【検証】Pairsを装ったメール「【重要】PAIRSメンバーシップ更新のお知らせNo.2143072」はフィッシングメールか?
見出し
- 1 【検証】Pairsを装ったメール「【重要】PAIRSメンバーシップ更新のお知らせNo.2143072」はフィッシングメールか?
- 1.1 このメールの怪しいポイント
- 1.2 このフィッシングの手口
- 1.3 もし情報を入力してしまうと…
- 1.4 技術的な検証結果
- 1.5 メール認証結果(SPF/DKIM/DMARC)
- 1.6 送信元ドメインの検査
- 1.7 ドメイン登録日
- 1.8 インフラ情報(ホスティング・国)
- 1.9 送信元サーバを確認します(Receivedヘッダ → 送信経路IP)
- 1.10 メール内リンクの遷移先を確認します(URL抽出+リダイレクト追跡)
- 1.11 フィッシングサイト稼働状況
- 1.12 PhishTank照合結果
- 1.13 RDAP証拠(whois相当:引用)
- 1.14 TLS証明書の整合性(引用)
- 1.15 フィッシングメールの見分け方
- 1.16 公式情報の確認
- 1.17 対処方法
【検証】Pairsを装ったメール「【重要】PAIRSメンバーシップ更新のお知らせNo.2143072」はフィッシングメールか?
「Pairs」を装ったフィッシングメールが届きました。
様々なサービスを装ったフィッシングです。
このメールは「本人確認・情報更新」のパターンに該当します。「本人確認が必要です」「情報を更新してください」などと偽り、個人情報やクレジットカード情報を入力させます。
※この記事は、実際に届いたメール(.eml)をもとに、技術的観点から内容を検証し、証拠(ヘッダ/RDAP/TLS/リダイレクト結果)を整理したものです。
※危険回避のため、URL/ドメイン/メールアドレス/IPは hxxp(s)・[.]・[@] で難読化しています。
このメールの怪しいポイント
- メール認証に失敗:SPF/DKIM が pass ではありません。正規の送信元ではない可能性が高いです
- ブランド偽装を検出:Pairsを偽装していますが、メール内のリンク先は正規ドメインではありません
- 検知回避リダイレクト:セキュリティスキャンを検知すると、正規サイトにリダイレクトして逃れる手法が使われています
- フィッシングサイトが運用中:リンク先のサイトが現在も稼働しています。絶対にアクセスしないでください
判定:複数の重大な警告があります。このメールはほぼ確実にフィッシング詐欺です。
このフィッシングの手口
このメールは「本人確認・情報更新」型の一般的な手口です。
- 偽装メールの送信:「Pairs」を名乗り、もっともらしい件名でメールを送信します。
- 緊急性を演出:「すぐに対応しないとアカウントが停止される」など、焦らせる文言を使います。
- 偽サイトへ誘導:メール内のリンクをクリックさせ、本物そっくりの偽ログインページへ誘導します。
- 情報の窃取:ID・パスワード・クレジットカード情報などを入力させ、盗み取ります。
- 悪用:盗んだ情報で不正ログイン、不正購入、個人情報の転売などを行います。
今回のメールの特徴
- メール内のリンク先は「fqyuanmo[.]com」など、正規のドメインではありません。
- メール認証(SPF/DKIM)に失敗しており、正規の送信元ではないことが技術的に証明されています。
もし情報を入力してしまうと…
このフィッシングサイトで情報を入力してしまった場合、以下のような被害が想定されます。
- アカウントが乗っ取られる
- 個人情報が流出する
- 金銭的な被害を受ける
- すぐにパスワードを変更してください(使い回している他サービスも含めて)
- クレジットカード情報を入力した場合は、カード会社に連絡して利用停止してください
- 不正利用がないか、明細を確認してください
技術的な検証結果
以下では、実際に届いたメールのヘッダ情報・認証結果・リンク先の調査結果など、技術的な証拠を詳しく解説します。
受信したメールの概要
- 件名:【重要】PAIRSメンバーシップ更新のお知らせNo.2143072
- 受信日時(ヘッダ):Tue, 06 Jan 2026 17:03:28 +0800
- 表示上の差出人:Pairs <helpo[@]online-vsports[.]com>
- Return-Path:<helpo[@]online-vsports[.]com>
メール本文(原文:難読化)
