偽のPayPay くじ引きチャレンジ今すぐくじを引いて最大50,000円分のポイントゲット!
※当サイトはアフィリエイトプログラムを利用しています。
もしもあなたのスマホに、「PayPayくじ引きで50,000円分のポイントが当たりました!」というメールが届いたら?
多くの人が「ラッキー!」と思うかもしれません。
しかし、それは巧妙なフィッシング詐欺。
この記事では、PayPayを騙るフィッシングメールの危険な手口と、被害に遭わないための具体的な対策を解説します。
フィッシングメールの中身をチェック
では、どんなフィッシングメールなのかを見ていきます。
フィッシングメールのアドレス
paypay-info-kRs2EygrkGb@growth.brihaspati.ai
フィッシングメールのタイトル
「PayPay くじ引きチャレンジ」今すぐくじを引いて最大50,000円分のポイントゲット!
フィッシングメールの本文
🎉「PayPayラッキーくじ」
最大5,000円分GET!
📅 キャンペーン期間:2025年4月12日〜2025年5月25日
毎日くじを引いて最大5,000円分のPayPayポイントをゲット!
当たりが続出中!
📢 参加方法:
🔗 キャンペーンページにアクセス
🎰 1日1回くじを引く
💰 当選するとその場でポイントGET!
今すぐチャレンジ!
📌 よくある質問(FAQ)
Q1. 1日何回くじを引けますか?
A1. 1日1回参加できます。
Q2. ポイントはいつ付与されますか?
A2. 当選後、すぐにアカウントに反映されます。
本メールは送信専用です。ご返信いただいても対応できませんのでご了承ください。
PayPay株式会社
東京都千代田区紀尾井町1-3
- フィッシングメールの接続先
- 偽のPayPayログイン画面
- https://www.kazenl.top/commercialarian-html/
フィッシングメールの解説
フィッシングメールのアドレスは
paypay-info-kRs2EygrkGb@growth.brihaspati.ai
「paypay-info」と敢えてアドレスの最初に付けて本物っぽく見せているのだろうと思います。
ちなみにドメイン末尾の「.ai」はイギリス領アンギラに振り当てられたものです。
偽のPayPayログイン画面のURLは
https://www.kazenl.top/commercialarian-html/
本物のPayPayのURLはこちらで全く違うのがわかりますね。
https://paypay.ne.jp/
迷惑メールに振り分けられていれば見る必要はありませんが、そうではない場合。
このようにフィッシングメールかかどうかの判断はメールアドレス、本物のWEBサイトかどうかはURLに注目するのが基本です。
当たり前を利用する詐欺師
ドコモのキャリアメールに毎日どんどん送られてくる迷惑メールの一部がこんな感じで、ほとんどフィッシングメールなんですね。
フィッシングメールホイホイ状態になってしまってる(笑)。
せっかくなので久々にフィッシングメールを開いてみようと思い「偽のPayPay」を選びました。
PayPayは時々使ってはいますので、アカウントもある状態。
PayPayのアカウントを作ったのはマイナポイント貰うためだったと記憶しています。
普段の支払いは基本クレジットカードなので、PayPayも現金もそんなに使っていません。
PayPayに登録する時ってどうしました?
スマホでPayPayのアプリをダウンロードしましたよね?
まずはアプリをダウンロードして、アカウント登録をしましょう。
PayPayアプリを起動して電話番号とパスワードを入力SMS(メッセージ)で認証コードを受信
受信した4桁の認証コードを入力
登録完了
安全性を高めるために、携帯電話番号を利用して本人確認しています。
上にあるように「SMS(メッセージ)で認証コードを受信」で本人確認がなされます。
ログインできなくなった時やパスワードを忘れた時などにも同様の本人確認がなされます。
こういったSMS(メッセージ)による本人確認、二段階認証といったセキュリティ対策は多くのアプリやWEBサイトでも取り入れられているのは、あなたもご存知だと思います。
フィッシング詐欺はその「当たり前に」行われる様々を利用して、誘導したフィッシングサイトで電話番号やメールアドレス、パスワードを入力させ個人情報を盗むのが目的となります。
もう一つの当たり前は「PayPay くじ引きチャレンジ」でしょう。
普段あまりPayPayを使わなくてもCMで流れるので、あなたもご存知では?
