kinyukeizai.com
kinyukeizai.com

PayPay送金詐欺を招く未払い催促メールの危険な手口と防衛策

by 伊藤 大輝
URLをコピーしました

未払い催促メールが狙うスマホ決済の盲点

「支払い期限が過ぎています」「差押え前の最終確認です」。こうした文面で利用者を焦らせ、PayPayの送金画面へ誘導するメールやSMSが確認されています。従来のフィッシングは偽サイトにIDやパスワードを入力させる手口が中心でしたが、足元で目立つのは、利用者自身に正規アプリ上で残高を送らせるタイプです。

この手口が厄介なのは、最後の操作が本物のPayPayアプリで完結する点です。送金画面そのものが偽物ではないため、URLや画面の見た目だけで判断すると見逃しやすくなります。PayPayは2026年3月時点で登録ユーザーが7,300万人、本人確認済みユーザーが4,000万人に達したと公表しています。生活インフラ化した決済アプリほど、攻撃者にとっても「誰でも使っている入口」になります。

本稿では、フィッシング対策協議会、PayPay公式、警察庁、消費者庁、国民生活センターなどの公開情報を基に、どのような未払い催促メールが届くのか、なぜ補償を受けにくいのか、利用者と事業者がどこを守るべきかを整理します。

正規送金URLを悪用する誘導の手口

件名で焦らせる未納通知

フィッシング対策協議会は2026年4月2日、クレジットカードの月額請求や通信料金の支払いを装い、PayPayアプリでの支払いへ誘導するフィッシングを公表しました。件名例には「サービス停止のお知らせ」「通信料金の引き落としに失敗しました」「ご請求金額のお支払いが未完了です」「3日以内にPayPayでお支払いください」といった表現が並びます。

5月には、住民税や国民年金を装う手口も相次いで注意喚起されました。住民税の例では「令和8年度 住民税(第1期)納付のご案内」といった件名が示され、国民年金の例では「国民年金保険料の未納に関する最終確認通知」「差押予告通知書」「期限内納付が確認できない場合の法的措置」など、行政手続きの重さを利用した文面が確認されています。

ここで使われる心理的な圧力は単純ですが強力です。支払い期限、サービス停止、差押え、法的措置という語は、受信者に「今すぐ処理しなければ不利益を受ける」と思わせます。スマホ上では送信元やリンク先の表示領域も限られるため、細部を確認する前にタップしてしまう人が出やすい構造です。

PayPay公式も、クレジットカード請求、通信料金、税金などの未払い・未納を装い、PayPayアプリで残高を送らせようとする手口を確認していると注意喚起しています。重要なのは、企業や団体への支払いにPayPayの「送る・受け取る」機能は利用されていないという点です。つまり、請求元が法人や行政機関を名乗っているのに、個人間送金の画面へ進むなら、その時点で疑うべきです。

画面の安心感を逆手に取る設計

この詐欺の新しさは、攻撃者が偽の決済画面だけに頼らない点にあります。フィッシング対策協議会の住民税・国民年金の注意喚起では、誘導先としてPayPayの正規の送金URLである qr.paypay.ne.jp の形式が示されています。別ドメインのURLから、最終的に正規の送金URLへ誘導されるケースも確認されています。

利用者から見ると、ブラウザやアプリにPayPayらしい画面が出てくるため、「本物なら大丈夫」と判断しがちです。しかし正規システムが開いたことと、請求が正当であることは別問題です。送金先が犯罪者側のアカウントであれば、操作そのものは正規でも結果は詐欺被害になります。

PayPayは2023年、送金詐欺を防ぐため、受け取り手の取引履歴などに基づく警告メッセージ表示機能を導入しました。同社は当時、モバイル決済サービスの個人間送金においてPayPayが92%を占めると説明しています。規模が大きいサービスほど、警告表示や不正検知の価値は高まりますが、警告が出ない取引まで安全だと断定できるわけではありません。

フィッシング対策協議会は、こうしたメールからPayPayの支払い画面へ誘導された場合は支払いを行わないよう呼びかけています。さらに、支払った金額はPayPayから補償されないと明記しています。PayPay公式も、ユーザー自身で送ったPayPay残高は補償制度の対象外だと説明しています。第三者にアカウントを乗っ取られた不正利用とは、扱いが異なる点を押さえる必要があります。

返金詐欺とQRコード悪用の共通構造

返金を装う二重被害

未払い催促メールと並んで警戒すべきなのが、「返金します」と言ってコード決済アプリを操作させる手口です。国民生活センターは2024年7月、ネット通販で商品が届かない、または欠品になったと説明され、返金手続きのつもりでコード決済アプリを操作した結果、逆に送金してしまう相談が寄せられていると公表しました。

同センターの資料では、2023年4月の相談件数は21件でしたが、2024年4月には444件に増えています。事例には、返金コードと説明された数字を入力し、9万9,980円を送金してしまった10歳代男性のケースがあります。別の事例では、限度額を25万円まで上げるよう促され、約20万円を支払ってしまった40歳代女性のケースも示されています。

