fbpx

PayPayをよそおうフィッシング詐欺メールのすべて

とうとう出現!PayPayをよそおうフィッシング詐欺メール
近年有名ブランドをかたる詐欺・フィッシングメールは激増中です。有名ブランドが次々に悪用されましたが、PayPay(ペイペイ)の詐欺メールも出現しています。
しかもPayPayフィッシングメールは巧妙で、ひと目見ただけでは見分けることが難しいほどです。
実際に届いたPayPayのフィッシングメール元に、見破るポイントやリスク、対策、また「うっかりクリックした」「ログインしてしまった」時の対応方法をやさしくご説明します。
目次
/ins>

有名ブランドをよそおうフィッシング詐欺メールや、不正なショートメールが激増中!

2021年1月のフィッシング対策協議会の発表によると、2020年12月のフィッシング報告件数は、前月より1204件(+3%)増え30967件となりました。
増加率はやや減ったとは言え、依然として高い水準にあります。

フィッシング詐欺メールのブランド別の件数では、「Amazon、三井住友カード、楽天、MyJCB、アプラス(新生銀行カード) 、MY JCB」の順で全体の86%を占めています。

信販系や地方銀行をかたる新たなフィッシングが増えていますので、対象となる利用者数も増えて危険が高まっています。

多くの方がお使いのGmailやOutlookのようなメールサービスや、ご加入のプロバイダーのメールセキュリティサービスの防御効果により、フィッシング詐欺メールの大部分は「迷惑メール」として除去されているはずです。
しかしこれだけ件数が多く、フィッシングメールの偽装が巧妙化すると、防御をすり抜けてお手元に届く危険性も高まり、十分な注意が必要です

Amazonのフィシングメールはあまりに多く、被害が知られるにつれて、だまされる人も少なくなり、新たな詐欺手法としてPayPayのフィッシング詐欺メールが広まりつつあると思われます。

 

2020年12月のフィッシング報告件数■引用:フィッシング対策協議会「2020/12フィッシング報告状況」より

当ブログ関連記事
宅配の不在SMSをクリックしてしまった!~被害を避ける3つの対策とは?

フィッシング詐欺のメールやSMS(ショートメッセージ)は、コロナの混乱狙いで激増しています。特に宅配便の不在通知を装う詐欺SMSはうっかりクリックしやすく危険です。しかし正しい知識と基本的な対策があれば恐れることはありません。「もし[…]

フィッシングSMSのイメージ

PayPayフィッシング詐欺メールの目的は個人情報の不正取得

目的は個人情報の不正取得

PayPayのフィッシング詐欺メールや不正ショートメールの一般的な目的は、

ユーザーを信じ込ませてメール本文中のurlをクリックさせ、偽造された詐欺サイトに誘導し、個人情報入力させて盗み取る。

ことにあります。

PayPayのフィッシング詐欺メールも過去のAmazonのフィッシングメールと同様、

  1. 「アカウントの詳細確認」「サインインの本人確認」「セキュリティ警告」などの名目でメール文のURLをクリックさせ、精巧なPayPay偽造サイトに誘導。
  2. ユーザー自らに「IDの携帯電話番号とパスワードでログイン」を入力させて盗取する。
  3. またはウイルスをダウンロードさせて感染させる。

といった手口であり、現在まで確認されているメールの内容は、PayPayによると

  • クレジットカード情報や個人情報を入力させようとするメール
  • 請求書の開封を求めるウイルスメール
  • 「アカウントを更新する」と情報を入力させようとするメール
  • 「アカウント情報が欠落している」と情報を更新させようとするメール
  • 「異なる端末からアクセスされている」とログインの設定をさせようとするメール
  • 「ご利用のお知らせ」とお支払い状況を通知するメール

出典:PayPayヘルプ

です。

フィッシング詐欺犯は人の心理を巧みにあやつる

人は誰でも「不安を感じても、自分にだけは悪いことは起きないだろうと楽観的に考えてしまい(楽観バイアス)、すぐに何らかの利益や成果を得ようとする」心理上の弱点を持っています。

この心理状態を双曲割引(そうきょくわりびき)といいます。

フィッシング詐欺犯は「急がせる」「脅す」「不安にさせる」「喜ばす」と、様々なテクニックを使って、この双曲割引の心理を悪用しているのです。

 

