未払い催促メールが狙うスマホ決済の盲点

「支払い期限が過ぎています」「差押え前の最終確認です」。こうした文面で利用者を焦らせ、PayPayの送金画面へ誘導するメールやSMSが確認されています。従来のフィッシングは偽サイトにIDやパスワードを入力させる手口が中心でしたが、足元で目立つのは、利用者自身に正規アプリ上で残高を送らせるタイプです。

この手口が厄介なのは、最後の操作が本物のPayPayアプリで完結する点です。送金画面そのものが偽物ではないため、URLや画面の見た目だけで判断すると見逃しやすくなります。PayPayは2026年3月時点で登録ユーザーが7,300万人、本人確認済みユーザーが4,000万人に達したと公表しています。生活インフラ化した決済アプリほど、攻撃者にとっても「誰でも使っている入口」になります。

本稿では、フィッシング対策協議会、PayPay公式、警察庁、消費者庁、国民生活センターなどの公開情報を基に、どのような未払い催促メールが届くのか、なぜ補償を受けにくいのか、利用者と事業者がどこを守るべきかを整理します。

正規送金URLを悪用する誘導の手口

件名で焦らせる未納通知

フィッシング対策協議会は2026年4月2日、クレジットカードの月額請求や通信料金の支払いを装い、PayPayアプリでの支払いへ誘導するフィッシングを公表しました。件名例には「サービス停止のお知らせ」「通信料金の引き落としに失敗しました」「ご請求金額のお支払いが未完了です」「3日以内にPayPayでお支払いください」といった表現が並びます。

5月には、住民税や国民年金を装う手口も相次いで注意喚起されました。住民税の例では「令和8年度 住民税（第1期）納付のご案内」といった件名が示され、国民年金の例では「国民年金保険料の未納に関する最終確認通知」「差押予告通知書」「期限内納付が確認できない場合の法的措置」など、行政手続きの重さを利用した文面が確認されています。

ここで使われる心理的な圧力は単純ですが強力です。支払い期限、サービス停止、差押え、法的措置という語は、受信者に「今すぐ処理しなければ不利益を受ける」と思わせます。スマホ上では送信元やリンク先の表示領域も限られるため、細部を確認する前にタップしてしまう人が出やすい構造です。

PayPay公式も、クレジットカード請求、通信料金、税金などの未払い・未納を装い、PayPayアプリで残高を送らせようとする手口を確認していると注意喚起しています。重要なのは、企業や団体への支払いにPayPayの「送る・受け取る」機能は利用されていないという点です。つまり、請求元が法人や行政機関を名乗っているのに、個人間送金の画面へ進むなら、その時点で疑うべきです。

画面の安心感を逆手に取る設計

この詐欺の新しさは、攻撃者が偽の決済画面だけに頼らない点にあります。フィッシング対策協議会の住民税・国民年金の注意喚起では、誘導先としてPayPayの正規の送金URLである qr.paypay.ne.jp の形式が示されています。別ドメインのURLから、最終的に正規の送金URLへ誘導されるケースも確認されています。

利用者から見ると、ブラウザやアプリにPayPayらしい画面が出てくるため、「本物なら大丈夫」と判断しがちです。しかし正規システムが開いたことと、請求が正当であることは別問題です。送金先が犯罪者側のアカウントであれば、操作そのものは正規でも結果は詐欺被害になります。

PayPayは2023年、送金詐欺を防ぐため、受け取り手の取引履歴などに基づく警告メッセージ表示機能を導入しました。同社は当時、モバイル決済サービスの個人間送金においてPayPayが92%を占めると説明しています。規模が大きいサービスほど、警告表示や不正検知の価値は高まりますが、警告が出ない取引まで安全だと断定できるわけではありません。

フィッシング対策協議会は、こうしたメールからPayPayの支払い画面へ誘導された場合は支払いを行わないよう呼びかけています。さらに、支払った金額はPayPayから補償されないと明記しています。PayPay公式も、ユーザー自身で送ったPayPay残高は補償制度の対象外だと説明しています。第三者にアカウントを乗っ取られた不正利用とは、扱いが異なる点を押さえる必要があります。

返金詐欺とQRコード悪用の共通構造

返金を装う二重被害

未払い催促メールと並んで警戒すべきなのが、「返金します」と言ってコード決済アプリを操作させる手口です。国民生活センターは2024年7月、ネット通販で商品が届かない、または欠品になったと説明され、返金手続きのつもりでコード決済アプリを操作した結果、逆に送金してしまう相談が寄せられていると公表しました。

同センターの資料では、2023年4月の相談件数は21件でしたが、2024年4月には444件に増えています。事例には、返金コードと説明された数字を入力し、9万9,980円を送金してしまった10歳代男性のケースがあります。別の事例では、限度額を25万円まで上げるよう促され、約20万円を支払ってしまった40歳代女性のケースも示されています。

さらに、2日間で合計約100万円分を他人の電子マネーにチャージしてしまった事例もあります。ここで重要なのは、被害者が「支払っている」という認識を持たないまま操作している点です。攻撃者はアプリの画面構成や入力欄の意味を熟知し、「確認コード」「注文コード」「返金コード」などの言い換えで送金操作を隠します。

消費者庁も2025年2月、通販サイトの返金手続きを装い、PayPayなどのコード決済サービスで返金ではなく送金させる事業者について注意喚起しました。消費者庁は、悪意ある事業者は消費者以上にコード決済サービスの利用方法を熟知していると指摘しています。画面共有を許可したり、よく分からない指示に従って操作したりすることは、スマホ操作を他人に委ねるのと同じです。

