PayPayをかたる精巧なフィッシングメールのすべて~クリックするとこうなる!

とうとう出現!PayPayをよそおうフィッシング詐欺メール
近年有名ブランドをかたる詐欺・フィッシングメールは激増中です。有名ブランドが次々に悪用されましたが、PayPay(ペイペイ)の詐欺メールも出現しています。
しかもPayPayフィッシングメールは巧妙で、ひと目見ただけでは見分けることが難しいほどです。
実際に届いたPayPayのフィッシングメール元に、見破るポイントやリスク、対策、また「うっかりクリックした」「ログインしてしまった」時の対応方法をやさしくご説明します。
/ins>

有名ブランドをよそおうフィッシングメールや、不正なショートメールが激増中!

2021年5月のフィッシング対策協議会の発表によると、2021年4月のフィッシング報告件数は、前月より884件増え(+102%)44,307 件と高止まりしています。
対策が功を奏して2月に減少しましたが、また増加に転じてしまいました。

フィッシングメールのブランド別の件数では、「Amazon、楽天、三菱 UFJ ニコス、三井住友カード、JCB」の順で全体の81.2%を占め、うち半数がAmazonからです。

多くの方がお使いのGmailやOutlookのようなメールサービスや、ご加入のプロバイダーのメールセキュリティサービスの防御効果により、フィッシングメールの大部分は「迷惑メール」として除去されているはずです。

しかしフィッシングメールの偽装が巧妙化すると、防御をすり抜けてお手元に届く危険性も高まり、十分な注意が必要です

2021 年5月にフィッシング対策協議会に寄せられたフィッシング報告件数■引用:フィッシング対策協議会「2021/05フィッシング報告状況」より

 

Amazonのフィシングメールはあまりに多く、被害が知られるにつれて、だまされる人も少なくなり、新たな詐欺手法としてPayPayのフィッシングメールが広まりつつあると思われます。

当ブログ関連記事

フィッシング詐欺のメールや詐欺SMS(ショートメッセージ)は、コロナの混乱狙いで激増しています。特にヤマトや佐川急便、郵便局の宅配便の不在通知、「佐川急便よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました。」などの詐欺SMSはうっ[…]

フィッシングSMSのイメージ

PayPayフィッシングメールの目的は個人情報の不正取得

目的は個人情報の不正取得

PayPayのフィッシングメールや不正ショートメールの一般的な目的は、

ユーザーを信じ込ませてメール本文中のurlをクリックさせ、偽造された詐欺サイトに誘導し、個人情報入力させて盗み取る。

ことにあります。

PayPayのフィッシングメールも過去のAmazonのフィッシングメールと同様、

  1. 「アカウントの詳細確認」「サインインの本人確認」「セキュリティ警告」などの名目でメール文のURLをクリックさせ、精巧なPayPay偽造サイトに誘導。
  2. ユーザー自らに「IDの携帯電話番号とパスワードでログイン」を入力させて盗取する。
  3. またはウイルスをダウンロードさせて感染させる。

といった手口であり、現在まで確認されているメールの内容は、PayPayによると

  • クレジットカード情報や個人情報を入力させようとするメール
  • 請求書の開封を求めるウイルスメール
  • 「アカウントを更新する」と情報を入力させようとするメール
  • 「アカウント情報が欠落している」と情報を更新させようとするメール
  • 「異なる端末からアクセスされている」とログインの設定をさせようとするメール
  • 「ご利用のお知らせ」とお支払い状況を通知するメール

出典:PayPayヘルプ

です。

フィッシング詐欺犯は人の心理を巧みにあやつる

人は誰でも「不安を感じても、自分にだけは悪いことは起きないだろうと楽観的に考えてしまい(楽観バイアス)、すぐに何らかの利益や成果を得ようとする」心理上の弱点を持っています。

この心理状態を双曲割引(そうきょくわりびき)といいます。

フィッシング詐欺犯は「急がせる」「脅す」「不安にさせる」「喜ばす」と、様々なテクニックを使って、この双曲割引の心理を悪用しているのです。

 