クリックで本文を表示
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 |
PAIRS公式通知 - メンバーシップ更新のお知らせ PAIRS メンバーシップ更新のお知らせ いつもPAIRSをご利用いただき、誠にありがとうございます。お客様のメンバーシップがまもなく更新されます。 サービス名 PAIRS プレミアムプラン 現在のプラン 月額プラン 更新日 2026年1月10日 更新金額 ¥1,080(税込) ⚠️自動更新について 現在、自動更新が有効になっています。更新日までにキャンセル手続きをされない場合、上記メンバーシップが自動的に更新され、登録されているお支払い方法に課金されます。メンバーシップ設定を管理する 更新を希望される場合、特に操作は必要ありません。更新日までにキャンセルされない場合、自動的に更新処理が行われます。 このメールは自動送信されています。ご返信いただいてもお答えできませんのでご了承ください。 PAIRSヘルプセンター利用規約プライバシーポリシー Copyright © 2026 Eureka Inc. All rights reserved. PAIRS運営事務局: 〒150-0043 東京都渋谷区道玄坂2-10-12 新大宗ビル3号館 お問い合わせ: hxxps://pairs[.]chmuonjp[.]com/contact |
メール認証結果(SPF/DKIM/DMARC)
| 認証方式 | 結果 | 意味 |
|---|---|---|
| SPF | SOFTFAIL | 送信元IPがドメインの許可リストに含まれていません(偽装の可能性) |
| DKIM | PASS HEADER | 電子署名がないか無効です(改ざん/偽装の可能性) |
| DMARC | PASS | ドメインポリシーに準拠しています |
- smtp.mailfrom:
helpo - header.from:
online-vsports
受信側の補足:mx.google.com; dkim=pass header.i=@online-vsports.com header.s=mail header.b=V1mlrPNF; spf=softfail (google.com: domain of transitioning hel…
送信元ドメインの検査
メールの送信に使用されたドメイン(From / Return-Path)を調査しました。
online-vsports[.]com(From / Return-Path)
| 登録日 | 2025-02-06(334日前) |
| ネームサーバー | NS7[.]ALIDNS[.]COM, NS8[.]ALIDNS[.]COM |
| ステータス | client transfer prohibited |
ドメイン登録日
| ドメイン | 登録日 | 経過日数 | 判定 |
|---|---|---|---|
fqyuanmo[.]com |
2016-01-18 | 3640日 | — |
インフラ情報(ホスティング・国)
送信元サーバー
| IP | 国 | 事業者 | 備考 |
|---|---|---|---|
163[.]44[.]89[.]69 |
日本 | Japan Network Information Center |
フィッシングサイト
| IP | 国 | 事業者 | 備考 |
|---|---|---|---|
43[.]133[.]200[.]33 |
日本 | Irt-acevillepteltd-sg |
送信元サーバを確認します(Receivedヘッダ → 送信経路IP)
送信元候補IP: 163[.]44[.]89[.]69 / 国: 日本
163[.]44[.]89[.]69(送信元候補)136[.]110[.]85[.]45
※ここは「メールの送信経路上で観測されたIP」です。リンク先サーバのIPとは別です。
メール内リンクの遷移先を確認します(URL抽出+リダイレクト追跡)
リンク
抽出URL:hxxps://fqyuanmo[.]com/YrVCY4lVxl
チェーン
hxxps://fqyuanmo[.]com/YrVCY4lVxlhxxps://www[.]google[.]com
最終URL:hxxps://www[.]google[.]com(正規サイトへリダイレクト)
注意:セキュリティスキャナを検知すると正規サイトにリダイレクトして回避する手法が使われている可能性があります。
