QRコード決済の普及で多くの人に愛用されているPayPayですが、クレジットカード不正利用や銀行口座からの不正引き落としなど、金融詐欺の標的にもなりやすいため注意が必要です。
警視庁やフィッシング対策協議会の発表によると、2024年にはPayPayを含むQRコード決済を悪用した「返金詐欺」の被害報告が全国的に増加しました(参考)。さらに2025年に入ると、グループ請求詐欺やチケット詐欺など、より多様な手口が急増しています。
「自分は大丈夫」と思っていても、詐欺師の手口は年々巧妙化しており、少しの油断が思わぬ被害につながることも少なくありません。そのため、PayPay側での対策を待つよりも、ユーザー自身でセキュリティ意識を高く保つ必要があります。
そこで、実際に増えているPayPay詐欺の手口と、今すぐできる効果的な対策について詳しく解説していきます。ただし、どんなに対策をしても一番大事なのは私たち消費者のリテラシーやセキュリティへの意識です。設定を行ったからといって万全だとは思わず、利用明細をなるべく細かくチェックするなど、日々のセキュリティ意識を高めることが大切です。
急増中!PayPay詐欺の巧妙な手口とは
PayPay詐欺は色々なネーミングがされていてわかりづらいかもしれませんが、要はフィッシングに属する詐欺行為と言えます。そのため、心当たりのない請求が届いても冷静に対処することが重要です。
特に2025年6月以降、新たな手口として「外部サービス連携を悪用した詐欺」が登場し、従来の手口よりもはるかに危険度が高くなっています。実際にどのような手口があるのか、詳しく見ていきましょう。
1. 最多被害!本物そっくりのフィッシング詐欺
最も多く報告されているのがフィッシング詐欺です。SMSやメールで「PayPayアカウントに異常が検出されました」「返金処理のため確認が必要です」といった緊急性を装った連絡が届き、本物そっくりの偽サイトへ誘導されます。
特に注意したいのは次のようなパターンですね。
- 返金詐欺: 「誤って課金されました、返金手続きをお願いします」
- チケット詐欺: 「コンサートチケットの決済に問題があります」
- グループ請求詐欺: 「飲み会代の支払いをお忘れではありませんか?」
これらの手口に共通するのは、「急いで対応しなければ」という心理につけ込むことです。実際にチケット詐欺では、メールのリンクから決済情報を確認しようとしたことで不正利用へと持ち込まれてしまったケースが報告されています。
冷静な時には「自分は引っかからない」と思いがちですが、フィッシング対策ソフトや二段階認証設定をしていないと、被害のリスクは想像以上に高まります。フィッシング協議会によると2024年10月以降、PayPayをかたるフィッシングサイトの報告数は約3倍に増加しており(参考)、実際には多くの人が被害に遭っています。
いざ自分がその立場になると急いで確認したいという気持ちが強く出てしまい、メールに添付されたリンクを踏んでしまうのがフィッシング詐欺の恐ろしいところです。冷静に考える時間を与えずに、ログイン情報や個人情報を入力させようとしてきます。
2. 突然の請求!グループ請求・割り勘詐欺
PayPayの送金機能や割り勘機能を悪用した詐欺も増えています。PayPayには送金相手を簡単に見つけられるように、登録した携帯電話番号やPayPay ID、電話帳を参照して第三者を検索する機能があります。LINEの友だち検索みたいな機能と思えばわかりやすいでしょうか。
これを悪用すると、適当な電話番号を入力して知らない相手に請求リクエストを送信できてしまうんです。実際にSNSでは以下のような被害報告が急増しています。
実際の被害報告(SNSより)
- 「PayPay怖すぎる😱😱 全く知らない他府県の人に勝手にグループメンバー(2人)に入れられて割り勘請求来た。拒否出来たから良かったけど。調べたら勝手に引き落とされたりあるらしい‥💦」
- 「PayPayやばい…記憶にない人から突然グループ請求が来た。検索機能をオフにしておかないと危険」
よくある詐欺メッセージの例
- 「〇〇さんとの飲み会代 3,000円」
- 「△△のチケット代金 8,500円」
- 「先日の食事代 1,500円」
- 「旅行代の精算 5,000円」
これらの請求は、もっともらしい理由で送られてきますが、心当たりがない場合は絶対に応じてはいけません。最も怖いのは「拒否したはずなのに引き落とされた」という報告もあることです。
3. 【最新・最危険】外部サービス連携を悪用した詐欺
2025年6月以降、PayPayの「スマートペイメント(外部サービス連携)」機能を悪用した詐欺が確認され、従来型よりもはるかに危険度が高いとされています。PayPay公式は同月、被害拡大を受けて一部サービス(例:WINTICKET)との連携を一時停止する措置を発表しました(参考)。
