日本年金機構を装うPayPayフィッシングメールが急増

日本国内で、日本年金機構を装ったフィッシングメールを使い、PayPay決済サービスを通じて金銭を盗み出す詐欺が発生している [1, 2]。

この手法が特に危険なのは、認証情報を盗むための偽サイトを使用しない点にある。代わりに、メール内のリンクが被害者のデバイス上の本物のPayPayアプリケーションを起動させるため、一般的なセキュリティ警告を回避でき、結果として行われた取引の取り消しはほぼ不可能となる [1, 2, 3]。

こうしたフィッシング試行の報告数は今年、急速に増加している。2026年3月には592件の報告があったが ^[1]、4月には2万8499件に急増し ^[1]、5月には5万6555件に達した ^[1]。また、2026年1月から6月9日までの間に、さらに1283件の報告が寄せられている ^[1]。合計すると、3月から6月初旬にかけて8万6000件以上のフィッシングメールが報告されたことになる ^[1]。

この攻撃は、日本年金機構という信頼性の高い組織を装うことでユーザーを欺く。被害者がメール内のリンクをクリックすると、本物のPayPayアプリが開き、支払いを完了させるよう促される。使用される具体的な手法によっては、わずか2回 ^[2] または3回 ^[3] のタップで不正送金が実行される可能性がある。

取引が正規のアプリ内で行われるため、資金は迅速に転送される。ITmediaの記者は、これらの送金は補償の対象外であり、回収することはできないと述べている ^[3]。また、ある不正対策の専門家はLivedoorに対し、回収はほぼ不可能であると語った ^[2]。

当局とセキュリティ専門家は、信頼されたアプリを利用して盗難を容易にするというこの手法の巧妙さが、従来のフィッシングよりも効果的に作用していると警告している。ユーザーは、政府機関から届いた予期せぬメールで、サードパーティ製アプリを通じた即時の支払いや操作を求めるものに十分注意するよう呼びかけられている [1, 2]。