fbpx

PayPayをかたる精巧なフィッシングメールのすべて~クリックするとこうなる!

とうとう出現!PayPayをよそおうフィッシング詐欺メール
近年有名ブランドをかたる詐欺・フィッシングメールは激増中です。有名ブランドが次々に悪用されましたが、PayPay(ペイペイ)の詐欺メールも出現しています。
しかもPayPayフィッシングメールは巧妙で、ひと目見ただけでは見分けることが難しいほどです。
実際に届いたPayPayのフィッシングメール元に、見破るポイントやリスク、対策、また「うっかりクリックした」「ログインしてしまった」時の対応方法をやさしくご説明します。
目次
/ins>

有名ブランドをよそおうフィッシングメールや、不正なショートメールが激増中!

2021年2月のフィッシング対策協議会の発表によると、2021年1月のフィッシング報告件数は、前月より11801件(+37%)も増えて、43972件となりました。
しばらく横ばいでしたが、急激に増加に転じており注意が必要です。

フィッシングメールのブランド別の件数では、「Amazon、三井住友カード、楽天、MyJCB、三菱UFJニコス」の順で全体の88.6%を占めています。

多くの方がお使いのGmailやOutlookのようなメールサービスや、ご加入のプロバイダーのメールセキュリティサービスの防御効果により、フィッシングメールの大部分は「迷惑メール」として除去されているはずです。

しかしフィッシングメールの偽装が巧妙化すると、防御をすり抜けてお手元に届く危険性も高まり、十分な注意が必要です

2021年1月のフィッシング報告状況表■引用:フィッシング対策協議会「2020/12フィッシング報告状況」より

Amazonのフィシングメールはあまりに多く、被害が知られるにつれて、だまされる人も少なくなり、新たな詐欺手法としてPayPayのフィッシングメールが広まりつつあると思われます。

当ブログ関連記事
宅配の不在SMSをクリックしてしまった!~被害を避ける3つの対策とは?

フィッシング詐欺のメールやSMS(ショートメッセージ)は、コロナの混乱狙いで激増しています。特に宅配便の不在通知を装う詐欺SMSはうっかりクリックしやすく危険です。しかし正しい知識と基本的な対策があれば恐れることはありません。「もし[…]

フィッシングSMSのイメージ

PayPayフィッシングメールの目的は個人情報の不正取得

目的は個人情報の不正取得

PayPayのフィッシングメールや不正ショートメールの一般的な目的は、

ユーザーを信じ込ませてメール本文中のurlをクリックさせ、偽造された詐欺サイトに誘導し、個人情報入力させて盗み取る。

ことにあります。

PayPayのフィッシングメールも過去のAmazonのフィッシングメールと同様、

  1. 「アカウントの詳細確認」「サインインの本人確認」「セキュリティ警告」などの名目でメール文のURLをクリックさせ、精巧なPayPay偽造サイトに誘導。
  2. ユーザー自らに「IDの携帯電話番号とパスワードでログイン」を入力させて盗取する。
  3. またはウイルスをダウンロードさせて感染させる。

といった手口であり、現在まで確認されているメールの内容は、PayPayによると

  • クレジットカード情報や個人情報を入力させようとするメール
  • 請求書の開封を求めるウイルスメール
  • 「アカウントを更新する」と情報を入力させようとするメール
  • 「アカウント情報が欠落している」と情報を更新させようとするメール
  • 「異なる端末からアクセスされている」とログインの設定をさせようとするメール
  • 「ご利用のお知らせ」とお支払い状況を通知するメール

出典:PayPayヘルプ

です。

フィッシング詐欺犯は人の心理を巧みにあやつる

人は誰でも「不安を感じても、自分にだけは悪いことは起きないだろうと楽観的に考えてしまい(楽観バイアス)、すぐに何らかの利益や成果を得ようとする」心理上の弱点を持っています。

この心理状態を双曲割引(そうきょくわりびき)といいます。

フィッシング詐欺犯は「急がせる」「脅す」「不安にさせる」「喜ばす」と、様々なテクニックを使って、この双曲割引の心理を悪用しているのです。

 

PayPayを装うフィッシングメール

PayPayを狙ったフィッシングメールはレベルが高い

Amazonや楽天の詐欺メールは変な日本語ですぐに見分けがついたが、、、、

フィッシングメールは、海外から送付されることがほとんどです

犯人は「フィッシングメールの作成キット」をブラックマーケット(ダークウェブ)で購入し、カスタマイズして犯行に及びます。
しかし海外製のため、文面は外国語で書かれており、日本向けに翻訳作業が必要でした。

恐らく当初は機械翻訳などで翻訳していたため、不自然な日本語が目立ち、すぐに「怪しいメールだ!」と見分けることができました

後発のPayPayフィッシングメールはいきなり完成度が高く危険

ところがフィッシングメールとしては後発のPayPayフィッシングメールでは、犯人達は十分に経験を積んでいるため、下手な日本語などは見当たらず、以下のようにレイアウトも文面も不審な点がなく精巧なフィッシングメールが送られています。

PayPayをよそおうフィシングメール

件名:アカウントの詳細を更新してください。

お客様各位,
最近行われましたプライバシーポリシーの改定に伴いまして、お客様の PayPay アカウント情報のご確認をお願い致したく、よろしくお願い申し上げます。
ご確認のお手続きは、一回限りで、数分で終了致します。お客様によるご確認行為は必須となっており、お客様のアカウント情報のご確認が行われなかった場合は、アカウントが停止される可能性がございます。
この確認は義務付けられており、確認していただけない場合は、アカウントが停止される場合もあります。

続けるにはこちらをクリック

お客様のセキュリティは弊社にとって非常に重要なものでございます。ご理解の程、よろしくお願い申し上げます。
敬具,
Paypay.ne.jp

 

 

もしもPayPayのフィッシングメールをクリックしたらどうなる?