PayPayを装うフィッシング詐欺メール

PayPayを狙ったフィッシング詐欺メールはレベルが高い

Amazonや楽天の詐欺メールは変な日本語ですぐに見分けがついたが、、、、

フィッシングメールは、海外から送付されることがほとんどです

犯人は「フィッシングメールの作成キット」をブラックマーケット(ダークウェブ)で購入し、カスタマイズして犯行に及びます。
しかし海外製のため、文面は外国語で書かれており、日本向けに翻訳作業が必要でした。

恐らく当初は機械翻訳などで翻訳していたため、不自然な日本語が目立ち、すぐに「怪しいメールだ!」と見分けることができました

後発のPayPayフィッシング詐欺メールはいきなり完成度が高く危険

ところがフィッシングメールとしては後発のPayPayフィッシング詐欺メールでは、犯人達は十分に経験を積んでいるため、下手な日本語などは見当たらず、以下のようにレイアウトも文面も不審な点がなく精巧なフィッシングメールが送られています。

PayPayをよそおうフィシングメール

件名:アカウントの詳細を更新してください。

お客様各位,
最近行われましたプライバシーポリシーの改定に伴いまして、お客様の PayPay アカウント情報のご確認をお願い致したく、よろしくお願い申し上げます。
ご確認のお手続きは、一回限りで、数分で終了致します。お客様によるご確認行為は必須となっており、お客様のアカウント情報のご確認が行われなかった場合は、アカウントが停止される可能性がございます。
この確認は義務付けられており、確認していただけない場合は、アカウントが停止される場合もあります。

続けるにはこちらをクリック

お客様のセキュリティは弊社にとって非常に重要なものでございます。ご理解の程、よろしくお願い申し上げます。
敬具,
Paypay.ne.jp

 

 

もしもPayPayのフィッシング詐欺メールをクリックしたらどうなる?

本物のようなPayPayログインサイトに誘導される

PayPayからのフィッシング詐欺メールの文中のURLやボタンをクリックすると、精巧に作られた以下のような詐欺サイトに誘導されます。

見た目はPayPayサイトですが、本物のPayPayのログイン画面とは大きく異なる架空の偽装サイトです。
しかも、サイトのURLは「https://srlegua.com/xw/data/.pay/customer_center/user-○○○/login.php」というPayPayとは無関係なものです。

それにもかかわらず、うっかり個人情報を入力してしまうと、犯人にアカウントを乗っ取られますので、十分に気をつけましょう。

PayPayを偽装するフィッシングサイト

他にも類似の詐欺サイトがいろいろと確認されています。

詳しくは下のフィッシング対策協議会様のサイトをご覧ください。

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | PayPay をかたるフ...
フィッシング対策協議会は2005年4月に設立され、フィッシング詐欺に関する事例情報、資料、ニュースなどの収集・提供、注意喚起、技術的・制度的検討などの活動を行っております。
www.antiphishing.jp
 
https://www.antiphishing.jp/news/alert/paypay_20200324.html

PayPay詐欺メールをクリックしたり、ログインしてしまった時は?

クリックしただけなら心配ない

クリックすると、上記のように偽のPayPayページが開き、「ログイン」を求められます。

このページを開いたとしても、そこから「自分で情報を記入する」など、だまされて行動しない限り心配はありません

また、今のスマホやパソコンは、

  • 信頼できるセキュリティソフトを導入しておく。
  • OSやアプリ、サフトは常に最新版に更新しておく。 

という基本的なことを守っていれば、サイトを開いただけで不正プログラムに感染するという事はありません。

「ログインしてしまった」「情報を入力してしまった」時は?

SMSで認証コードが届く前に至急パスワードを変更する

PayPayには、ユーザーが別の端末からログインする際などには、SMSで認証する機能がついています。

このような「数字とアルファベットを組み合わせた」認証コードのSMSが届いていないうちは、まだ犯人に使われていないはずなので、至急パスワードを変更してください。

PayPayから届くSMS認証

 

偽サイトに「認証コードも入れてしまった」ときは?