さらに、2日間で合計約100万円分を他人の電子マネーにチャージしてしまった事例もあります。ここで重要なのは、被害者が「支払っている」という認識を持たないまま操作している点です。攻撃者はアプリの画面構成や入力欄の意味を熟知し、「確認コード」「注文コード」「返金コード」などの言い換えで送金操作を隠します。

消費者庁も2025年2月、通販サイトの返金手続きを装い、PayPayなどのコード決済サービスで返金ではなく送金させる事業者について注意喚起しました。消費者庁は、悪意ある事業者は消費者以上にコード決済サービスの利用方法を熟知していると指摘しています。画面共有を許可したり、よく分からない指示に従って操作したりすることは、スマホ操作を他人に委ねるのと同じです。

この構造は、未払い催促メールにも通じます。攻撃者は決済アプリを壊すのではなく、利用者の判断を壊します。本人の端末、本人のアプリ、本人の操作で送金させるため、技術的には正常な取引として記録されます。ここが、後から取り戻すことを難しくします。

QRコードが隠す遷移先

PayPayを含むコード決済は、QRコードやURLで支払い・送金の入口を簡単に共有できます。この利便性は、小規模店舗、個人間の精算、オンライン取引で大きな価値を持ちます。一方で、QRコードは読み取るまで中身が見えにくく、攻撃者にとっても悪用しやすい媒体です。

米連邦取引委員会は、駐車メーターなどに偽のQRコードを貼り付けたり、メールやSMSでQRコードを送り付けたりして、個人情報を盗む詐欺に注意を促しています。海外事例ではありますが、構造は日本のスマホ決済にも当てはまります。QRコードはリンクを画像に包んでいるため、通常のテキストURLよりも違和感に気づきにくいのです。

国民生活センターの返金詐欺事例でも、相手から送られたQRコードを読み取る場面が出てきます。メール本文のリンクなら、ドメインの不自然さを確認できる可能性があります。しかしQRコードでは、カメラやアプリが一瞬だけ表示するURLプレビューを見落としやすくなります。急がされている状況では、確認行動そのものが省略されがちです。

警察庁はフィッシング対策として、電子メールやSMSに記載されたリンクは偽装可能で、見た目だけで真偽を判断することは非常に困難だと説明しています。公式サイトをブックマークする、公式アプリから直接確認する、メール内リンクを安易にクリックしないという基本対策は、QRコードにも同じように当てはまります。

産業面で見ると、コード決済のUXは「少ないタップで完了する」方向に進化してきました。これは普及には不可欠でしたが、詐欺対策では一時停止の設計が重要になります。決済基盤の競争は、還元率や加盟店数だけでなく、送金前に利用者へどれだけ理解可能な警告を出せるかにも移っています。

防止策が効きにくい場面と事業者課題

フィッシング対策協議会の2026年3月月次報告では、同月のフィッシング報告件数が122,381件、前月比114.3%増となりました。フィッシングサイトURL件数も69,936件に増え、悪用ブランドは123件でした。報告では、SMSから誘導されるスミッシングについて、Amazon、東京電力、PayPayを装った文面の報告が多いとされています。

同報告は、正規サービスの悪用やクラウドサービス経由の送信増加にも触れています。つまり、利用者が「怪しい日本語」「変なURL」だけで見分けられる時代ではありません。本物メールの文面を模倣し、送信ドメイン認証に対応したメールを使うなど、攻撃側の品質も上がっています。

事業者側には、DMARCやBIMIなどによって正規メールを識別しやすくする対応が求められます。ただし、メールの認証が強化されても、最終的に正規の送金URLが悪用される問題は残ります。決済アプリ側では、送金先の危険度、初回送金、短時間の高額送金、外部URLからの遷移といった条件を組み合わせ、利用者に理解できる言葉で止める設計が重要になります。

利用者側も、警告画面を「邪魔な確認」と受け止めないことが必要です。PayPayは、支払い、友だちに送る、チャージについて、利用者自身で1日・1カ月の利用可能額を設定できる機能を用意しています。限度額に達した場合に取引を一時保留にする選択もできます。高額送金を普段使わない人ほど、低めの上限を設定しておくことが現実的な防波堤になります。

読者が今日から確認すべき防衛策

未払い催促メールへの対策は、文面を見破ることではなく、支払い経路を固定することです。税金、年金、通信料金、カード請求の確認は、メール内リンクではなく公式サイトや公式アプリから行います。請求元が法人や行政機関なのに、PayPayの「送る・受け取る」機能へ誘導されたら送金しない、という判断基準を持つだけで多くの被害を避けられます。

次に、PayPayアプリの利用可能額を確認します。支払い、友だちに送る、チャージの上限を、自分の生活実態に合わせて下げておけば、焦って操作しても被害額を抑えられます。普段から送金を使わない人は、「友だちに送る」の上限を特に厳しく設定する価値があります。

すでに送金してしまった場合は、相手に追加連絡せず、PayPayアプリから詐欺疑いの取引を報告し、消費者ホットライン188や警察相談専用電話#9110に相談します。メールやSMSは削除前にスクリーンショットを残し、URL、送信元、送金日時、金額を整理します。キャッシュレス決済は便利な社会基盤ですが、便利な入口ほど狙われます。支払い前に一度アプリを閉じ、公式経路で確認する習慣が最も強い防衛策です。