実際に、PayPay残高が1万円しかなかった被害者が73万円もの被害に遭った事例が報告されています。具体的な手口の流れは次のとおりです。
- 偽のPayPayカード請求メールが届く(例:「利用確定金額45,000円」)
- メール内の「アプリで請求明細を確認する」ボタンをクリック
- 偽のサイトに誘導され、「詳細確認用」としてQRコードが表示
- PayPayアプリでQRコードを読み取ると、ログインを求められる
- ログイン後、さらにもう1つのQRコードを読み取るよう指示される
- 2つ目のQRコードを読み取った瞬間、外部サービス(WINTICKET等)とPayPayが連携される
- オートチャージ設定をしていなくても、銀行口座から次々とチャージされ、外部サービスで決済が実行される
PayPayと外部サービス連携はなぜこんなに危険なのでしょうか?これは個人資産防衛や電子マネー安全性の観点からも重要な問題です。そのため、主な理由は把握しておきましょう。
- 外部サービスとの連携により、犯人側に強い権限が付与される
- オートチャージ機能をオフにしていても、連携サービス経由で銀行口座から直接チャージ可能
- 「残高不足→チャージ→決済」を繰り返すため、預金残高に応じて被害が拡大
- 一度連携されると、短時間で連続して高額な決済が実行される
この手口を受けて、PayPayは緊急で注意喚起を発表し、WINTICKETとの連携を一時停止する措置を取りました。しかし、PayPayと連携できる外部サービスは他にも多数存在するため、犯人が別のサービスを使って同様の攻撃を仕掛けてくる可能性は十分にあります。
4. 国外からの大規模フィッシング攻撃「CoGUI」
2025年前半、日本国内のスマホ決済ユーザーを狙った新たな脅威として「CoGUI(コグイ)」と呼ばれるフィッシング攻撃が確認されました。これは、中国系の攻撃者グループが開発したとみられるフィッシングキットを使い、PayPayを含む日本企業のブランドを模倣して不特定多数に詐欺メールを送りつけるものです。
セキュリティ企業Proofpointの調査によると、このキャンペーンでは数億通規模のフィッシングメールが短期間で配信され、その多くが「アカウントに異常がある」「支払いが確定した」など緊急性を装った内容でした(参考)。
メールに記載されたリンクをクリックすると、本物そっくりに作られた偽のログインページに誘導され、PayPayやその他サービスのアカウント情報、パスワード、場合によっては二段階認証コードまでも詐取されます。特徴的なのは、この偽サイトが非常に短いサイクルで作り替えられるため、URLブロックなど従来の対策が追いつきにくい点です。
さらに、CoGUIの手口は単にログイン情報を盗むだけでなく、盗んだ情報を即座に自動化された決済や送金に利用するため、被害が発覚した時にはすでに高額な取引が完了しているケースもあります。国内だけでなく、アジア太平洋地域全体で被害が報告されており、国境を超えたサイバー犯罪の一例と言えるでしょう。
このような国際的な攻撃から身を守るためにも、個人情報漏洩防止サービスやサイバー保険の活用も含めた多層防御が有効です。また、前述の「リンクを踏まない」「公式アプリからのみ確認する」という基本を徹底し、少しでも不審な連絡が来たら即座にアクセスを中止することが重要です。
5. 口座紐づけを狙った被害拡大
PayPayに銀行口座を紐づけている場合、不正アクセスされた際の被害が格段に大きくなってしまいます。前述した外部サービス連携詐欺でも、銀行口座の紐づけがあったために被害が拡大したケースが報告されています。
チャージ上限が高くなるため、詐欺師にとっては格好のターゲットになるんですよね。必要最低限の情報だけを紐づけるか、できれば決済専用のネットバンク口座を別途作成して管理するのが安全です。
今すぐやっておきたい!PayPay必須セキュリティ設定
ここからは、PayPay詐欺から身を守るために絶対に設定しておきたい項目を紹介していきます。PayPayを使っている人は、必ずこれらの設定を見直してください。
1. アプリから取引履歴を確認する習慣をつける
基本中の基本ではありますが、PayPay公式アプリの「取引履歴」から決済情報を確認することを徹底してください。メールやSMSに記載されているリンクから取引を確認するのは非常に危険です。
取引履歴を確認するには、PayPayアプリのホーム画面にある「取引履歴」をタップするだけです。
週に1回もしくは月に1回程度は必ず履歴を確認して、取引がどこから確認できるかということの把握と、何かおかしいと思ったらまず初めにここで確認するよう徹底しましょう。フィッシング詐欺を防ぐための超基本でありながら奥義でもあります。
2. プッシュ通知を必ずオンに設定
PayPayでは支払いを行った際に、支払いが完了したことをお知らせする通知を受信できます。決済が発生した瞬間に通知が来るよう設定しておくことで、不正利用をいち早く察知できます。
