールアドレス/IPは hxxp(s)・[.]・[@] で難読化しています。

このメールの怪しいポイント

検知回避リダイレクト：セキュリティスキャンを検知すると、正規サイトにリダイレクトして逃れる手法が使われています
フィッシングサイトが運用中：リンク先のサイトが現在も稼働しています。絶対にアクセスしないでください
メール認証に失敗：DKIM が pass ではありません。正規の送信元ではない可能性が高いです

判定：重大な警告があります。フィッシング詐欺の可能性が非常に高いです。

このフィッシングの手口

このメールは「当選・還付金」型の比較的単純な手口です。

偽装メールの送信：「Pairs サービス運営チーム」を名乗り、もっともらしい件名でメールを送信します。
緊急性を演出：「すぐに対応しないとアカウントが停止される」など、焦らせる文言を使います。
偽サイトへ誘導：メール内のリンクをクリックさせ、本物そっくりの偽ログインページへ誘導します。
情報の窃取：ID・パスワード・クレジットカード情報などを入力させ、盗み取ります。
悪用：盗んだ情報で不正ログイン、不正購入、個人情報の転売などを行います。

今回のメールの特徴

メール内のリンク先は「avisit2scotland[.]com」など、正規のドメインではありません。
メール認証（DKIM）に失敗しており、正規の送信元ではないことが技術的に証明されています。

もし情報を入力してしまうと…

このフィッシングサイトで情報を入力してしまった場合、以下のような被害が想定されます。

アカウントが乗っ取られる
個人情報が流出する
金銭的な被害を受ける

もし入力してしまった場合は：

すぐにパスワードを変更してください（使い回している他サービスも含めて）
クレジットカード情報を入力した場合は、カード会社に連絡して利用停止してください
不正利用がないか、明細を確認してください

技術的な検証結果

以下では、実際に届いたメールのヘッダ情報・認証結果・リンク先の調査結果など、技術的な証拠を詳しく解説します。

受信したメールの概要

件名：【Pairs公式】年間感謝祭特別プレゼントNo.791889
受信日時（ヘッダ）：Mon, 05 Jan 2026 11:05:46 +0800
表示上の差出人：Pairs サービス運営チーム <helpo[@]macloline[.]com>
Return-Path：<helpo[@]macloline[.]com>

メール本文（原文：難読化）

クリックで本文を表示

  

本物の出会いに、本物のご褒美を。 

いつもPairsをご利用いただき、誠にありがとうございます。 
2026年も、たくさんの素敵なご縁をありがとうございます。Pairsは、本当の出会いと誠実なご利用を何よりも大切に考えています。 
この想いから、今回の抽選会は、ご本人様確認が完了した認証ユーザー様のみを対象とさせていただきます。大切な皆様ひとりひとりに、安心と公平なお楽しみをご提供するための、ほんの少しのご協力です。 


📱 【新生活の可能性】テクノロジープライズ 

  Apple iPhone 17 Pro Max (最新モデル) 
  Apple Watch Series 11 &amp; AirPods Pro セット 

✈️ 【自由へのチケット】究極の旅体験プライズ 

  【羽田発】ハワイ ラグジュアリーホテル滞在 5日間 ペア旅行券 
  【東京・大阪発】国内線往復ペア航空券 + 星野リゾート宿泊券 

🎁 【あなたが決める未来】至高の選択権プライズ 

  Amazonギフトカード 100万円分 
  高島屋 / 伊勢丹 商品券 50万円分 
  Apple Store / ソフトバンク ギフトカード 

💎 【特別な記念に】ラグジュアリーブランドプライズ 

  ティファニー ダイヤモンドペンダント 
  エルメス シルクスカーフ セット 

🔐 ご参加はとっても簡単です。 

  ご本人様確認（認証）がお済みでない場合は、まずはアプリ内から簡単な認証手続きをお願いします。 
  下記のボタンから、抽選会ページにアクセス！ 
  応募完了です。 