本物のようなPayPayログインサイトに誘導される

PayPayからのフィッシングメールの文中のURLやボタンをクリックすると、精巧に作られた以下のような詐欺サイトに誘導されます。

見た目はPayPayサイトですが、本物のPayPayのログイン画面とは大きく異なる架空の偽装サイトです。
しかも、サイトのURLは「https://srlegua.com/xw/data/.pay/customer_center/user-○○○/login.php」というPayPayとは無関係なものです。

それにもかかわらず、うっかり個人情報を入力してしまうと、犯人にアカウントを乗っ取られますので、十分に気をつけましょう。

PayPayを偽装するフィッシングサイト

他にも類似の詐欺サイトがいろいろと確認されています。

詳しくは下のフィッシング対策協議会様のサイトをご覧ください。

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | PayPay をかたるフ...
フィッシング対策協議会は2005年4月に設立され、フィッシング詐欺に関する事例情報、資料、ニュースなどの収集・提供、注意喚起、技術的・制度的検討などの活動を行っております。
www.antiphishing.jp
 
https://www.antiphishing.jp/news/alert/paypay_20200324.html

PayPay詐欺メールをクリックしたり、ログインしてしまった時は?

クリックしただけなら心配ない

クリックすると、上記のように偽のPayPayページが開き、「ログイン」を求められます。

このページを開いたとしても、そこから「自分で情報を記入する」など、だまされて行動しない限り心配はありません

また、今のスマホやパソコンは、

  • 信頼できるセキュリティソフトを導入しておく。
  • OSやアプリ、サフトは常に最新版に更新しておく。 

という基本的なことを守っていれば、サイトを開いただけで不正プログラムに感染するという事はありません。

「ログインしてしまった」「情報を入力してしまった」時は?

SMSで認証コードが届く前に至急パスワードを変更する

PayPayには、ユーザーが別の端末からログインする際などには、SMSで認証する機能がついています。

このような「数字とアルファベットを組み合わせた」認証コードのSMSが届いていないうちは、まだ犯人に使われていないはずなので、至急パスワードを変更してください。

PayPayから届くSMS認証

 

偽サイトに「認証コードも入れてしまった」ときは?

SMSで送られて来た「数字とアルファベットを組み合わせた」認証コードも入力してしまうと、既にアカウントが乗っ取られた可能性が高いです。

大至急、以下のPayPayお客様サポート窓口まで至急連絡し、アカウントの凍結を依頼しましょう

■PayPayカスタマーサポート窓口
電話番号:0120-990-634
窓口時間:24時間受付 / 土日祝日を含む365日

他のアカウントへの被害を防ぐ

PayPay自体を悪用される可能性は低いです。それより危険なのは、「同じパスワードを、他のサービスで使い回していて乗っ取られるリスク」です。

パスワードを使い回していた場合は「すべてのパスワードを独自のものに変更」してください。

特に「PayPayと同じ携帯電話番号とパスワードの組み合わせ」を使っていたものは非常に危険です。

ブログ内の関連記事(新しいウィンドウで開きます)
「パスワードの使い回しがいかに危険なのか?」リスクと対策を知る

誰もがついやっている「同じパスワードの使い回し」。どうしてパスワードの使い回してはいけないのか? 危険性を具体的な事件の実例と共にご説明します。「パスワードの使い回し」は、被害に直結するデジタルの使い方では最悪のリスクです。きっぱりやめまし[…]

クリックして何かのソフトやツールをダウンロードし入れてしまった時は?

少しでも不安を感じたら、大至急パソコンやスマホをセキュリティーソフトで検査しましょう!

「マルウェアや不正ソフト/アプリをインストールしたかも?と思ったら」すぐ検査

少しでも不審なときは、「信頼できるセキュリティソフトでパソコンやスマホをスキャンし駆除」が、個人ができる最善の対処方法です。

まだ信頼できるセキュリティソフトを持っていないときは、以下の無料で使える大手の有名セキュリティソフトを使いましょう。

※どの製品も30日程度、製品版と同等に無料試用ができます。
不正なアプリやマルウェアがインストールされていないかスキャンして調査、発見された場合は駆除してください。

※セキュリティ対策ソフトは無料試用後も引き続きお使いになるよう強くお薦めします

また念のためスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう

カスペルスキー セキュリティ 無料体験版(Digital Keeperお薦め)
感染してからでは遅い!無料体験から始める人気ウイルス対策ソフト
【アバスト】30日間無料体験版、返金保証付き

 

PayPayの詐欺フィッシングメールを避けるにはどうしたら良いか?