決済が完了した時にどこからどういう通知が入るかという一連の流れを自分自身で毎回確認することが、フィッシングメールへの疑いを持たせてくれる第一歩となり得るので、プッシュ通知をオンに設定しておくことをお勧めします。
プッシュ通知を設定するには、画面右下の「アカウント」を開き、「通知設定」をタップします。表示された設定画面で「重要なお知らせ」をオンにします。
支払いが完了するとその瞬間の通知が届き、心当たりのない支払いに対して素早く反応することができます。なお、「お得な情報」に関してはキャンペーンやクーポンに関する情報なので、通知の量を絞りたいという場合にはオフに設定しておきましょう。
3. 送る・受け取る設定の見直し
知らない人からグループ請求などが届かないよう、PayPayユーザーの検索設定を見直しましょう。
前述したように、PayPayには送金機能がありますが、送金相手を簡単に見つけられるように登録した携帯電話番号やPayPay ID、電話帳を参照して第三者を検索することができます。これを悪用すると適当に電話番号を入力して知らない相手に請求リクエストを送信できてしまいます。
プッシュ通知を設定するには、画面右下の「アカウント」を開き、「送る・受け取る設定」をタップします。表示された設定画面で次の項目を確認してください。
- 携帯電話番号の検索を有効にする:オフ
- 連絡先からの検索を有効にする:オフ
- PayPay IDの表示と検索:必要に応じてオフ
こうすると適当な電話番号を入力して不正な請求リクエストが送られるリスクをかなり低くしてくれます。
なお、「PayPay IDの表示と検索」は、割り勘など送金の機会がある場合にはオン、そうでない場合にはオフにしても問題ありません。また、「PayPay IDの検索を有効にする」という名称になっている方は、PayPay IDがまだ設定されていませんので、こちらから任意のPayPay IDを設定することもできます。
ただし、友人との割り勘などで送金機能を使う機会がある方も、PayPay IDを公開状態にしておくことで詐欺のターゲットになるリスクが高まることを十分理解しておいてください。必要な時だけオンにして、使わない時はオフにするなど、こまめな設定変更を心がけることが大切です。
4. 利用限度額を自分の使い方に合わせて制限
PayPayが不正利用された時の被害を最小限に抑える役割として、利用限度額の制限も重要です。PayPayでは利用限度額が次のように設定されています。しかしこの金額は、ライトユーザーにとっては少々大きめなんですよね。
PayPayで初期設定されている利用限度額
- 本人確認済み: 1日5万円/月30万円
- 本人確認なし: 月10万円
セキュリティを最優先に考えるなら、普段の利用状況に合わせてできるだけ低い金額に設定しておくのがおすすめです。「ちょっと不便かも」と感じるくらいの設定でも、詐欺被害を考えれば十分に価値のある対策です。どうしても高額な決済が必要な場合のみ、その都度設定を変更するという使い方が安全ですね。
利用限度額を変更するには、アカウントメニューの中から「利用可能額の設定」を開いてください。「支払い」「友だちに送る」「チャージ」の3項目があるので、まずは「支払い」のスイッチをオンにします。
オンにすると1日あたりと1ヶ月あたりの利用可能額を選択できるようになります。それぞれの項目を選択し、設定する金額を選択して「閉じる」をタップします。普段あまり高額な決済をしない方は、初期設定よりも制限を厳しくしておくと安心です。
金額を設定できたら「設定する」をタップします。すると、取引途中で限度額に達した場合の設定が表示されます。 これは、取引の途中で利用可能額に達した場合の対応を設定する項目です。例えば、残り1,000円しか使えないのに2,000円の買い物をした場合にどうするかという設定です。
「取引を一時保留する」を選んでも、利用可能額を変更して取引を続けるか取引をキャンセルするかのいずれかを選択することができるだけなので、それによって不正利用額が大幅に減るということはありません。よって、ここは任意で選択しましょう。
あとは、「友だちに送る」「チャージ」もオンにして同様に設定してください。
5. 外部サービス連携の定期的な見直し
最新の詐欺手口を受けて、特に重要になったのが外部サービス連携の管理です。現在連携している外部サービスを確認し、次の点をチェックしてください。
- 身に覚えのない連携がないか確認
- まったく使っていないサービスとの連携は解除
- 必要なサービスのみ連携を維持
なぜこれが重要かというと、外部サイトがハッキングされたり、今回のような詐欺で悪用されたりした場合、そのサイトを通じてPayPayが不正利用される可能性があるからです。利用していない連携があれば、迷わず解除して下さい。