SMSで送られて来た「数字とアルファベットを組み合わせた」認証コードも入力してしまうと、既にアカウントが乗っ取られた可能性が高いです。

大至急、以下のPayPayお客様サポート窓口まで至急連絡し、アカウントの凍結を依頼しましょう

■PayPayカスタマーサポート窓口
電話番号:0120-990-634
窓口時間:24時間受付 / 土日祝日を含む365日

他のアカウントへの被害を防ぐ

PayPay自体を悪用されるより、危険はむしろ同じパスワードを、他のサービスで使い回していて乗っ取られるリスクです。

パスワードを使い回していた場合は「すべてのパスワードを独自のものに変更」してください。

特に「PayPayと同じ携帯電話番号とパスワードの組み合わせ」を使っていたものは非常に危険です。

ブログ内の関連記事(新しいウィンドウで開きます)
「パスワードの使い回しがいかに危険なのか?」リスクと対策を知る

誰もがついやっている「同じパスワードの使い回し」。どうしてパスワードの使い回してはいけないのか? 危険性を具体的な事件の実例と共にご説明します。「パスワードの使い回し」は、被害に直結するデジタルの使い方では最悪のリスクです。きっぱりやめまし[…]

クリックして何かのソフトやツールをダウンロードし入れてしまった時は?

少しでも不安を感じたら、大至急パソコンやスマホをセキュリティーソフトで検査しましょう!

「マルウェアや不正ソフト/アプリをインストールされてしまったかも?」と思ったときはすぐ検査

少しでも不審な点を感じたときは、信頼できるセキュリティソフトでパソコンやスマホを検査して駆除することが、個人ができる最も確実な対策です。

もしもまだ信頼できるセキュリティソフトをお持ちでないときは、以下のような無料で使える大手の定評あるセキュリティ対策ソフトを導入して対応しましょう。

※どの製品も30日程度、製品版と同等に無料で試用ができますので、不正なアプリやマルウェアがインストールされていないかスキャンして調査、発見された場合は駆除してください。

※セキュリティ対策ソフトはあなたを守ります。無料試用後も引き続きお使いになるよう強くお薦めします

またスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう

カスペルスキー セキュリティ 無料体験版(Digital Keeperお薦め)
感染してからでは遅い!無料体験から始める人気ウイルス対策ソフト
【アバスト】30日間無料体験版、返金保証付き

 

PayPayの詐欺フィッシングメールを避けるにはどうしたら良いか?

メール本文のURLやボタンはクリックしない

PayPayの詐欺フィッシングメールは精巧で見分けがつきません。

こうなると、「安全のため、原則としてPayPayからのメールの本文中のクリックはしない」また開いた画面から「ログインしない」しかありません。

内容に不審点があれば、PayPayのサイトを訪れて、手続きしましょう。

オンラインでURLやファイルをスキャンしてくれるサービスもあります

届いたメールの不審なURLや添付ファイルをスキャンしてくれるオンラインサービスがあります。

おすすめはGoogleが運営している「VIRUSTOTAL」。
なんと全世界の100種類近くのセキュリティサービスを同時に使って徹底的にスキャンしてくれますのでかなり安心。しかも無料です。

使い方は以下の当社ブログ記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)
怪しいファイルやURLを無料で検査!頼りになる「VIRUSTOTAL」とは?〜使い方と注意点

個人情報を盗んだり、ウイルスを感染させようする詐欺メール(フィッシングメール)や詐欺SMS(スミッシング)、そして「SNSのメッセンジャーで友達から届く詐欺動画」など、あなたをだますメッセージが毎日たくさん飛んできます。変な日本語もなく[…]

 

まとめ:
PayPayからのメールには十分に注意しよう

PayPayのフィッシング詐欺メールはこれからも増え続けるはずです。

しかしPayPayは高度なセキュリティ機能を持っているため、不正使用されるリスクは少ないですが、ユーザーがうっかりしたり、使い回していたパスワードが悪用されるリスクはあります。

これからもPayPayのメールには十分に注意を払い続けましょう。

 

あわせてご覧ください!「Amazonのフィッシング詐欺メール」は?

ブログ内の関連記事(新しいウィンドウで開きます)
Amazonフィッシング詐欺メールのすべて~進化する詐欺手法の現状と対策

近年有名ブランドをかたる詐欺・フィッシングメールは激増中ですが、中でもAmazon をかたるフィッシングメールが被害の大部分を占めています。またAmazonをよそおう不正なショートメール(SMS)も増えています。しかもフィッシングの手口[…]

Amazonをかたるフィッシング詐欺メールのイメージ

「楽天のフィッシング詐欺メール」は?