ダブルでくじ引きキャンペーンもやってますよね。
スマホの音量ボリュームが大きいと、抽選の様子を周囲に思い切りライブしちゃう羽目になるという。
そういった「PayPayではくじ引きをやってる」と多くの人は知っているので、メールのタイトルにも「PayPay くじ引きチャレンジ」今すぐくじを引いて最大50,000円分のポイントゲット!とあるわけです。
最大50,000円分だと金額が大きいから、つい釣られてしまう、正にフィッシング。
電話番号とパスワードを入力してみた
過去に実験したこちらの記事では、最終的にクレジットカード番号を入力させるのが目的だとわかりました。
なにしろ電話番号やメールアドレス、パスワードは全くのデタラメで進んでいくのですから。
・偽物Amazonのログイン画面にメアドとパスワードを入力してみた
今回も良い機会なので実験を試みました。
フィッシングメールのURLにアクセスしようとすると、スマホの画面には「注意」と表示されます。
アクセスするとフィッシングサイトのページに飛びましたが、パソコンから試すと本物のPayPayにつながりました。
「偽のPayPay」はこんな感じに表示されましたが、PayPayのログアウトをしたことがないので、ログイン画面がどんなだったかは記憶の彼方に・・・。
「偽のPayPay」にアクセスできましたので、電話番号00000000000とパスワードgggggghhを入力。
アクセス中を示すグルグルが表示されはしましたが、先に進みそうにないので終了しました。
ということは?以前のこちらの実験とは違い、正しい電話番号も個人情報として収集したかったと推測しました。
・偽物Amazonのログイン画面にメアドとパスワードを入力してみた
毎日大量のフィッシングメールが送信されるというのは、それだけ詐欺師にとって実入りが大きいという証。
メールはアドレスさえあれば、それ以外の個人情報を知らなくても送信できるのが詐欺師にとって利点ですからね。
これを悪用しない手はない。
フィッシング注意喚起と相談窓口
PayPay
・PayPayをかたるフィッシングメールについてよりPayPayやPayPayのロゴを悪用し、本物そっくりな偽サイト(フィッシングサイト)や不正サイトに誘導をし、個人情報を詐取しようとするメールやSMSの送信がされています。
2024/5/22
国税庁を騙って「税金が未納である」とメールやSMSが届き、フィッシングサイトへ誘導し、PayPay残高を送らせようとする手口が確認されています。
不審なSMSやメールを受信した場合には、添付ファイルやURLを開いたりせずに削除してください。
「PayPayを騙るフィッシング攻撃の手口の」「フィッシングメール(SMS)のURLをクリックすると、偽サイトのログイン画面が表示されます」に掲載してある画像が、今回のフィッシングメールにあったURLにアクセスした際の偽のPayPayとよく似てます。
不正利用やトラブルを未然に防ぎ、犯罪に巻き込まれないためにも実際にあった事例を確認し、いざという時に備えましょう。
何かわからない、解決できないことがあれば、まずは該当サービスへの問い合わせをしましょう。
フィッシング被害相談及び通報窓口はこちらから。
- 一般社団法人 全国銀行協会
- ・金融犯罪に遭った場合のご相談・連絡先
- インターネット・ホットラインセンター
- ・フィッシング(フィッシング110番)
- 警視庁
- ・フィッシング対策
・フィッシング被害に遇ったら?フィッシングを防ぐ確実な方法とはから「被害に遇ってしまったら」と「被害を防ぐ確実な方法」を抜き出して掲載しておきますね。
被害に遇ってしまったら
フィッシングに遇ってしまった場合に想定される被害です。
- ・クレジットカードの不正利用
- ・銀行口座からの不正な出金
- ・ウェブマネーの不正利用
- ・SNSやゲームの課金
- ・SNSサイトへの不正なログイン、改変
- ・オークションで不正出品にIDを悪用
- ・WEBメールでのなりすまし
- ・悪徳業者のリストに登録
万一の場合の対処法
フィッシング詐欺被害の多くは、銀行口座の残高やカードの支払請求が来た時点でようやく気づくといったケースがほとんどです。
不審な点に気付いたら即行動、でも落ち着いて行動しましょう。
銀行口座
被害に遇った口座を作った銀行のサポートに連絡を取り、相談し対応を求めましょう。
インターネットバンキングは、ネットから即時カード利用停止が可能な場合が多いです。
問合せ先がわからない場合はネット検索すればOK。
また、銀行が近い、営業時間内なら直接窓口に行って相談しても良いでしょう。
クレジットカード
ほとんどのクレジット会社では、365日24時間対応で電話受付等を実施しているので、すぐに連絡して利用停止手続きを行います。
またこの時に再発行手続きも可能です。
・補償はあるのか
紛失保険・盗難保険は、特別な手続きは不要でクレジットカードが発行された時点で、保険は自動的に付帯されています。