外部サービスの確認・解除は、アカウントメニューの中から「外部サービス連携」を開きます。連携されている外部サービスが表示されるので、不要なものは「解除する」をタップし、画面の指示に従って解除します。
6. 本人確認の完了
PayPayの規約では、不正利用された場合の補償は本人確認をしているアカウントが前提となっています。まだ本人確認をしていない方は、必ず完了させておきましょう。
アカウントメニューの上部に「本人確認済み」と表示されていれば本人確認が済んでいます。逆に、「本人確認がまだ完了していません」と表示されている場合は、本人確認が完了していません。この場合は、このメッセージをタップし、表示された画面の指示に従って本人確認を完了させてください。
7. 端末認証の有効化
端末での生体認証も設定しておきましょう。この機能をオンにすると、PayPayを使うたびに本人認証(Face IDや指紋認証)が必要になります。これにより、スマホを紛失したり、誰かに勝手に操作されたりした場合の不正利用を防ぐことができます。
端末認証の設定は、アカウントメニューの中から「セキュリティとプライバシー」を開きます。「端末の認証を有効にする」をオンにし、画面の指示に従って生体認証を行います。認証が通れば、次回からPayPayを使う際に生体認証が必要になります。
8. 銀行口座の紐づけは最小限に
PayPayだけに限った話ではありませんが、インターネットサービスに銀行口座を紐づける際は慎重に判断しなければなりません。
銀行口座を紐づけると口座から直接チャージしたり、オートチャージの設定が行えたり、PayPay銀行に出金したりできます。当然一定のメリットはあるものの、自分にとってそのメリットが強く感じられる場合でないと口座の紐付けはおすすめできません。
前述しましたが、銀行口座の紐づけは被害拡大のリスクを高めます。PayPay側でも不正利用に対する対策を講じてきていますが、残念ながら大半の方がフィッシングにより自らログイン情報などを提供してしまっています。
そうなると対策を取ることが難しくなってしまうので、サービスのセキュリティレベルに依存するのではなく、必要な情報のみを紐づける、自分でセキュリティ対策をするといった能動的な意識が必要です。
どうしても必要な場合は、次の点を十分に検討してください。
- メインバンクを簡単に紐づけない:生活費が入っている主要口座ではなく、決済専用の口座を作成
- サービス専用でネットバンクを新規開設:そういったサービス専用で新たにネットバンクを開設してそれを紐づけるのが被害を拡大させないための第一歩
- 定期的に残高と利用状況をチェック:ネットバンクで残高を細かく管理できる口座を選択
なお、新たに口座を開設するのが困難という場合には、安直に銀行口座を紐づけるべきではありません。詐欺被害にあった時の被害額も拡大したり、新たに口座開設するのが面倒だったりと、単純に手続きの面倒さもかなりネックになります。どうしても紐づける場合は、預金保険制度やインターネットトラブル保険の内容を確認し、万一の被害時に備えておくことも重要です。
繰り返しますが、安易に大きな金額が入っている口座を紐づけるのは避けましょう。
一番大切なのは「自分で守る」意識
どんなに完璧な設定をしても、最終的に重要なのは利用者自身のセキュリティ意識です。次の内容は絶対に守りたい鉄則ですので、常に心がけてください。
- メールやSMSのリンクは踏まない、必ず公式アプリで確認
- 心当たりのない請求には絶対に応じない
- 急かされても一度冷静になって考える
- 疑わしい連絡には即座に反応しない
「このメッセージ、何か変だな?」と感じたら、まずは公式アプリで取引履歴を確認してみてください。本当に問題があれば、アプリ内で確認できるはずです。
まとめ:今すぐできる対策で安全なPayPayライフを
便利は不便の始まりという言葉にもある通り、スマホのキャッシュレス決済が拡充したことにより、求められるセキュリティへの守備範囲も広くなりました。また、こうした脅威は国内にとどまらず、アジア太平洋地域全体に広がっています。国境を越えて情報が盗まれる可能性があることを踏まえ、日常的なセキュリティ意識を持つことが何より重要です。
デジタル社会において個人情報を守れるのは自分自身しかいないため、金融詐欺対策・クレジットカード不正利用防止・消費者保護法の理解を日常的に意識し、不正請求などに対して最低限身構えておく必要があります。PayPayは便利なサービスだと思いますが、その手軽さゆえに詐欺のターゲットになりやすいのも事実です。
しかし、今回解説した対策を実践すれば、詐欺被害のリスクを大幅に減らすことができます。これらの設定は一度やってしまえば継続的に効果を発揮してくれるので、面倒がらずにぜひ今すぐ設定してみてください。この記事を読んだ今が一番被害を防げるタイミングです。
また、詐欺被害は他人事ではありませんから、この知識はぜひご家族や友人にも共有していただければと思います。大切なのはセキュリティに対する意識です。