ブログ内の関連記事(新しいウィンドウで開きます)
楽天のフィッシング詐欺メールのすべて~日々進化する詐欺メールの現状と対策

激増中の有名ブランドをかたる詐欺・フィッシングメールの中で、楽天をかたるフィッシング詐欺メールはAmazon、LINEについで第3位の多さとなっています。楽天の詐欺ショートメッセージも増えてきました。実際に届いた楽天や楽天カードからのフ[…]

楽天のイメージ

性的な行為をネタに脅してくる詐欺「セクストーション」とは?

ブログ内の関連記事(新しいウィンドウで開きます)
進化するセクストーション詐欺、マジメ人間がだまされる3つの手口を一挙公開!

「人の弱みにつけ込む」は詐欺の常套手段ですが、オンラインでも多発しています。これらの詐欺は、知っていればだまされませんが、初心者や年配者といったデジタル弱者がまじめに受け取ってカモになってしまう例が多発しています。今回は主に[…]

セクストーション詐欺のイメージ

PayPayを使っているシニアの方にも共有しましょう

ブログ内の関連記事(新しいウィンドウで開きます)
シニアを狙うネット詐欺やサイバー攻撃の対処方法まとめ~フィッシングから警告・押し売り詐欺から高齢者を守る

家にこもってスマホやパソコンを使う時間が増えましたが、その「隙を狙おうとするネット詐欺」も激増しています。特にネットに不慣れなシニア、高齢者の皆さんは大きなリスクにさらされます。シニア・高齢者の皆様が直面しがちな、いろいろな[…]

ネット犯罪に巻き込まれて驚くsenior・中高年のイメージ

 

Digital Keeperお薦めのセキュリティソフト

やはりセキュリティ専門ソフトは必要です

今ではWindows10のようなOSは標準でセキュリティ機能(Windows Defender)が含まれており、コンピューターウイルスやマルウェアの侵入を防御してくれますが、機能は基本的なものに留まります。

セキュリティを専門とするソフトは、より強力な防御力と、さまざまな追加機能によってあなたとご家族を守ってくれます。

たとえば

  • フィッシングメールに惑わされてうっかりURLをクリックしても「警告して先に進むことを止める」。
  • 仮に感染しても重要な個人情報の流出や不正送金を食い止める。
  • ネット上にあなたの個人情報が流出していないか調査する。
  • 子供のネットの利用時間や不健全なサイト利用を制限する。
  • スマホを紛失時に探したり、データを削除する。
  • 外出時に使う公衆wifiをVPNを使って安全に使用する。

といった機能です。

セキュリティソフトの選び方、買い方

いろいろなセキュリティソフトがありますが、選択に当たっては、価格や広告上の性能だけでなく、

  • 老舗で世界各国で使用されてきた実績が豊富で、ユーザー数の多く、消費者向けだけではなく、企業向けにも実績のあるもの
  • ご本人のパソコンだけでなく、ご家族のスマートフォン、タブレットもすべてカバーできるもの
  • 運営会社が信頼でき、国家からの干渉がなく、データの保全が図られるもの
  • 動作が軽く、機器の使用に障害がないもの

を選択してください。

また、パソコンだけでなく、タブレットやスマホまで、トータルでカバーする製品が望ましいです。こうしておくと「機械に不慣れな奥様がスマホを紛失した際にご主人が探し出す」事など家中の機器をもれなく一括してセキュリティ管理できてしまいますし、個別に揃えるより費用が大幅に安くなります。

購入に当たっては、店頭で箱に入っているパッケージ版より、ダウンロード販売の方がずっと価格も安く、ご自宅の環境に併せて、利用できる機器の数や機能を選択できるためはるかに便利です

家庭のパソコンやスマホの数(1台~10台)や使用期間(1年~3年)にあったものをお選びください。

お奨めのセキュリティソフトは?

Digital Keeperが社内でも使用し、おすすめしているのは「Kaspersky」の製品です。

世界でも指折りのセキュリティ技術の先進国ロシア発祥のセキュリティ会社ですが、今では国家からの干渉を避けるため、本拠をスイスに移し、世界各国の開発拠点で活動しています。

もっとも大切な防御力は世界各地の第三者機関のテストで常に「最上」の評価を受けるなど間違いなくNo.1です。

また付属する機能も豊富で「これだけ入れておけば他のセキュリティ製品は不要」なほどですが、それでいて動作も重くないのがすばらしいです。

下記のバナーで無料の30日間体験版がダウンロードできます。使ってみて性能を実感してみてください。