PayPayを装うフィッシングメール

PayPayを狙ったフィッシングメールはレベルが高い

Amazonや楽天の詐欺メールは変な日本語ですぐに見分けがついたが、、、、

フィッシングメールは、海外から送付されることがほとんどです

犯人は「フィッシングメールの作成キット」をブラックマーケット(ダークウェブ)で購入し、カスタマイズして犯行に及びます。
しかし海外製のため、文面は外国語で書かれており、日本向けに翻訳作業が必要でした。

恐らく当初は機械翻訳などで翻訳していたため、不自然な日本語が目立ち、すぐに「怪しいメールだ!」と見分けることができました

後発のPayPayフィッシングメールはいきなり完成度が高く危険

ところがフィッシングメールとしては後発のPayPayフィッシングメールでは、犯人達は十分に経験を積んでいるため、下手な日本語などは見当たらず、以下のようにレイアウトも文面も不審な点がなく精巧なフィッシングメールが送られています。

PayPayをよそおうフィシングメール

件名:アカウントの詳細を更新してください。

お客様各位,
最近行われましたプライバシーポリシーの改定に伴いまして、お客様の PayPay アカウント情報のご確認をお願い致したく、よろしくお願い申し上げます。
ご確認のお手続きは、一回限りで、数分で終了致します。お客様によるご確認行為は必須となっており、お客様のアカウント情報のご確認が行われなかった場合は、アカウントが停止される可能性がございます。
この確認は義務付けられており、確認していただけない場合は、アカウントが停止される場合もあります。

続けるにはこちらをクリック

お客様のセキュリティは弊社にとって非常に重要なものでございます。ご理解の程、よろしくお願い申し上げます。
敬具,
Paypay.ne.jp

 

 

もしもPayPayのフィッシングメールをクリックしたらどうなる?

本物のようなPayPayログインサイトに誘導される

PayPayからのフィッシングメールの文中のURLやボタンをクリックすると、精巧に作られた以下のような詐欺サイトに誘導されます。

見た目はPayPayサイトですが、本物のPayPayのログイン画面とは大きく異なる架空の偽装サイトです。
しかも、サイトのURLは「https://srlegua.com/xw/data/.pay/customer_center/user-○○○/login.php」というPayPayとは無関係なものです。

それにもかかわらず、うっかり個人情報を入力してしまうと、犯人にアカウントを乗っ取られますので、十分に気をつけましょう。

PayPayを偽装するフィッシングサイト

他にも類似の詐欺サイトがいろいろと確認されています。

詳しくは下のフィッシング対策協議会様のサイトをご覧ください。

PayPay詐欺メールをクリックしたり、ログインしてしまった時は?

クリックしただけなら心配ない

クリックすると、上記のように偽のPayPayページが開き、「ログイン」を求められます。

このページを開いたとしても、そこから「自分で情報を記入する」など、だまされて行動しない限り心配はありません

また、今のスマホやパソコンは、

  • 信頼できるセキュリティソフトを導入しておく。
  • OSやアプリ、サフトは常に最新版に更新しておく。 

という基本的なことを守っていれば、サイトを開いただけで不正プログラムに感染するという事はありません。

「ログインしてしまった」「情報を入力してしまった」時は?

SMSで認証コードが届く前に至急パスワードを変更する

PayPayには、ユーザーが別の端末からログインする際などには、SMSで認証する機能がついています。

このような「数字とアルファベットを組み合わせた」認証コードのSMSが届いていないうちは、まだ犯人に使われていないはずなので、至急パスワードを変更してください。

PayPayから届くSMS認証

 

偽サイトに「認証コードも入れてしまった」ときは?