補償の為の手続きは必要で、補償の対象になる・ならないの条件があり、カードにより違いがありますから注意が必要です。
補償の為の条件は、契約中のカードの利用規約を確認する、ネットで検索するなどして「ご自分で」確認しましょう。
カードを作る際に、規約その他、あなたは確認していますか?。
カードを何枚、何種類持っているか把握していますか?。
アカウントの乗っ取り
・ゲームの課金
特に課金のあるゲームサイトなら、直ぐにでも乗っ取りをやめさせたいところですが、メーカーによって大きく対応が違うようですね。
課金して買った所持ポイントが盗まれた場合であっても、継続課金されているにしても、乗っ取られたと証明できるかどうか。
ゲーム会社が調査してくれるかどうか、警察が詐欺事件として捜査してくれるかどうかといったところでしょうか。
・SNSアカウント
乗っ取られたと気付いたら、直ぐにパスワードの変更をしましょう。
変更可能な場合は、変更後に自分が投稿していないものを削除するなどして、乗っ取り前の状態にもどしましょう。
乗っ取り犯に既にパスワードを変更されてしまった場合は、各サイトのサポートへ。
全てのパスワードを変更
パスワードをフィッシングページで入力してしまった程度で、現時点で特に被害があると感じない場合でも、利用している全てのサービスのパスワードの変更、メールアドレスも可能なら変更した方が良いです。
個人情報は悪徳業者の間で売買されますので、変更が不可能か変更されていないものに対して、不正請求など詐欺目的の何かが届く可能性があります。
架空・不正請求の郵便物や、決して利用してはいけない副業を案内する郵便物が届く、DMが増える、同様の電話がかかってくる、メールが送られてくる
といったことが起こる可能性が高いので、被害に遇った後も引き続き注意を怠らないでください。
被害を防ぐ確実な方法
フィッシング被害を防ぐには、フィッシングの可能性がないか疑うことです。
その為にはフィッシング自体がどにようなものか知り、自己防衛することが大切です。
フィッシングかどうかの判断の仕方
まず、そのサービスをあなたが登録・利用しているかどうかです。
登録していないのなら迷惑メール、迷惑電話に過ぎませんから、フィッシング云々以前の問題です。
・アカウントがある場合
該当サービスに登録・利用している、アカウントを持っている場合、登録時のメールアドレスにメールが届いたかどうかです。
登録時のメールアドレスではないメアドに届いたなら迷惑メールに過ぎません。
一番厄介なのはアカウントを持っていて、登録時のメールアドレスにメールが届いた場合でしょう。
自分が利用しているサービスと同じ名前だと、疑わずにメールを開き、URLにアクセスしてしまいがちです。
フィッシング被害を防ぐ最も確実な方法は「あなたがアクセスしているWEBサイトのURLを確認すること」です。
パソコンなら上部に常に表示されますからわかりやすいですが、スマホ等携帯電話からだとおそらくどの機種もURLを表示させなけれならないと思います。
・正規URLかどうか
アドレスバーに表示されるURLを確認しましょう。
メールのURLとフィッシングサイトのURLは違います。
URLを偽装することは出来ますが、全く同じURLにすることは当然出来ません。
偽のbitFlyerからフィッシングメールを例にしてみましょう。
bitFlyerの正規URL
https://bitflyer.com/ja-jp/login
フィッシングサイトのURL
https://bitflyer.jp/ja-jp/login/wap/index.asp
・暗号化された画面か
個人情報の入力画面がSSLで暗号化された画面であるかどうかを確認します。
SSLで暗号化された画面は、アドレスバーのURLが「https://~」となっていますので、アドレスバーのURLが「https://」から始まっているか。
中には、SSL証明書を持つフィッシングサイトもありますから、更にブラウザに「鍵アイコン」が表示されているかどうかも必ず確認しましょう。
トレンドマイクロによりますと二段階認証すら突破しようと、詐欺師は虎視眈々と狙っています。
本物からのメールなのか、フィッシング目的のメールなのか、尚のことしっかり見分けることが必要です。
・国内ネットバンキングの二要素認証を狙うフィッシングが激化より
銀行などネットバンキングの認証情報の詐取、中でも特にワンタイムパスワードなど二要素認証の突破から不正送金を狙うと推測される巧妙な手口による攻撃の激化、拡大が見られているため、本記事にて注意喚起といたします。
また、同記事には、更に気になる内容もありました。
8月以降に確認されたフィッシングサイトでは、JavaScriptやスタイルシート(CSS)の取得URLに「12345_files」や「yahulogin」などの特徴的な文字列を含むものを確認しています。
この特徴からは、サイバー犯罪者が特定のツールキットを使用してフィッシングサイトを構築していることが推測されます。
また正規の発行元による有効な証明書を使用したHTTPSサイトも多くなってきています。