あなたの「本物の瞬間」に、最高のご褒美を。 
安心してご参加いただける空間を守り続けるため。引き続きPairsをどうぞよろしくお願いいたします。 
抽選に応募する 

Pairs 運営チーム 一同 
〒106-0032 東京都港区六本木1丁目6番1号 六本木ヒルズ森タワー 
お問い合わせ：Pairsカスタマーサポート support[@]pairs[.]lv 

【抽選会に関する注意事項】 
・応募期間：2026年1月1日 00:00 ～ 2026年1月31日 23:59 
・当選発表：2026年2月10日 にアプリ内通知及びメールにてご連絡 
・当選者の方には別途個別にご連絡し、賞品の発送手続きをご案内いたします 
・応募資格：Pairsの認証済みユーザーで、利用規約に違反していない方に限ります 
・賞品の交換・換金は一切受け付けておりません 
© 2026 Pairs. All Rights Reserved. 株式会社イースト・コミュニケーションズ

本物の出会いに、本物のご褒美を。

いつもPairsをご利用いただき、誠にありがとうございます。

2026年も、たくさんの素敵なご縁をありがとうございます。Pairsは、本当の出会いと誠実なご利用を何よりも大切に考えています。

この想いから、今回の抽選会は、ご本人様確認が完了した認証ユーザー様のみを対象とさせていただきます。大切な皆様ひとりひとりに、安心と公平なお楽しみをご提供するための、ほんの少しのご協力です。

📱 【新生活の可能性】テクノロジープライズ

Apple iPhone 17 Pro Max (最新モデル)

Apple Watch Series 11 & AirPods Pro セット

✈️ 【自由へのチケット】究極の旅体験プライズ

【羽田発】ハワイラグジュアリーホテル滞在 5日間ペア旅行券

【東京・大阪発】国内線往復ペア航空券 + 星野リゾート宿泊券

🎁 【あなたが決める未来】至高の選択権プライズ

Amazonギフトカード 100万円分

高島屋 / 伊勢丹商品券 50万円分

Apple Store / ソフトバンクギフトカード

💎 【特別な記念に】ラグジュアリーブランドプライズ

ティファニーダイヤモンドペンダント

エルメスシルクスカーフセット

🔐 ご参加はとっても簡単です。

ご本人様確認（認証）がお済みでない場合は、まずはアプリ内から簡単な認証手続きをお願いします。

下記のボタンから、抽選会ページにアクセス！

応募完了です。

あなたの「本物の瞬間」に、最高のご褒美を。

安心してご参加いただける空間を守り続けるため。引き続きPairsをどうぞよろしくお願いいたします。

抽選に応募する

Pairs 運営チーム一同

〒106-0032 東京都港区六本木1丁目6番1号六本木ヒルズ森タワー

お問い合わせ：Pairsカスタマーサポート support[@]pairs[.]lv

【抽選会に関する注意事項】

・応募期間：2026年1月1日 00:00 ～ 2026年1月31日 23:59

・当選発表：2026年2月10日にアプリ内通知及びメールにてご連絡

・当選者の方には別途個別にご連絡し、賞品の発送手続きをご案内いたします

・応募資格：Pairsの認証済みユーザーで、利用規約に違反していない方に限ります

・賞品の交換・換金は一切受け付けておりません

メール認証結果（SPF/DKIM/DMARC）

認証方式	結果	意味
SPF	PASS	送信元IPがドメインの許可リストに含まれています
DKIM	PASS HEADER	電子署名がないか無効です（改ざん/偽装の可能性）

smtp.mailfrom: helpo

受信側の補足：mx.google.com; spf=pass (google.com: domain of helpo@macloline.com designates 35.200.117.253 as permitted sender) smtp.mailfrom=helpo@maclol…

認証結果の判定：メール認証に失敗しているため、このメールは正規の送信元から送られたものではない可能性が高いです。

送信元ドメインの検査

メールの送信に使用されたドメイン（From / Return-Path）を調査しました。

macloline[.]com（From / Return-Path）

登録日	2025-02-12（328日前）
ネームサーバー	`NS7[.]ALIDNS[.]COM, NS8[.]ALIDNS[.]COM`
ステータス	`client transfer prohibited`