SMSで送られて来た「数字とアルファベットを組み合わせた」認証コードも入力してしまうと、既にアカウントが乗っ取られた可能性が高いです。

大至急、以下のPayPayお客様サポート窓口まで至急連絡し、アカウントの凍結を依頼しましょう

■PayPayカスタマーサポート窓口
電話番号:0120-990-634
窓口時間:24時間受付 / 土日祝日を含む365日

他のアカウントへの被害を防ぐ

PayPay自体を悪用される可能性は低いです。それより危険なのは、「同じパスワードを、他のサービスで使い回していて乗っ取られるリスク」です。

パスワードを使い回していた場合は「すべてのパスワードを独自のものに変更」してください。

特に「PayPayと同じ携帯電話番号とパスワードの組み合わせ」を使っていたものは非常に危険です。

ブログ内の関連記事(新しいウィンドウで開きます)

「とても覚えられない!」と誰もがやってしまう「同じパスワードの使い回し」。「パスワードの使い回し」は、事件事故と被害に直結する最悪の行為ですが最新の調査では「パスワードを使い回している人の割合は8割」という衝撃的な結果も出ました。ど[…]

クリックして何かのソフトやツールをダウンロードし入れてしまった時は?

少しでも不安を感じたら、大至急パソコンやスマホをセキュリティーソフトで検査しましょう!

「マルウェアや不正ソフト/アプリをインストールしたかも?と思ったら」すぐ検査

Androidスマホやパソコンを使っていて、少しでも不審を感じたときは「信頼できるセキュリティ対策ソフトでパソコンやスマホをスキャンし駆除」が、個人ができる最善の対処方法です。

まだ入れていない方は無料で使える大手の有名セキュリティソフトを使いましょう。

~Windowsパソコンのスキャンと駆除~

マイクロソフトが無料で配布しているMicrosoft Safety Scanner を強くおすすめします。
信頼性が高く強力で、ダウンロードしてすぐに使用できます。
詳しくは以下の記事をご覧下さい。

ブログ内の関連記事(新しいウィンドウで開きます)

マイクロソフトが無料で配布しているMicrosoft Safety Scannerはマルウェア(ウイルス)を徹底的に検索し削除してくれる強力かつ信頼できるスキャンツールです。検出率や性能は高く評価できますが、一般的なセキュリティ対策ソフ[…]

無料で高性能!信頼できるウイルス対策ソフトMicrosoft Safety Scannerとは?便利な使い方から性能、注意点まで

~AndroidスマホやMACにも使える無料のセキュリティ対策ソフトは?~

※どの製品も大手の定評あるセキュリティ会社の製品です。30日程度、製品版と同等に無料試用ができます。不正なアプリやマルウェアがないかスキャンして調査、発見された場合は駆除してください。
※iPhoneやiPadなどiOSの機器は安全でセキュリティソフトは不要とされ、存在していません。
※セキュリティ対策ソフトは無料試用後も引き続きお使いになるよう強くお薦めします

また念のためスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう

PayPayの詐欺フィッシングメールを避けるにはどうしたら良いか?

メール本文のURLやボタンはクリックしない

PayPayの詐欺フィッシングメールは精巧で見分けがつきません。

こうなると、「安全のため、原則としてPayPayからのメールの本文中のクリックはしない」また開いた画面から「ログインしない」しかありません。

内容に不審点があれば、PayPayのサイトを訪れて、手続きしましょう。

 

ブログ内の関連記事(新しいウィンドウで開きます)

URLの「httpのsの有無」にはセキュリティ上大きな違いがあります。しかし「sがついているから、鍵マークがあるから安心」は今では古い知識で危険です。どうして「httpsは安心できないのか?」URLのhttpとhttpsの違いのからSS[…]

httpとhttpsの違いを理解しよう

オンラインでURLやファイルをスキャンしてくれるサービスもあります

届いたメールの不審なURLや添付ファイルをスキャンしてくれるオンラインサービスがあります。

おすすめはGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。

使い方は以下の当社ブログ記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]

 

まとめ:
PayPayからのメールには十分に注意しよう

PayPayのフィッシングメールはこれからも増え続けるはずです。

しかしPayPayは高度なセキュリティ機能を持っているため、不正使用されるリスクは少ないですが、ユーザーがうっかりしたり、使い回していたパスワードが悪用されるリスクはあります。

これからもPayPayのメールには十分に注意を払い続けましょう。

 

あわせてご覧ください!「Amazonのフィッシングメール」は?

