今年も年明けから、猛威が止まらないフィッシング詐欺。私(耕平)の迷惑メール専用ボックスには、年末年始関係なく相変わらずあらゆるサービスの名前を騙(かた)る偽メールが、ひっきりなしに届いている。

そんな中、新たな手口のフィッシング詐欺が姿を表した。それはキャッシュレスサービスの筆頭「PayPay」を名乗るフィッシング詐欺だ。いったいどんな手口なのか? 潜入調査してみたので、防止策も含めてレポートしよう!

・毎日1通届く偽メール

はじめに話しておくと、この「PayPay」を名乗るフィッシング詐欺は、入口から出口までの全てが今までに無い手口だ。数々のフィッシング詐欺に潜入してきた私でも、全てが初めてお目にかかるような流れである。ということで、まずは入口の偽メールを見ていこう。

この偽メールの特徴としては、今でも猛威を振るっている「Amazonを騙(かた)るフィッシング詐欺」みたいな、1日に何通も送られてくる「爆撃系」のメールとは異なる。

どういうことかというと、1日に1通だけ件名に「2023年1月11日お支払い金額のお知らせ – PayPayカード」というような、日付が入った形で送られてくるのだ。

そしてメールアドレスに目を向けると、とてもPayPayのものとは思えない、デタラメなもの。

メールを開封すると、なぜか「このメールには本文がありません」と表示される。

その下の「履歴を表示」をクリックすると……

メール本文が表示された。

金額は40000円と表示されている。もちろん使った覚えが無いのだが、それでクリックさせるのが奴らの手口。ということで、「ご利用明細を確認する」のボタンをクリック。

すると、PayPayの支払い画面らしきサイトに移動した。そして金額はなぜか20000円に減額されている。

・フィッシングサイトが存在しない

まぁ、よくある偽サイトに誘導して個人情報を抜き取るパターンなのか? と思いきや……

本物のPayPayの支払い画面だった。

今まで私が潜入してきたフィッシング詐欺は、全て共通して「偽メール → 偽サイト」に誘導するパターン。その後、個人情報を抜き取ったり、架空の支払いを促したりといった手口だった。

ところが、この「PayPay」を名乗るフィッシング詐欺は「偽メール → 本物のPayPay支払い画面」というシンプルな流れ。このパターンは今まで無かった。本物のPayPayの支払い画面なので、残高を抜いて仮の支払いなどを試してみたが、そんな小細工は通用しない。

・いったい何が目的なのか?

この「PayPay」を名乗るフィッシング詐欺に表示された金額は、いったい何に対して支払うものなのか? ズバリ結論から言うと、某オンラインゲームの課金を装うものだ。偽メールからクリックして支払い画面に行くと、そのオンラインゲームの名前が表示される。

そして一定時間が経つと、支払いができなくなってしまった。

その画面のURLを見ると、「●●●●●.jp」と先ほどのPayPayの支払い画面以外のURLが表示されている。

そのURLを手がかりに調べてみると、このオンラインゲームを運営する会社のサイトにたどり着いた。

しかし、そのサイトのURLをよく見ると、同じURLっぽいがドメインが「●●●●●.co.jp」となっていた。

ということは、その運営会社を装った架空請求の可能性が高い。よって、このオンラインゲームを課金してプレイしているユーザーは騙されてしまう可能性があるので、注意が必要だ。

なお、ほかにも電子マネー「ビットキャッシュ」をPayPayの支払い画面から購入させる手口も発見されている。

・防止策は?

この「PayPay」を名乗るフィッシング詐欺は、個人情報を抜き取る偽サイトが存在せず、架空の支払いのみを要求してくるものだ。ただ偽メールからのアプローチは、他のフィッシング詐欺と変わらない。

そもそも冷静になって考えてみればわかるのだが、ご利用明細の確認メールなのに、リンク先のページに支払い用のQRコードがあること自体が不自然だ。

よって確実な防止策として……

「メールやSMSから、直接サイトにアクセスしないこと」

毎回言ってるが、結局これに尽きる。これを押さえておくだけで、被害に遭う確率は限りなくゼロに近くなるだろう。

そして、PayPayから注意喚起されている「フィッシングメールにご注意ください」も一読していただきたい。

──この記事が、被害拡大防止の一助になれば幸いである。

参考リンク:PayPay「フィッシングメールにご注意ください」
執筆:耕平 
Photo:RocketNews24.