調査対象URL(フィッシングサイト):hxxps://fqyuanmo[.]com/YrVCY4lVxl
注記:evasive_redirect_to_safe
遷移先サイトの解決IP(DNS)
43[.]133[.]200[.]33
リンク
抽出URL:hxxps://fqyuanmo[.]com/fvH9VMAdSl
チェーン
hxxps://fqyuanmo[.]com/fvH9VMAdSlhxxps://www[.]google[.]com
最終URL:hxxps://www[.]google[.]com(正規サイトへリダイレクト)
注意:セキュリティスキャナを検知すると正規サイトにリダイレクトして回避する手法が使われている可能性があります。
調査対象URL(フィッシングサイト):hxxps://fqyuanmo[.]com/fvH9VMAdSl
注記:evasive_redirect_to_safe
遷移先サイトの解決IP(DNS)
43[.]133[.]200[.]33
リンク
抽出URL:hxxps://fqyuanmo[.]com/GSBiGslLYS
チェーン
hxxps://fqyuanmo[.]com/GSBiGslLYShxxps://www[.]google[.]com
最終URL:hxxps://www[.]google[.]com(正規サイトへリダイレクト)
注意:セキュリティスキャナを検知すると正規サイトにリダイレクトして回避する手法が使われている可能性があります。
調査対象URL(フィッシングサイト):hxxps://fqyuanmo[.]com/GSBiGslLYS
注記:evasive_redirect_to_safe
遷移先サイトの解決IP(DNS)
43[.]133[.]200[.]33
リンク
抽出URL:hxxps://fqyuanmo[.]com/D9q80OkIf8
チェーン
hxxps://fqyuanmo[.]com/D9q80OkIf8hxxps://www[.]google[.]com
最終URL:hxxps://www[.]google[.]com(正規サイトへリダイレクト)
注意:セキュリティスキャナを検知すると正規サイトにリダイレクトして回避する手法が使われている可能性があります。
調査対象URL(フィッシングサイト):hxxps://fqyuanmo[.]com/D9q80OkIf8
注記:evasive_redirect_to_safe
遷移先サイトの解決IP(DNS)
43[.]133[.]200[.]33
※ここは「メール内リンクの遷移先(サイト側)」の情報です。送信元IP(Received)とは別です。
フィッシングサイト稼働状況
※解析時点でのステータスです。フィッシングサイトは短期間でテイクダウンされることがあります。
| URL | ステータス | 詳細 |
|---|---|---|
fqyuanmo[.]com/YrVCY4lVxl |
運用中 (HTTP 200) | 運用中(要注意:フィッシングサイトが稼働しています) |
fqyuanmo[.]com/fvH9VMAdSl |
運用中 (HTTP 200) | 運用中(要注意:フィッシングサイトが稼働しています) |
fqyuanmo[.]com/GSBiGslLYS |
運用中 (HTTP 200) | 運用中(要注意:フィッシングサイトが稼働しています) |
fqyuanmo[.]com/D9q80OkIf8 |
運用中 (HTTP 200) | 運用中(要注意:フィッシングサイトが稼働しています) |
PhishTank照合結果
PhishTankは、Cisco Talos Intelligence Groupが運営するフィッシングサイトの報告・検証データベースです。メール内のURLをPhishTankと照合した結果を表示します。
照合したURLはPhishTankに登録されていませんでした。ただし、未登録であってもフィッシングサイトである可能性は否定できません。新しいフィッシングサイトは登録されるまでに時間がかかることがあります。
| 照合URL | 結果 | 報告状況 |
|---|---|---|
hxxps://fqyuanmo[.]com/YrVCY4lVxl |
未登録 | ✓ CCSIで報告済み |
hxxps://fqyuanmo[.]com/fvH9VMAdSl |
未登録 | ✓ CCSIで報告済み |
hxxps://fqyuanmo[.]com/GSBiGslLYS |
