PayPayがフィッシングに注意喚起、不審なメールのリンクは開かず、サービス連携の確認を

　PayPay株式会社は6月20日、PayPayカードをかたるフィッシングメールに対する注意喚起を行った。

　PayPayカードからの請求メールを装って他社サービスとの連携画面に誘導し、第三者の他社サービスのアカウントと連携させて、PayPayで支払いをさせる手口が確認されているとして、不審な請求メールを受信した場合やフィッシングメールかどうか判断できない場合は、メールに記載のリンク先を開かずに、PayPayカードの会員メニュ―から請求明細を確認するようにと呼び掛けている。

　また、PayPayアプリの［アカウント］内、［外部サービス連携］から連携しているサービスを確認し、心当たりのないサービス連携がある場合は、解除するように、との説明も行っている。

外部サービス連携解除の手順

　関連して、6月18日以降に「note」で公開された記事（後述）などにより、QRコードを読み取っただけでWINTICKET（競輪・オートレースのネット投票サービス）との連携が行われ、支払いが行われしまう事象（以降、「当該事象」と呼ぶ）が、SNSなどで話題となっている。あらかじめ外部サービス連携を確認していても、フィッシング詐欺にかかってサービス連携から支払いまでが一気に行われてしまう事象が起こり得るなら、サービス連携の確認はあまり意味がないのではないかとも考えられる。本件について、PayPay株式会社に問い合わせを行った。

　同社によると、当該事象は「スマートペイメント」という機能を悪用されたことが原因。この機能そのものは、一般ユーザーに広く知られたものではない。開発者向け情報が提供されており、「加盟店がPayPayへ遷移せずに、加盟店自身のUIにて様々なPayPayの機能を呼び出すことができる」という、要するにサービス連携や支払いのための手続きを簡略化できる機能で、WINTICKETなどごく一部のサービスで利用されていた。

　当該事象を受け、同社ではQRコードを用いたアカウント連携を停止し、別の方法でアカウント連携を行う際には、ハーフシート（画面下からポップアップのように表示されるメッセージ）により連携先が表示され、明確に実行の操作をしない限り連携されないように仕様変更を実施。あわせて、スマートペイメントに関するモニタリング強化も実施しており、当該事象のような詐欺による被害は、本記事の公開時点では発生しないとしている。

　また、当該事象のような詐欺被害は第三者による不正利用による被害であり、保障の対象になるとしている。

参考記事：

• 【追記ありx2】PayPayで一瞬にして73万円を騙し取られた話（1万円しかチャージしてなかったのに）｜Appliss
• PayPayのフィッシングが簡単すぎた話｜j416dy