ドメイン登録日

ドメイン	登録日	経過日数	判定
`avisit2scotland[.]com`	2025-01-25	346日	—

インフラ情報（ホスティング・国）

送信元サーバー

IP	国	事業者	備考
`35[.]200[.]117[.]253`	不明	Google Cloud	Google Cloudのインフラを利用

フィッシングサイト

IP	国	事業者	備考
`43[.]133[.]200[.]33`	日本	Irt-acevillepteltd-sg

送信元サーバを確認します（Receivedヘッダ → 送信経路IP）

送信元候補IP: 35[.]200[.]117[.]253

35[.]200[.]117[.]253 （送信元候補）

※ここは「メールの送信経路上で観測されたIP」です。リンク先サーバのIPとは別です。

メール内リンクの遷移先を確認します（URL抽出＋リダイレクト追跡）

リンク

抽出URL：hxxps://avisit2scotland[.]com/K0oDhCw4bx

チェーン

hxxps://avisit2scotland[.]com/K0oDhCw4bx
hxxps://www[.]google[.]com

最終URL：hxxps://www[.]google[.]com（正規サイトへリダイレクト）

注意：セキュリティスキャナを検知すると正規サイトにリダイレクトして回避する手法が使われている可能性があります。

調査対象URL（フィッシングサイト）：hxxps://avisit2scotland[.]com/K0oDhCw4bx

注記：evasive_redirect_to_safe

遷移先サイトの解決IP（DNS）

43[.]133[.]200[.]33

※ここは「メール内リンクの遷移先（サイト側）」の情報です。送信元IP（Received）とは別です。

フィッシングサイト稼働状況

※解析時点でのステータスです。フィッシングサイトは短期間でテイクダウンされることがあります。

URL	ステータス	詳細
`avisit2scotland[.]com/K0oDhCw4bx`	運用中 (HTTP 200)	運用中（要注意：フィッシングサイトが稼働しています）

警告：フィッシングサイトが現在も運用中です。絶対にアクセスしないでください。

PhishTank照合結果

PhishTankは、Cisco Talos Intelligence Groupが運営するフィッシングサイトの報告・検証データベースです。メール内のURLをPhishTankと照合した結果を表示します。

PhishTankに未登録

照合したURLはPhishTankに登録されていませんでした。ただし、未登録であってもフィッシングサイトである可能性は否定できません。新しいフィッシングサイトは登録されるまでに時間がかかることがあります。

照合URL	結果	報告状況
`hxxps://avisit2scotland[.]com/K0oDhCw4bx`	未登録	✓ CCSIで報告済み

✓ PhishTankへの報告

このフィッシングURLは、CCSIからPhishTankに報告済みです。コミュニティによる検証後、データベースに登録されます。

照合日時: 2026-01-06T14:10:29+00:00 (UTC)

RDAP証拠（whois相当：引用）

※この証拠が示す意味：登録日が直近・海外レジストラ・NSが無関係などが重なるほど、なりすまし（フィッシング）である蓋然性が上がります。

※以下はRDAPレスポンスから 再現性のある要点 を固定形式で抜粋したものです。

ドメイン（登録情報）

RDAP証拠（Domain）対象: avisit2scotland[.]com RDAP: https://rdap.verisign.com/com/v1/domain/avisit2scotland.com 取得日時(UTC): 2026-01-06T14:10:29+00:00 status: active events: registration=2025-01-25T09:39:00Z / expiration=2026-01-25T09:39:00Z / last changed=2026-01-04T16:02:38Z nameserver: ALICE.NS.CLOUDFLARE.COM, CLARK.NS.CLOUDFLARE.COM

1
2
3
4
5
6
7

RDAP証拠（Domain）
対象: avisit2scotland[.]com
RDAP: https://rdap.verisign.com/com/v1/domain/avisit2scotland.com
取得日時(UTC): 2026-01-06T14:10:29+00:00
status: active
events: registration=2025-01-25T09:39:00Z / expiration=2026-01-25T09:39:00Z / last changed=2026-01-04T16:02:38Z
nameserver: ALICE.NS.CLOUDFLARE.COM, CLARK.NS.CLOUDFLARE.COM

