PayPal

PayPalの「定期購入」課金機能を悪用し、カスタマーサービスURL欄に偽の購入通知を埋め込んだ正規のPayPalメールを送信するメール詐欺が発生しています。

ここ数ヶ月の間に、PayPalから “Your automatic payment is no longer active “と記載されたメールを受け取ったという報告が[1,2]ありました。

このメールには、カスタマーサービスURL欄が何らかの方法で修正され、ソニー製デバイス、MacBook、iPhoneなどの高額商品を購入したというメッセージが含まれている。

Wiz

このテキストには、ドメイン名、1,300~1,600ドルの支払いが処理されたことを示すメッセージ(金額はメールによって異なる)、支払いをキャンセルしたり異議を申し立てるための電話番号が含まれている。テキストはユニコード文字で埋め尽くされ、一部が太字や変わったフォントで表示されるが、これはスパムフィルターやキーワード検出を回避しようとするために使われる手口である。

“http://[ドメイン] [ドメイン] $1346.99の支払いは正常に処理されました。キャンセルおよびお問い合わせは、PayPalサポート(+1-805-500-6377)までご連絡ください。”と、詐欺メールに記載されたカスタマーサービスURLが読み取れる。

PayPal subscription email used in scam
詐欺に使われたPayPalの加入メール
ソースは こちら:

これは明らかに詐欺だが、メールは「service@paypal.com」というアドレスからPayPalから直接送信されているため、アカウントがハッキングされたのではないかと心配する人がいる。

さらに、このメールはPayPalの正規のメールであるため、セキュリティやスパムフィルターをバイパスしている。次のセクションでは、詐欺師がどのようにしてこのようなメールを送信するのかを説明します。

このようなメールの目的は、受信者を騙して自分のアカウントが高価なデバイスを購入したと思わせ、詐欺師の「PayPalサポート」の電話番号に電話させることです。

このようなメールは歴史的に、受信者に電話番号に電話させて銀行詐欺を行ったり、騙してコンピュータにマルウェアをインストールさせたりするために使われてきました。

したがって、PayPalから自動決済が有効でなくなったという正当なEメールを受信し、その中に偽の購入確認が含まれていた場合は、そのEメールを無視し、その番号に電話しないでください。

PayPalアカウントが侵害された可能性がある場合は、アカウントにログインし、請求がなかったことを確認してください。

PayPal詐欺の手口

を受信した人からメールのコピーを送ってもらったところ、詐欺の発信元が正規の「service@paypal.com」メールアドレスであることに違和感を覚えた。

さらに、Eメールのヘッダーは、Eメールが正当なものであり、DKIMとSPFのEメール・セキュリティ・チェックをパスし、以下のようにPayPalの「mx15.slc.paypal.com」メール・サーバーから直接発信されていることを示している。

ARC-Authentication-Results: i=1; mx.google.com; dkim=pass header.i=@paypal.com header.s=pp-dkim1 header.b="AvY/E1H+"; spf=pass (google.com: service@paypal.com のドメインは、許可された送信者として173.0.84.4を指定する) smtp.mailfrom=service@paypal.com; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=paypal.com Received: from mx15.slc.paypal.com (mx15.slc.paypal.com. [173.0.84.4]) by mx.google.com with ESMTPS id a92af1059eb24-11dcb045a3csi5930706c88.202.2025.11.28.09.14.49 for (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256); Fri, 28 Nov 2025 09:14:49 -0800 (PST)

PayPalのさまざまな課金機能をテストした結果、PayPalの「購読」機能を使用して購読者を一時停止することで、同じメールテンプレートを複製することができました。

PayPalのサブスクリプションは、指定された金額でサービスを購読するためのサブスクリプションチェックアウトオプションを作成できる課金機能です。

加盟店がサブスクリプションを一時停止すると、PayPalは自動的にサブスクライバーに電子メールを送信し、自動支払いがアクティブでなくなったことを通知します。

しかし、カスタマーサービスURLにURL以外のテキストを追加して詐欺を再現しようとしたところ、PayPalはURLのみが許可されているとして変更を拒否した。

したがって、詐欺師はPayPalの購読メタデータ処理の欠陥を悪用しているか、APIやすべての地域で利用できないレガシープラットフォームなど、カスタマーサービスURLフィールドに無効なテキストを保存できる方法を使用しているようです。

PayPalからのメールをどのように生成しているかはわかったが、PayPalの購読に登録していない人にどのように送信しているかはまだ不明である。

メールヘッダを見ると、PayPalは実際に「receipt3@bbcpaglomoonlight.studio」というアドレスにメールを送信していることがわかる。このアドレスは、詐欺師が作成した偽の契約者に関連するメールアドレスだと思われる。

このアカウントはおそらくGoogle Workspaceのメーリングリストであり、受信したメールは自動的に他のグループメンバー全員に転送される。この場合、メンバーは詐欺師がターゲットにしている人々である。

この転送は、メールが元の送信者ではないサーバーによって転送されたため、その後のすべてのSPFおよびDMARCチェックに失敗する可能性がある。

PayPalは現在、このような詐欺メールの送信に使用される方法を緩和していると伝えている。

「PayPalは詐欺行為を容認しておらず、常に進化し続けるフィッシング詐欺から顧客を守るために懸命に取り組んでいます。

「私たちは積極的にこの問題を軽減しており、常にオンラインで用心し、予期しないメッセージに注意するよう人々に勧めています。お客様が詐欺の標的になっていると思われる場合は、PayPalアプリまたはお問い合わせページからカスタマーサポートに直接ご連絡いただき、サポートを受けることをお勧めします。”

12/14/25更新:PayPalがこれらの電子メールを送信するために使用される方法を緩和していることを確認する更新文を追加しました。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


tines

Bitpanda、KnowBe4、PathAIのようなIAMサイロを破壊する

壊れたIAMはITだけの問題ではありません – その影響はビジネス全体に波及します。

この実用的なガイドでは、従来の IAM の慣行が現代の要求に追いつけない理由、「優れた」 IAM とはどのようなものかの例、拡張可能な戦略を構築するための簡単なチェックリストについて説明します。