メール詐欺が、PayPal の「定期支払い(Subscriptions)」請求機能を悪用し、カスタマーサービスURL欄に偽の購入通知を埋め込んだ正規のPayPalメールを送信するために使われています。
ここ数か月の間に、人々は「自動支払いはもう有効ではありません」という内容のPayPalからのメールを受信したと報告しています [1, 2]。
このメールにはカスタマーサービスURL欄が含まれており、そこが何らかの方法で改ざんされ、高額な商品(Sony製品、MacBook、iPhoneなど)を購入したというメッセージが埋め込まれています。
このテキストにはドメイン名、1,300ドル〜1,600ドル(メールによって金額は異なる)の支払いが処理されたというメッセージ、そして支払いをキャンセルまたは異議申し立てするための電話番号が含まれています。テキストにはUnicode文字が多用され、一部が太字や異様なフォントに見えるようになっており、スパムフィルタやキーワード検知を回避しようとする手口です。
「http://[domain] [domain] 1,346.99ドルの支払いが正常に処理されました。キャンセルやお問い合わせについては、+1-805-500-6377 の PayPal サポートまでご連絡ください」と、詐欺メールのカスタマーサービスURL欄には記載されています。
出典: BleepingComputer
これは明らかに詐欺ですが、メールは「[email protected]」というアドレスからPayPalが直接送信しているため、人々は自分のアカウントがハッキングされたのではないかと心配しています。
さらに、これらのメールは正規のPayPalメールであるため、セキュリティ対策やスパムフィルタをすり抜けてしまいます。次のセクションでは、詐欺師がどのようにしてこれらのメールを送信しているのかを説明します。
これらのメールの目的は、受信者に「自分のアカウントで高額なデバイスを購入してしまった」と思い込ませ、詐欺師の「PayPalサポート」電話番号に電話させることです。
このようなメールはこれまでにも、受信者に電話をかけさせて銀行詐欺を行わせたり、あるいはマルウェアをインストールさせたりするために利用されてきました。
したがって、「自動支払いはもう有効ではありません」と記載された正規のPayPalメールを受信し、その中に偽の購入確認が含まれている場合は、そのメールを無視し、記載された番号には絶対に電話しないでください。
自分のPayPalアカウントが侵害されたのではないかと心配な場合は、アカウントにログインして、実際に請求が発生していないか確認してください。
このPayPal詐欺の仕組み
BleepingComputerは、このメールを受信した人物からコピーを提供されました。その人物は、詐欺メールが正規の「[email protected]」メールアドレスから送信されていることを不審に思っていました。
さらに、メールヘッダーを確認すると、これらのメールは正規のものであり、DKIMとSPFのメールセキュリティチェックを通過し、下記のとおりPayPalのメールサーバー「mx15.slc.paypal.com」から直接送信されていることがわかります。
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass [email protected] header.s=pp-dkim1 header.b="AvY/E1H+";
spf=pass (google.com: domain of [email protected] designates 173.0.84.4 as permitted sender) [email protected];
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=paypal.com
Received: from mx15.slc.paypal.com (mx15.slc.paypal.com. [173.0.84.4])
by mx.google.com with ESMTPS id a92af1059eb24-11dcb045a3csi5930706c88.202.2025.11.28.09.14.49
for
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Fri, 28 Nov 2025 09:14:49 -0800 (PST)BleepingComputerがさまざまなPayPalの請求機能をテストしたところ、PayPalの「定期支払い(Subscriptions)」機能を使い、購読者を一時停止することで、同じメールテンプレートを再現できることがわかりました。
PayPalの定期支払いは、販売者が購読用のチェックアウトオプションを作成し、利用者が一定額でサービスを購読できるようにする請求機能です。
販売者が購読者のサブスクリプションを一時停止すると、PayPalは自動的に購読者へメールを送り、自動支払いがもう有効ではないことを通知します。
しかし、BleepingComputerがカスタマーサービスURL欄にURL以外のテキストを追加してこの詐欺を再現しようとしたところ、URL以外は許可されないとしてPayPalに変更を拒否されました。
したがって、詐欺師は、PayPalのサブスクリプションメタデータの処理に存在する欠陥を悪用しているか、あるいは一部の地域では利用できないAPIやレガシープラットフォームなどの方法を使い、無効なテキストをカスタマーサービスURL欄に保存している可能性があります。
これで、彼らがどのようにしてPayPalからメールを生成しているかはわかりましたが、そのメールがPayPalの定期支払いに登録していない人々にどのように送られているのかは、依然として不明です。
メールヘッダーを見ると、PayPalは実際には「[email protected]」というアドレス宛てにメールを送信しており、これは詐欺師が作成した偽の購読者に紐づくメールアドレスだと考えられます。
このアカウントはおそらくGoogle Workspaceのメーリングリストであり、受信したメールを自動的に他のグループメンバー全員に転送します。この場合、そのメンバーが詐欺師の標的となる人々です。
この転送により、元の送信者ではないサーバーからメールが転送されるため、その後のSPFやDMARCチェックがすべて失敗する可能性があります。
BleepingComputerがPayPalに連絡し、この問題が修正されたかどうかを尋ねたところ、PayPalはコメントを控え、代わりに以下の声明を共有しました。
「PayPalは不正行為を容認しておらず、絶えず進化する詐欺の手口からお客様を守るために尽力しています」と、PayPalはBleepingComputerに述べました。
「当社はこのフィッシング詐欺を認識しており、人々には常にオンライン上で警戒を怠らず、予期せぬメッセージには注意を払うよう呼びかけています。お客様が詐欺の標的になっていると疑われる場合は、PayPalアプリまたは当社の『お問い合わせ』ページからカスタマーサポートに直接ご連絡いただくことをお勧めします。」