このため、不審なサイトを見抜くための心がけとして以前に言われていたHTTPSかどうかの確認は、意味が薄くなってきています。
「サイバー犯罪者が特定のツールキットを使用してフィッシングサイトを構築している」というのは、そう感じていました。
「テンプレ」感のようなものといえばよいでしょうか、どうせツールがあって簡単にできちゃうんだろうなと。
SSLで暗号化された画面は、アドレスバーのURLが「https://~」から始まるので、見分け方の一つとされていましたが、必ずしも当てはまるわけではありません。
実際に私がリストアップする悪質サイトですら、生意気にも「https://~」から始まるものを見掛けるようになりました。
・メールの文面はおかしくないか
中には今回のように、メールの文面が既におかしい場合もあります。
「bitFlyerをご利用いた だきありがとうございますが」
文字間に変なスペースがあること、ありがとうございますがという日本語が変なこと。
これだけで「フィッシング目的か?」とわかります。
こちらの記事でもフィッシングメールに散々ツッコミ入れていますので、参考にされてください。
・偽ドコモより重要なお知らせ
・慎重に扱う情報
多くの企業は、慎重に扱う必要がある個人情報や認証情報を安易に顧客に要求することはありません。
銀行やクレジットカード会社がメールや電話で、口座番号やクレジット番号、IDやパスワードを確認することはありません。
怪しいけど自分で判断ができないなら、サポートに直接問い合わせてみるのが近道です。 ただし、送られてきたメールに記載されている問い合わせ先からは絶対にやめましょう。
問い合わせをしたいなら正規の問い合わせ先でなければ意味がありません。
あなた自身のアカウントからログインしてインフォメーション等を探しましょう。
・違和感は正解
フィッシング目的だけでなく、迷惑メールやネットは詐欺師たちが跳梁跋扈(ちょうりょうばっこ)出来るとても便利なツールです。
「ん?変だな?」「えっ?!何?」と、ほんの少しでも違和感を覚えたら、それは正解。
おかしい・・・何か変だと感じているならそれが正解、大正解なんです、その先に進むのはやめましょう。
・【詐欺の予兆】えっなんで?!おかしいなともし感じたら【検索しよう】
自己防衛で対策を
詐欺に遇わない為には、自己防衛で対策をするしかありません。
- メールの管理
- ・身に覚えのないメールや添付ファイルは開かない
- ・メールはテキスト形式で受信する
- ・送受信するアドレスの整理を心掛ける
- ・メールのURLからアクセスしない
- ネットでの行動
- ・安易にサイトに登録しない
- ・安易に個人情報を入力、記入しない
- ・安易に個人情報を他人に教えない
- ・ファイルやアプリを無闇にダウンロードしない
- ・不審なWEBサイトは訪問しない
- ・SNSに貼られたリンクを踏まない
- ・利用していないアカウントの解約/退会
- お金の管理
- ・クレカの枚数や種類の把握
- ・クレカの利用明細のチェック
- ・いつどこで何を買ったのかを把握
- ・お金に関する補償について知る
- ・使わないカードや口座は整理する
フィッシングについて詳しくなろう。
一口に詐欺といってもその種類や手口は様々ですから、自己防衛といっても難しく感じるかもしれません。
フィッシングについて詳しくなったとしたら、他の詐欺にもその知識は応用出来ます。
個人情報をばらまかない
詐欺師たちの最終目的はお金です。
最終目的のために、今回の場合ならフィッシングサイトへ誘導するメールを送りますが、そのためにはメアドの入手が必要ですよね。
メアドの入手のために、気軽に登録してしまうような無料サイトがネット上にばら撒かれ、悪徳業者の間で入手したメアドが回ります。
今ならLINEやインスタグラムで、一般人に成りすました悪徳業や詐欺師が待ち構えているでしょう。
SNSは個人情報を手に入れる為の恰好の手段、安易に個人情報を他人に教えないことも対策のひとつです。
何かに登録したり、誰かに教えたりしない限りメールアドレスが悪徳業者にわたることはありません。
またネットに限らず、あなたが個人情報を記入した全てのものに、その可能性があります。
個人情報が法律で保護されているとはいえ、横流しや売買をする人間はいくらでもいます。
個人情報は、常に自分がバラ撒いているようなものなので、それが絶対に保護されるとは限らないだけです。
(※電話番号の場合は、適当に数字を押しても繋がりますから流失したとは限りません)。
また、ウエブサイトではなく、何らかの不正なアプリを利用した場合は、個人情報を抜かれている可能性があります。
無料だからといって、安易にアプリを利用するのも要注意です。
最後にもう一度。あなたを守るのはあなた自身、他の誰でもありません。
そしてご家族、特に高齢者は詐欺被害者になりやすいので、おじいちゃんおばあちゃんも気を配ってください。
この記事のまとめをQAにしています。
Q1: フィッシングメールの見分け方は?