メール本文のURLやボタンはクリックしない

PayPayの詐欺フィッシングメールは精巧で見分けがつきません。

こうなると、「安全のため、原則としてPayPayからのメールの本文中のクリックはしない」また開いた画面から「ログインしない」しかありません。

内容に不審点があれば、PayPayのサイトを訪れて、手続きしましょう。

オンラインでURLやファイルをスキャンしてくれるサービスもあります

届いたメールの不審なURLや添付ファイルをスキャンしてくれるオンラインサービスがあります。

おすすめはGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。

使い方は以下の当社ブログ記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)
「VIRUSTOTAL」のファイル流出を避ける正しい使い方~怪しいファイルやURLの無料スキャン方法をやさしく解説

個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]

 

まとめ:
PayPayからのメールには十分に注意しよう

PayPayのフィッシングメールはこれからも増え続けるはずです。

しかしPayPayは高度なセキュリティ機能を持っているため、不正使用されるリスクは少ないですが、ユーザーがうっかりしたり、使い回していたパスワードが悪用されるリスクはあります。

これからもPayPayのメールには十分に注意を払い続けましょう。

 

あわせてご覧ください!「Amazonのフィッシングメール」は?

ブログ内の関連記事(新しいウィンドウで開きます)
Amazonフィッシングメールのすべて~進化する迷惑メールの手口と対策がわかる

近年有名ブランドをかたる詐欺・フィッシングメールは激増中ですが、中でもAmazon をかたるフィッシングメールが被害の大部分を占めています。またAmazonをよそおう不正なショートメール(SMS)も増えています。しかもフィッシングの手口[…]

Amazonをかたるフィッシング詐欺メールのイメージ

「楽天のフィッシングメール」は?

ブログ内の関連記事(新しいウィンドウで開きます)
楽天のフィッシングメールのすべて~日々進化する詐欺メールの現状と対策

激増中の有名ブランドをかたる詐欺・フィッシングメールの中で、楽天をかたるフィッシングメールはAmazon、LINEについで第3位の多さとなっています。楽天の詐欺ショートメッセージも増えてきました。実際に届いた楽天や楽天カードからのフィッ[…]

楽天のイメージ

性的な行為をネタに脅してくる詐欺「セクストーション」とは?

ブログ内の関連記事(新しいウィンドウで開きます)
進化するセクストーション詐欺、マジメ人間がだまされる3つの手口を一挙公開!

「人の弱みにつけ込む」は詐欺の常套手段ですが、オンラインでも多発しています。これらの詐欺は、知っていればだまされませんが、初心者や年配者といったデジタル弱者がまじめに受け取ってカモになってしまう例が多発しています。今回は主に[…]

セクストーション詐欺のイメージ

PayPayを使っているシニアの方にも共有しましょう

ブログ内の関連記事(新しいウィンドウで開きます)
シニアを狙うネット詐欺やサイバー攻撃の対処方法まとめ~フィッシングから警告・押し売り詐欺から高齢者を守る

家にこもってスマホやパソコンを使う時間が増えましたが、その「隙を狙おうとするネット詐欺」も激増しています。特にネットに不慣れなシニア、高齢者の皆さんは大きなリスクにさらされます。シニア・高齢者の皆様が直面しがちな、いろいろな[…]

ネット犯罪に巻き込まれて驚くsenior・中高年のイメージ

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ専門ソフトは必要です

今ではWindows10のようなOSは標準でセキュリティ機能(Windows Defender)が含まれており、ウイルスやマルウェアの侵入を防御してくれますが、基本的な機能しかありません。

セキュリティ専門ソフトは、より強力な防御力と、さまざまな追加機能で、あなたとご家族を守ってくれます。

たとえば

  • フィッシングメールに惑わされてうっかりURLをクリックしても「警告して先に進むことを止める」。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • 子供のネットの利用時間や不健全なサイト利用を制限する。
  • スマホを紛失時に探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

セキュリティソフトの選び方、買い方

セキュリティソフトの選択は、価格や広告で選んではいけません!

  • 老舗で世界各国で使用された実績が豊富で、要求が厳しい企業向けにも実績のあるもの
  • ご自身だけでなく、ご家族のスマートフォン、タブレットもすべてカバーできるもの
  • 運営会社が信頼でき、国家からの干渉がなく、個人情報やデータの秘密が守られるもの
  • 動作が軽く、機器使用の障害にならないもの

を選択してください。

また、パソコンだけでなく、タブレットやスマホまで、トータルでカバーする製品を選ぶと、「子供が紛失したスマホを探し出す」事など家中の機器をもれなく一括してセキュリティ管理でき、個別に揃えるより費用が大幅に安くなります。

購入に当たっては、店頭販売のパッケージ版より、ダウンロード販売の方が価格が安く、ご使用環境に併せて、使用機器の数や機能を選択できるため、はるかに便利です

家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーで無料の30日間体験版がダウンロードできますので、使ってみて性能を実感してみてください。