2026年のゴールデンウィーク前後から、PayPayの「送金機能」を悪用した詐欺が急増しています。「料金未払い」「公金未納」を装うSMSやメールのリンクからPayPayアプリの送金画面へ直接誘導され、わずか数タップで犯人へ送金してしまう手口が中心です。詐欺メールやSMSのURLにアクセスするとPayPayアプリが立ち上がり、送金ボタンを押すと詐欺アカウントへ残高を送らされてしまいます。しかも、ユーザーご自身で送ったPayPay残高はPayPayの補償制度の対象外であり、取り戻すことは極めて困難です。
最終更新日
従来のメールに加え、信頼されやすいSMS(ショートメッセージ)やSNSを入口とする手口が目立っています。代表的な3つのパターンを整理します。
この手口は一時的な流行ではなく、継続的に拡大しています。フィッシング対策協議会の月次報告によると、税金・公共料金・保険料・カード利用料金の請求を装ってPayPayなどへの送金を促す手口が急増し、2026年4月下旬にはこうした報告が全体の約半数を占めました。装う送信元も、通信会社やクレジットカード会社にとどまらず、日本年金機構・市役所・地方銀行・Amazon・楽天カード・Apple/iCloud・e-Tax・国民健康保険料など多様化しています。「自分には関係ない」と思わず、誰もが標的になり得ると考えてください。
被害に気づいたら、追加の指示には一切応じず、速やかに以下を実施してください。詐欺等の疑いがある「送る・受け取る」の取引を行ってしまった場合は、PayPayアプリから報告でき、PayPayを騙るフィッシングはフィッシング通報フォームから連絡できます。
この手口は公的にも繰り返し警告されています。フィッシング対策協議会は、クレジットカードの月額請求や通信料金の支払いを装うフィッシングメールからPayPayアプリでの支払いへ誘導し送金させる手口を確認しており、アプリを開くよう誘導された際は一度止めて正規メールか、支払い先情報かを確認するよう呼びかけています。
参考(公式・公的)
AIの誤情報対策も、
発信元であるサイトの“土台”が信頼の出発点です。
まず偽物を疑ってください。料金未払いや公金未納を装い、リンクから送金画面へ誘導するのが典型的な詐欺の手口です。SMS内のURLは開かず、確認が必要なら公式アプリや正規サイトから直接ログインして状況を確かめてください。
いいえ。企業や団体への正規の支払いに「送る・受け取る」機能は使われません。この機能で支払いを求められたら、ほぼ確実に詐欺です。送金せず、請求元の公式窓口に直接確認してください。請求元の公式窓口に直接確認してください。判断のポイントは「手口の概要」で解説しています。
自分で送ったPayPay残高はPayPayの補償制度の対象外で、取り戻すのは極めて困難です。すぐにPayPayアプリ/フィッシング通報フォームから報告し、連携カードや口座の停止、警察・消費生活センター(188)への相談を行ってください。被害拡大を防ぐ初動が最優先です。被害拡大を防ぐ初動が最優先です。詳しい手順は「万が一、送金・入力してしまった場合」をご確認ください。
危険です。入力した情報でアカウントを乗っ取られ、不正送金やSNSのなりすましに悪用される恐れがあります。ただちにPayPayとSNSのパスワードを変更し、全デバイスからログアウト、連携クレジットカードの利用停止を行ってください。二段階認証コードは誰にも教えないでください。
相手のSNSが乗っ取られている可能性があります。文体が不自然、急にURLを送ってくる、金銭やアンケートの相談を持ちかけるといった場合は、メッセージ内では返信せず、電話など別の手段で本人に直接確認してください。
あります。PayPayアプリの「利用可能額の設定」で、1日あたり・1カ月あたりの上限を決めておくと、万一だまされても上限を超えた支払いが自動的に保留されます。「取引を一時保留する」を選んでおけば、保留された取引をキャンセルでき、被害を未然に防げます。普段の利用額に合わせて設定しておくことを強くおすすめします。
画面の表示が「送る」か「受け取る」かを必ず確認してください。お金を受け取るはずの場面で「送る」と表示されていたら、それは相手にお金を渡す操作です。受け取るはずなのに「送る」となっていたら詐欺を疑い、タップせずに前の画面へ戻ってください。
通信会社やカード会社だけでなく、市役所・日本年金機構・地方銀行・Amazon・楽天カード・Apple/iCloud・e-Tax・国民健康保険料など、幅広い差出人を装う例が確認されています。差出人名は簡単に偽装できるため「誰から来たか」で信用せず、リンクは踏まずに公式アプリ・正規サイトから確認してください。
「SMSやメールのリンクは開かない」「身に覚えのない請求は無視して家族に相談する」「認証コードは誰にも教えない」の3点を共有してください。あわせて、ご家族のPayPayで「利用可能額の設定」を低めに設定しておくと、万一の被害額を抑えられます。
業務端末でのリンク開封ルールの周知、不審な連絡の社内報告フローの整備、定期的なフィッシング訓練が有効です。乗っ取られたアカウントが取引先への被害拡大の踏み台になるため、組織全体での対策が重要です。情報漏えい対策研修で自社のリスクに合わせた対応をご提案します。