この構造は、未払い催促メールにも通じます。攻撃者は決済アプリを壊すのではなく、利用者の判断を壊します。本人の端末、本人のアプリ、本人の操作で送金させるため、技術的には正常な取引として記録されます。ここが、後から取り戻すことを難しくします。

QRコードが隠す遷移先

PayPayを含むコード決済は、QRコードやURLで支払い・送金の入口を簡単に共有できます。この利便性は、小規模店舗、個人間の精算、オンライン取引で大きな価値を持ちます。一方で、QRコードは読み取るまで中身が見えにくく、攻撃者にとっても悪用しやすい媒体です。

米連邦取引委員会は、駐車メーターなどに偽のQRコードを貼り付けたり、メールやSMSでQRコードを送り付けたりして、個人情報を盗む詐欺に注意を促しています。海外事例ではありますが、構造は日本のスマホ決済にも当てはまります。QRコードはリンクを画像に包んでいるため、通常のテキストURLよりも違和感に気づきにくいのです。

国民生活センターの返金詐欺事例でも、相手から送られたQRコードを読み取る場面が出てきます。メール本文のリンクなら、ドメインの不自然さを確認できる可能性があります。しかしQRコードでは、カメラやアプリが一瞬だけ表示するURLプレビューを見落としやすくなります。急がされている状況では、確認行動そのものが省略されがちです。

警察庁はフィッシング対策として、電子メールやSMSに記載されたリンクは偽装可能で、見た目だけで真偽を判断することは非常に困難だと説明しています。公式サイトをブックマークする、公式アプリから直接確認する、メール内リンクを安易にクリックしないという基本対策は、QRコードにも同じように当てはまります。

産業面で見ると、コード決済のUXは「少ないタップで完了する」方向に進化してきました。これは普及には不可欠でしたが、詐欺対策では一時停止の設計が重要になります。決済基盤の競争は、還元率や加盟店数だけでなく、送金前に利用者へどれだけ理解可能な警告を出せるかにも移っています。

防止策が効きにくい場面と事業者課題

フィッシング対策協議会の2026年3月月次報告では、同月のフィッシング報告件数が122,381件、前月比114.3%増となりました。フィッシングサイトURL件数も69,936件に増え、悪用ブランドは123件でした。報告では、SMSから誘導されるスミッシングについて、Amazon、東京電力、PayPayを装った文面の報告が多いとされています。

同報告は、正規サービスの悪用やクラウドサービス経由の送信増加にも触れています。つまり、利用者が「怪しい日本語」「変なURL」だけで見分けられる時代ではありません。本物メールの文面を模倣し、送信ドメイン認証に対応したメールを使うなど、攻撃側の品質も上がっています。

事業者側には、DMARCやBIMIなどによって正規メールを識別しやすくする対応が求められます。ただし、メールの認証が強化されても、最終的に正規の送金URLが悪用される問題は残ります。決済アプリ側では、送金先の危険度、初回送金、短時間の高額送金、外部URLからの遷移といった条件を組み合わせ、利用者に理解できる言葉で止める設計が重要になります。

利用者側も、警告画面を「邪魔な確認」と受け止めないことが必要です。PayPayは、支払い、友だちに送る、チャージについて、利用者自身で1日・1カ月の利用可能額を設定できる機能を用意しています。限度額に達した場合に取引を一時保留にする選択もできます。高額送金を普段使わない人ほど、低めの上限を設定しておくことが現実的な防波堤になります。

読者が今日から確認すべき防衛策

未払い催促メールへの対策は、文面を見破ることではなく、支払い経路を固定することです。税金、年金、通信料金、カード請求の確認は、メール内リンクではなく公式サイトや公式アプリから行います。請求元が法人や行政機関なのに、PayPayの「送る・受け取る」機能へ誘導されたら送金しない、という判断基準を持つだけで多くの被害を避けられます。

次に、PayPayアプリの利用可能額を確認します。支払い、友だちに送る、チャージの上限を、自分の生活実態に合わせて下げておけば、焦って操作しても被害額を抑えられます。普段から送金を使わない人は、「友だちに送る」の上限を特に厳しく設定する価値があります。

すでに送金してしまった場合は、相手に追加連絡せず、PayPayアプリから詐欺疑いの取引を報告し、消費者ホットライン188や警察相談専用電話#9110に相談します。メールやSMSは削除前にスクリーンショットを残し、URL、送信元、送金日時、金額を整理します。キャッシュレス決済は便利な社会基盤ですが、便利な入口ほど狙われます。支払い前に一度アプリを閉じ、公式経路で確認する習慣が最も強い防衛策です。

参考資料:

• 各種サービスの未払いや公金の未納を騙るフィッシングメール・SMSにご注意ください - PayPayからのお知らせ
• PayPayをかたるフィッシングメールについて - PayPay ヘルプ
• PayPayの安全への取り組み - PayPay
• 自分で登録する利用可能額の設定方法 - PayPay ヘルプ
• 「PayPay」の本人確認（eKYC）済みユーザーが4,000万を突破！ - PayPay株式会社
• Warning Message to Prevent Remittance Fraud - PayPay Corporation
• PayPayアプリでの支払いへ誘導するフィッシング - フィッシング対策協議会
• 住民税の納付依頼をよそおうフィッシング - フィッシング対策協議会
• 国民年金の納付依頼をよそおうフィッシング - フィッシング対策協議会
• 2026/03 フィッシング報告状況 - フィッシング対策協議会
• 通信販売サイトの返金手続を装い、コード決済サービスを利用して送金させる事業者に関する注意喚起 - 消費者庁
• 引き続き返金詐欺に注意！「○○ペイで返金します」と言われたら詐欺を疑って！ - 国民生活センター
• フィッシング対策 - 警察庁
• Scammers hide harmful links in QR codes to steal your information - FTC