ブログ内の関連記事(新しいウィンドウで開きます)

近年有名ブランドをかたる詐欺・フィッシングメールは激増中ですが、中でもAmazon をかたるフィッシングメールが被害の大部分を占めています。またAmazonをよそおう不正なショートメール(SMS)も増えています。しかもフィッシングの手口[…]

Amazonをかたるフィッシング詐欺メールのイメージ

「楽天のフィッシングメール」は?

ブログ内の関連記事(新しいウィンドウで開きます)

激増中の有名ブランドをかたる詐欺・フィッシングメールの中で、楽天をかたるフィッシングメールはAmazon、LINEについで第3位の多さとなっています。楽天の詐欺ショートメッセージも増えてきました。実際に届いた楽天や楽天カードからのフィッ[…]

楽天のイメージ

性的な行為をネタに脅してくる詐欺「セクストーション」とは?

ブログ内の関連記事(新しいウィンドウで開きます)

「人の弱みにつけ込む」は詐欺の常套手段ですが、オンラインでも多発しています。これらの詐欺は、架空の脅しだと知っていれば無視するだけですが、初心者や年配者のデジタル弱者が「恥ずかしい姿をばらまくぞ」を信じてカモになってしまう例が多[…]

セクストーション詐欺のイメージ

PayPayを使っているシニアの方にも共有しましょう

ブログ内の関連記事(新しいウィンドウで開きます)

家にこもってスマホやパソコンを使う時間が増えましたが、その「隙を狙おうとするネット詐欺」も激増しています。特にネットに不慣れなシニア、高齢者の皆さんは大きなリスクにさらされます。シニア・高齢者の皆様が直面しがちな、いろいろな[…]

ネット犯罪に巻き込まれて驚くsenior・中高年のイメージ

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ専門ソフトは必要です

現在のデジタル機器はセキュリティが強化され、昔のようにウイルスには簡単に感染させることができなくなりました。

そこで攻撃方法はユーザーをだます「フィッシング」によって、不正プログラムを感染させたり、偽サイトで個人情報を盗み取る手法に移行しています。

Windows10のセキュリティ機能(Windows Defender)は、ウイルスの侵入は防ぎますが、フィッシング対策はありません。

セキュリティ専門ソフトは、より強力な防御力と以下のような追加機能で、あなたとご家族がだまされてしまうリスクも低減し、万一の時も、被害低減してくれます。

  • フィッシングサイト等、ネット上の危険なコンテンツへのアクセスを止める。
  • フィッシングメールにだまされてうっかりURLをクリックしても「警告」して止める。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • お子様のネットの利用時間や不健全なサイト利用を制限する。
  • 紛失したスマホを探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

※iPhoneは強固な構造のためセキュリティアプリは不要とされています。Androidスマホにはセキュリティアプリは絶対に必要です。

セキュリティソフトの選び方、買い方

セキュリティソフトの選択は、価格や広告で選んではいけません!まして無料なアプリはかえって危険につながることもあります。

  • 世界各国で使用実績が豊富で、要求が厳しい企業向け製品にも実績のある
  • 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られる
  • 動作が軽く、機器使用の障害にならない
  • ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできる

製品ををおすすめします。

また、タブレットやスマホまで、トータルでカバーできる製品では「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用も大幅に安くなります。

購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です。
家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperがおすすめしているのは「ノートン(Norton)」の製品です。

ノートンは1990年から販売されている世界でも指折りのセキュリティ対策ツールです。防御力は世界各地の第三者機関のテストで常に「最上」の評価で、しかも軽量です。

またノートン セキュア VPNという、回線からの漏えいを防ぐVPN機能が標準で含まれているのも高評価です。

ノートンストア