IPアドレス（割り当て/組織/国）

RDAP証拠（IP）対象: 35[.]200[.]117[.]253 RDAP: https://rdap.arin.net/registry/ip/35.200.117.253 取得日時(UTC): 2026-01-06T14:10:28+00:00 org/name: Google LLC / country: range: 35.192.0.0 - 35.207.255.255 events: last changed=2018-01-24T10:36:18-05:00 / registration=2017-03-21T09:15:46-04:00

1
2
3
4
5
6
7

RDAP証拠（IP）
対象: 35[.]200[.]117[.]253
RDAP: https://rdap.arin.net/registry/ip/35.200.117.253
取得日時(UTC): 2026-01-06T14:10:28+00:00
org/name: Google LLC / country:
range: 35.192.0.0 - 35.207.255.255
events: last changed=2018-01-24T10:36:18-05:00 / registration=2017-03-21T09:15:46-04:00

RDAP証拠（IP）対象: 43[.]133[.]200[.]33 RDAP: https://rdap.apnic.net/ip/43.133.200.33 取得日時(UTC): 2026-01-06T14:10:28+00:00 org/name: IRT-ACEVILLEPTELTD-SG / country: 日本 range: 43.133.192.0 - 43.133.223.255 events: registration=2022-01-28T03:22:08Z / last changed=2022-04-06T19:05:08Z

1
2
3
4
5
6
7

RDAP証拠（IP）
対象: 43[.]133[.]200[.]33
RDAP: https://rdap.apnic.net/ip/43.133.200.33
取得日時(UTC): 2026-01-06T14:10:28+00:00
org/name: IRT-ACEVILLEPTELTD-SG / country: 日本
range: 43.133.192.0 - 43.133.223.255
events: registration=2022-01-28T03:22:08Z / last changed=2022-04-06T19:05:08Z

TLS証明書の整合性（引用）

※危険回避のため、ドメイン/IPは [.] 形式で難読化して掲載しています。

TLS証拠対象ホスト: avisit2scotland[.]com 解決IP: 43[.]133[.]200[.]33 SNIあり CN: avisit2scotland[.]com SNIあり SAN: DNS:avisit2scotland.com SNIあり一致判定: match SNIなし CN: alisa365[.]com SNIなし SAN: DNS:alisa365.com 備考: SNIあり/なしで提示される証明書CNが異なります（デフォルト証明書の可能性）。

1
2
3
4
5
6
7
8
9

TLS証拠
対象ホスト: avisit2scotland[.]com
解決IP: 43[.]133[.]200[.]33
SNIあり CN: avisit2scotland[.]com
SNIあり SAN: DNS:avisit2scotland.com
SNIあり一致判定: match
SNIなし CN: alisa365[.]com
SNIなし SAN: DNS:alisa365.com
備考: SNIあり/なしで提示される証明書CNが異なります（デフォルト証明書の可能性）。

実際の画面（スクリーンショット）

※安全のため、スクリーンショットは 隔離された検証環境 で取得したもののみ掲載します。

※対象候補ドメイン：avisit2scotland[.]com

（スクショ差し込み待ち）

[ ] 偽ログイン画面のスクショ
[ ] 入力フォーム（要求情報）のスクショ
[ ] 可能なら遷移のスクショ（1枚）

フィッシングメールの見分け方

以下のポイントをチェックすることで、フィッシングメールを見分けることができます。

チェックポイント	正規メール	フィッシング
送信元アドレス	公式ドメイン	似ているが違うドメイン
リンク先URL	公式サイト	全く違うドメイン
文面の日本語	自然な文章	機械翻訳のような不自然さ
緊急性の演出	冷静な案内	「24時間以内」など焦らせる
宛名	氏名で呼びかけ	「お客様」など汎用的