A1: フィッシングメールを見分けるには、以下の点に注意してください。
- ・送信元のアドレス
- 正規の送信元アドレスと異なる場合があります。
- ・URL
- メール内のURLが、正規のウェブサイトのURLと異なっていないか確認してください。
- ・文面
- 不自然な日本語やスペルミスがないか確認してください。
- ・個人情報の要求
- 企業がメールで個人情報やパスワードを尋ねることは通常ありません。
Q2: フィッシングメールのURLをクリックしてしまったらどうすればいいですか?
A2: 万が一、フィッシングメールのURLをクリックしてしまった場合は、以下の対応を行ってください。
個人情報を入力してしまった場合は、すぐにパスワードを変更してください。
クレジットカード情報などを入力してしまった場合は、カード会社に連絡し、利用停止の手続きを行ってください。
不審なアプリをダウンロードしてしまった場合は、すぐにアンインストールしてください。
警察や消費者センターに相談してください。
Q3: PayPayを装うフィッシングメールには他にどのような手口がありますか?
A3: PayPayを装うフィッシングメールには、以下のような手口があります。
アカウントの利用停止を通知し、偽のログインページに誘導する。
PayPay残高の不正利用を通知し、個人情報を入力させる。
キャンペーン当選を通知し、個人情報やクレジットカード情報を入力させる。
Q4: フィッシング詐欺に遭ってしまった場合の相談窓口は?
A4: フィッシング詐欺に遭ってしまった場合は、以下の相談窓口に相談してください。
- 警察相談専用電話(#9110)
- 消費者ホットライン(188)
- 警視庁
- ・サイバー事案に関する通報等のオンライン受付窓口
- 警視庁
- ・フィッシング対策
- 一般社団法人 全国銀行協会
- ・金融犯罪に遭った場合のご相談・連絡先
- インターネット・ホットラインセンター
- ・フィッシング(フィッシング110番)
Q5: クレジットカードの不正利用に気づいたら、まず何をすればいいですか?
A5: クレジットカードの不正利用に気づいたら、まず以下の対応を行ってください。
カード会社に連絡し、利用停止の手続きを行ってください。
警察に被害届を提出してください。
カード会社に補償について確認してください。
Q6: 銀行口座から不正に出金された場合の対処法は?
A6: 銀行口座から不正に出金された場合は、まず以下の対応を行ってください。
銀行に連絡し、口座の利用停止手続きを行ってください。
警察に被害届を提出してください。
銀行に補償について確認してください。
Q7: フィッシング詐欺に遭わないための予防策は?
A7: フィッシング詐欺に遭わないためには、以下の予防策を講じてください。
- 不審なメールやSMSは開かない
- メールやSMSのURLは安易にクリックしない
- 個人情報やパスワードは安易に入力しない
- セキュリティ対策ソフトを導入
- 二段階認証を設定
- 常に最新のセキュリティ情報を確認
Q8: スマホでフィッシングサイトにアクセスしないための対策は?
A8: スマホでフィッシングサイトにアクセスしないためには、以下の対策を講じてください。
- OSやアプリを常に最新の状態にアップデート
- セキュリティ対策アプリをインストール
- 公共Wi-Fiを利用する際は、VPNを使用
- 不審なアプリはダウンロードしない
Q9: 普段からできるセキュリティー対策はありますか?
A9: 普段からできるセキュリティ対策としては、以下のようなものがあります。
- パスワードを使い回さない
- パスワードは複雑なものにする
- 二段階認証を設定をする
- セキュリティ対策ソフトを導入
- OSやアプリを常に最新の状態にアップデート
- 不審なメールやSMSは開かない
- 個人情報を安易に公開しない