Loading
【PayPay詐欺対策】オフィスでスマホの送金画面を指さし、真剣に手口を検証するビジネスパーソン3人。有限会社バンブーハウスによる注意喚起

PayPayを装う詐欺・SNS乗っ取り被害への注意喚起|SMS送金詐欺が急増

2026年のゴールデンウィーク前後から、PayPayの「送金機能」を悪用した詐欺が急増しています。「料金未払い」「公金未納」を装うSMSやメールのリンクからPayPayアプリの送金画面へ直接誘導され、わずか数タップで犯人へ送金してしまう手口が中心です。詐欺メールやSMSのURLにアクセスするとPayPayアプリが立ち上がり、送金ボタンを押すと詐欺アカウントへ残高を送らされてしまいます。しかも、ユーザーご自身で送ったPayPay残高はPayPayの補償制度の対象外であり、取り戻すことは極めて困難です。

最終更新日

手口の概要

従来のメールに加え、信頼されやすいSMS(ショートメッセージ)やSNSを入口とする手口が目立っています。代表的な3つのパターンを整理します。

  • 1)SMSによるフィッシング(スミッシング)
    電話番号宛に届くSMSは、メールよりも開封率が高く信じ込みやすい傾向があります。「未払いによる利用停止」「再認証が必要」など緊急性を煽る文面で偽サイトへ誘導するのが典型です。携帯電話料金や水道料金の「料金未払い」、ごみの分別違反による「罰金」など、架空料金の支払いを求める偽SMSが届き、記載されたリンクを開くとワンクリックでPayPayアプリに自動遷移し、送金画面が表示されます。ID・パスワード・カード情報や二段階認証コードを盗まれ、アカウントを完全に制圧されるおそれもあります。
  • 2)SNSアカウントの乗っ取りと連鎖被害
    盗まれた情報を基にLINEやInstagram等のSNSが乗っ取られ、なりすましによって周囲へ被害が拡大します。知人になりすまして「アンケート協力」「金銭の相談」を持ちかけ、さらに偽サイトへ誘導する流れです。自身が被害者になるだけでなく、友人・知人を狙う「被害拡大の踏み台」にされてしまいます。
  • 3)PayPayアプリ内での送金詐欺・架空請求(最も警戒すべき手口)
    SMSやメールのリンクからアプリの送金画面が直接立ち上がり、内容を確認せず承認すると即座に残高が送金されます。重要なのは、企業や団体への正規の支払いに「送る・受け取る」機能は使われないという点です。PayPayは「企業や団体へのお支払いに、送る・受け取る機能は利用されていません」と明言しており、警告画面が表示された場合は不審な取引である可能性が高いとしています。送金先や支払い内容に少しでも違和感があれば、絶対に「送る」を押さないでください。警告画面が表示された場合は不審な取引である可能性が高いとしています。お金を受け取るはずの場面で「送る」と表示されていたら、それは送金(=お金を奪われる操作)です。「受け取る」のはずが「送る」になっていたら、絶対にタップしないでください。送金先や支払い内容に少しでも違和感があれば、絶対に「送る」を押さないでください。

被害は急増中(公的データ)

この手口は一時的な流行ではなく、継続的に拡大しています。フィッシング対策協議会の月次報告によると、税金・公共料金・保険料・カード利用料金の請求を装ってPayPayなどへの送金を促す手口が急増し、2026年4月下旬にはこうした報告が全体の約半数を占めました。装う送信元も、通信会社やクレジットカード会社にとどまらず、日本年金機構・市役所・地方銀行・Amazon・楽天カード・Apple/iCloud・e-Tax・国民健康保険料など多様化しています。「自分には関係ない」と思わず、誰もが標的になり得ると考えてください。

推奨対策(遵守事項)

  • 「利用可能額の設定」で被害額に上限を設ける(事前防御):
    PayPayアプリで1日あたり・1カ月あたりの利用金額を事前に設定しておくと、万一だまされても設定額に達した時点で支払いが自動的に保留されます。「利用可能額の詳細設定」で「取引を一時保留する」を選んでおけば、保留された取引をキャンセルでき、被害を未然に防げます。
  • リンクは原則踏まない:
    案内が届いたら、メッセージ内のURLではなく、必ず公式アプリや正規のブックマークからアクセスして確認する。心当たりのない請求・督促のメールやSMSは、URLやリンクボタンを開かずに削除し、判断が難しい場合はサービス提供元や納付先の公式サイト・アプリを必ず確認してください。
  • 認証コードは「絶対に」教えない:
    いかなる理由があっても、SMSで届く認証コードを他人に伝えない。
  • 「送る」前に必ず立ち止まる:
    送金画面が突然表示されたら、送り先・金額・名目を確認する。少しでも怪しければ送金せず、前の画面に戻るかアプリを閉じる。
  • 異変を感じたら即対応:
    不審なサイトに情報を入力した、SNSが勝手に投稿しているなどの場合は、連携クレジットカードの停止、SNSのパスワード変更、全デバイスからの強制ログアウトをすぐに行う。
  • 「友人からのメッセージ」でも油断しない:
    文体がおかしい、急にURLを送ってくる場合は、電話など別の連絡手段で本人に直接確認する。

万が一、送金・入力してしまった場合

被害に気づいたら、追加の指示には一切応じず、速やかに以下を実施してください。詐欺等の疑いがある「送る・受け取る」の取引を行ってしまった場合は、PayPayアプリから報告でき、PayPayを騙るフィッシングはフィッシング通報フォームから連絡できます。