参考資料:

伊藤 大輝

テクノロジー・産業動向

製造業のDX・新素材開発からモビリティの未来まで、技術革新がもたらす産業構造の変化を現場視点で伝える。

関連記事

PayPay送金詐欺、支払い期限メールに潜む最新手口と防衛策

PayPayを使った未払い・公金未納を装う送金詐欺が、正規アプリの送る機能を悪用して広がっています。フィッシング対策協議会の2026年4月報告やPayPay公式の注意喚起を基に、届く文面、補償対象外になりやすい理由、7300万人規模の決済基盤に必要な企業と利用者の確認手順、安全に使う実践策まで具体的に解説。

PayPay米上場で見える国内覇権後の成長戦略と米国進出の難所

PayPayの米上場は資金調達の話にとどまらず、国内覇権後の成長戦略を映す。日本のコード決済で約3分の2シェアを築いた後、利用者拡大の次に何を伸ばすのかを整理し、Visa提携を伴う米国進出の勝ち筋と難所を分析。国内で勝った事業モデルが海外で通用する条件まで検証する。投資家視点の論点も押さえる。今後を占う。

Booking.com予約詐欺、二段階フィッシング信頼悪用の罠

Booking.com利用者を狙う詐欺は、実在する予約名や宿泊日を示す二段階フィッシングへ進化しています。Nortonが確認した350施設・50カ国規模の事例、2026年の予約情報流出報道、偽決済ページやAI文面の構造を基に、旅行者と宿泊事業者が取るべき確認策、カード停止判断までを実務目線で詳しく解説。

ワールドカップ詐欺急増で観戦者と企業が同時に狙われる深層と対策

2026年ワールドカップでは偽チケット、無料配信、QRコード、偽FIFAサイトが観戦者を狙い、企業の従業員端末や取引先にも波及しています。大会関連ドメイン急増やFBIの損失統計、旅行・配信を装う手口を踏まえ、個人の観戦行動がなぜ職場の情報漏えいに直結するのか、企業と家庭の備えを具体例とともに詳しく解説。

PayPayカード急拡大の背景 収益構造と競合各社の警戒感の正体

PayPayカードが1600万枚規模へ急拡大した背景には、無料カード単体では見えにくい収益設計がある。PayPayアプリ、加盟店手数料、金融収益、ポイント、データ活用がどう連動するのかを整理し、競合各社が警戒する理由と収益構造の強さを分析。年会費無料競争の先で何が差になるのかまで見通す。寡占化の気配も見える。

最新ニュース

ベルリン新空港遅延が映すドイツ病と公共投資停滞の構造的な深層

ベルリン・ブランデンブルク空港は開港が9年遅れ、建設費も65億ユーロ規模へ膨張した。失敗の核心は技術力不足ではなく、設計変更、監督不全、官民の責任分散、公共投資の先送りにある。鉄道遅延、自治体の2310億ユーロ規模の投資不足、低成長に広がるドイツ病の構造を、国際経済の視点で読み解く。技術大国の実行力が鈍った理由を探る。

世界市場で中国車EV攻勢にトヨタが現地化加速で挑む勝算の行方

トヨタは2025年に世界販売1132万台で首位を守る一方、中国勢はEV・PHV輸出と現地生産を急拡大。BYDの海外150万台目標、EU関税、中国の輸出許可制、電池供給網、地域別の需要差を手がかりに、ハイブリッドの強みと中国発スマート化の取り込み、欧米・東南アジアで勝敗を左右する現地化力と収益性を解説。

すし銚子丸の職人育成が高単価回転寿司をいま利益成長に導く理由

すし銚子丸は93店舗、年商236億円規模へ拡大しながら、店内仕込みと職人接客を維持している。15日で握りを学ぶ教育、約3000人が使うeラーニング、価格改定を支える付加価値、フルオーダー化による廃棄抑制を基に、首都圏集中の店舗網と低価格競争から距離を置く高単価寿司チェーンの利益構造と人材戦略を読み解く。

緊急避妊薬の薬局販売で見落とせない子どもの性暴力支援網の課題

2026年2月に緊急避妊薬の薬局販売が始まり、受診の壁は下がりました。一方で16歳未満の問い合わせ、面前服用の拒否、性暴力被害の把握、産婦人科・ワンストップ支援センターとの連携には課題が残ります。試行販売6813件のデータを手がかりに、薬剤師の役割とアクセス向上、子どもの安全を両立する条件を丁寧に解説。

東大合格でも私大不合格が起きる入試構造と併願戦略の深い落とし穴

私学事業団の2025年度データでは私大志願者は395万6823人、合格率は38.77%。東大合格者でも別の有名私大や女子大で不合格になり得ます。共通テスト利用、全学部日程、英語外部試験、定員充足率の変化から、偏差値順では読めない合格線の揺れと、家庭が直前に見直すべき併願戦略や出願前の確認リストまで解説。