未登録 | ✓ CCSIで報告済み |
このフィッシングURLは、CCSIからPhishTankに報告済みです。 コミュニティによる検証後、データベースに登録されます。
照合日時: 2026-01-06T09:14:59+00:00 (UTC)
RDAP証拠(whois相当:引用)
※この証拠が示す意味:登録日が直近・海外レジストラ・NSが無関係などが重なるほど、なりすまし(フィッシング)である蓋然性が上がります。
※以下はRDAPレスポンスから 再現性のある要点 を固定形式で抜粋したものです。
ドメイン(登録情報)
IPアドレス(割り当て/組織/国)
TLS証明書の整合性(引用)
※危険回避のため、ドメイン/IPは [.] 形式で難読化して掲載しています。
フィッシングメールの見分け方
以下のポイントをチェックすることで、フィッシングメールを見分けることができます。
| チェックポイント | 正規メール | フィッシング |
|---|---|---|
| 送信元アドレス | 公式ドメイン | 似ているが違うドメイン |
| リンク先URL | 公式サイト | 全く違うドメイン |
| 文面の日本語 | 自然な文章 | 機械翻訳のような不自然さ |
| 緊急性の演出 | 冷静な案内 | 「24時間以内」など焦らせる |
| 宛名 | 氏名で呼びかけ | 「お客様」など汎用的 |
今回のメールで確認できる不審点
- 不審なリンク先:「fqyuanmo[.]com」は正規のドメインではありません
- メール認証の失敗:SPF認証に失敗しており、正規の送信サーバーからではありません
公式情報の確認
このメールに関して不安がある場合は、メール内のリンクではなく、以下の公式サイトから直接確認してください。
- Pairs 公式サイト:https://www.pairs.lv/
被害に遭った場合の相談窓口
- 警察庁 サイバー犯罪相談窓口:各都道府県警察のサイバー犯罪相談窓口へ
- 消費者ホットライン:188(いやや)
- フィッシング対策協議会:https://www.antiphishing.jp/
対処方法
- メール内リンクはクリックしない
- 公式アプリ/公式サイト(ブックマーク)から直接ログインして状況確認
- ID・パスワードを入力した場合は、直ちにパスワード変更(使い回しも含めて)
- カード情報を入力した場合は、カード会社へ連絡し利用停止・調査
- 不安なら、同様の連絡が公式にも出ているか(公式お知らせ/サポート)を確認
※解析メモ:.emlのSHA-256 = 96b8230358b2090d17a0f24eef27106354482830567fe3289a804d026a9de442
関連記事
NEW 【検証】Pairsを装ったメール「【Pairs公式】年間感謝祭 特 …
NEW 「【公式通達】税金のお支払いについて」はフィッシングメールか検証する
NEW 飯田信用金庫 信用金庫騙るフィッシング詐欺に警告 新手口「2026年…
NEW 「【重要なお知らせ】資産評価額達成確認済み|5,200ポイントを今す…
NEW 【検証】「信用金庫ご利用様限定! 2026年超大型抽選会(Apple…
NEW 「【ご確認のお願い】税金の支払いが遅れています」はフィッシングメール…
NEW 「【期限間近】JALマイルのご案内」はフィッシングメールか検証する
NEW 「ご愛顧に感謝を込めて、ジャンボ宝くじ22枚を無料で贈呈中」はフィッ…
NEW 【検証】セゾンカードを装ったメール「【セゾンカード】利用に関するセキ…
NEW 【検証】Amazonを装ったメール「【重要】Amazon Music…
NEW 【検証】件名「【セキュリティ対策】不正利用防止のため速やかな対応をお…
NEW 【検証】Amazonを装ったメール「【重要】会費請求エラーとお支払い…
NEW 【検証】Appleを装ったメール「【重要】サブスクリプション更新のお…
NEW 【検証】Pairsを装ったメール「【Pairs公式】年間感謝祭 特 …
2025年11月、特殊詐欺・フィッシング詐欺の最新動向:PayPay…
フィッシング詐欺の手口と対策に関して、朝日新聞の取材を受けました
カテゴリ:フィッシング
タグ:Pairs,フィッシング詐欺,ペアーズ
【検証】Amazonを装ったメール「【重要】Amazon Music U nlimited定期購入の更新について」はフィッシングメールか?
TOKYO FM 外部クラウドサービスからユーザー情報流出 サーバーへの不正アクセスはなし