  • 連携クレジットカード・銀行口座の利用停止をカード会社・金融機関へ連絡
  • SNS・PayPayのパスワード変更と全デバイスからのログアウト
  • PayPayアプリ/フィッシング通報フォームからの報告、必要に応じて警察・最寄りの消費生活センター(188)へ相談

公的機関も注意喚起

この手口は公的にも繰り返し警告されています。フィッシング対策協議会は、クレジットカードの月額請求や通信料金の支払いを装うフィッシングメールからPayPayアプリでの支払いへ誘導し送金させる手口を確認しており、アプリを開くよう誘導された際は一度止めて正規メールか、支払い先情報かを確認するよう呼びかけています。

参考(公式・公的)

AIの誤情報対策も、
発信元であるサイトの“土台”が信頼の出発点です。

情報漏えい対策は、
社員の“うっかり”を防ぐ教育から見直しませんか?

よくあるご質問(FAQ)

Q1. PayPayから「未払い」「利用停止」のSMSが届きました。本物ですか?

まず偽物を疑ってください。料金未払いや公金未納を装い、リンクから送金画面へ誘導するのが典型的な詐欺の手口です。SMS内のURLは開かず、確認が必要なら公式アプリや正規サイトから直接ログインして状況を確かめてください。

Q2. 企業や役所への支払いを、PayPayの「送る」機能で求められました。応じても大丈夫ですか?

いいえ。企業や団体への正規の支払いに「送る・受け取る」機能は使われません。この機能で支払いを求められたら、ほぼ確実に詐欺です。送金せず、請求元の公式窓口に直接確認してください。請求元の公式窓口に直接確認してください。判断のポイントは「手口の概要」で解説しています。

Q3. 送金画面で「送る」を押してしまいました。お金は戻りますか?

自分で送ったPayPay残高はPayPayの補償制度の対象外で、取り戻すのは極めて困難です。すぐにPayPayアプリ/フィッシング通報フォームから報告し、連携カードや口座の停止、警察・消費生活センター(188)への相談を行ってください。被害拡大を防ぐ初動が最優先です。被害拡大を防ぐ初動が最優先です。詳しい手順は「万が一、送金・入力してしまった場合」をご確認ください。

Q4. リンクを開いただけ・偽サイトにIDやパスワードを入力しただけでも危険ですか?

危険です。入力した情報でアカウントを乗っ取られ、不正送金やSNSのなりすましに悪用される恐れがあります。ただちにPayPayとSNSのパスワードを変更し、全デバイスからログアウト、連携クレジットカードの利用停止を行ってください。二段階認証コードは誰にも教えないでください。

Q5. 友人からURL付きのメッセージが届きました。信用してよいですか?

相手のSNSが乗っ取られている可能性があります。文体が不自然、急にURLを送ってくる、金銭やアンケートの相談を持ちかけるといった場合は、メッセージ内では返信せず、電話など別の手段で本人に直接確認してください。

Q6. 詐欺の被害額をあらかじめ抑える設定はありますか?

あります。PayPayアプリの「利用可能額の設定」で、1日あたり・1カ月あたりの上限を決めておくと、万一だまされても上限を超えた支払いが自動的に保留されます。「取引を一時保留する」を選んでおけば、保留された取引をキャンセルでき、被害を未然に防げます。普段の利用額に合わせて設定しておくことを強くおすすめします。

Q7. 送金画面が本物か偽物か、見分ける方法はありますか?

画面の表示が「送る」か「受け取る」かを必ず確認してください。お金を受け取るはずの場面で「送る」と表示されていたら、それは相手にお金を渡す操作です。受け取るはずなのに「送る」となっていたら詐欺を疑い、タップせずに前の画面へ戻ってください。

Q8. どんな差出人を装ったメール・SMSに注意すべきですか?

通信会社やカード会社だけでなく、市役所・日本年金機構・地方銀行・Amazon・楽天カード・Apple/iCloud・e-Tax・国民健康保険料など、幅広い差出人を装う例が確認されています。差出人名は簡単に偽装できるため「誰から来たか」で信用せず、リンクは踏まずに公式アプリ・正規サイトから確認してください。

Q9. 高齢の家族が狙われないか心配です。何を伝えればよいですか?

「SMSやメールのリンクは開かない」「身に覚えのない請求は無視して家族に相談する」「認証コードは誰にも教えない」の3点を共有してください。あわせて、ご家族のPayPayで「利用可能額の設定」を低めに設定しておくと、万一の被害額を抑えられます。

Q10. 事業者です。従業員や顧客を守るために何ができますか?

業務端末でのリンク開封ルールの周知、不審な連絡の社内報告フローの整備、定期的なフィッシング訓練が有効です。乗っ取られたアカウントが取引先への被害拡大の踏み台になるため、組織全体での対策が重要です。情報漏えい対策研修で自社のリスクに合わせた対応をご提案します。

WEB制作をご検討の皆様へ
セキュリティまで見据えた、安心のWEB制作をご提案します

AIに正しく理解される設計が出発点。人にも、AIにも伝わるWebサイトを|これからのWeb制作・リニューアル
人にも、AIにも伝わるWebサイトを
今のセキュリティで本当に安全ですか?【東京】ガバメントクラウド・ISMAP準拠対応のセキュアサーバー構築
【東京都】セキュリティ診断
  • 公開日  更新日
  • 監修 情報セキュリティ統括責任者 竹内勇人
お問い合わせ