受信メールのリンクをクリックしてはいけない理由——PayPayで73万円を騙し取られた実例から学ぶ

この記事の内容

  • PayPayを使ったフィッシング詐欺の実例を紹介します
  • 残高1万円のアカウントから銀行口座経由で73万円が引き出された手口を解説します
  • メールのリンクをクリックすることの危険性を改めて考えます
  • 被害を防ぐための具体的な心がけをお伝えします
  • QRコード決済を安全に使うための考え方を紹介します

73万円を騙し取られた話

PayPayで残高が1万円しかないにもかかわらず、銀行口座から73万円が勝手に引き出されてしまった——そんな実例が話題になっています。

きっかけは「PayPayカードからのメール」でした。そのメールは公式のデザインと瓜二つで、請求金額など気になる内容が書かれていました。被害者はメール内のリンクをクリックしてしまい、その先のページに表示された2つのQRコードをPayPayでスキャンしてしまいました。その結果、銀行口座から繰り返しチャージされ、次々と支払いが行われ、73万円もの被害が発生しました。

なお、この記事で取り上げている手口は現在すでに対策が施されており、全く同じ方法での詐欺はできなくなっているとのことです。しかし、同様の被害は誰にでも起こりうるため、改めて注意喚起しておきたいと思います。

最初の落ち度は「メールのリンクをクリックしたこと」

この事例の振り返りとして「QRコードを安易にスキャンしたのが悪かった」「PayPayへの理解が足りなかった」という自己分析がされていますが、本質的な問題はそこではありません。

最初の落ち度は、メールを開いてリンクをクリックしたことです。

メールが届く→リンクをクリックする——この最初のステップが間違いでした。それ以降の展開は、最初の一手を踏み外したことによる結果に過ぎません。

メールは「基本的に開かない」時代になっている

現代においては、メールは基本的に開かなくてよいものと考えるべきです。フィッシングメールは山ほど届きます。楽天カードやメルカリなど、いかにも公式らしいデザインのメールが来ても、それを開いてリンクをクリックする必要はありません。

メールを開いてよいのは、以下のような条件が重なるときだけです。

  • 差出人が明確に分かっている
  • タイトルを読んで内容が把握できる
  • 自分がそのやり取りを起点として期待していた返信である

たとえば、自分でMicrosoftに問い合わせをした後に届く返信、あるいは通っているスクールからのレッスン連絡など、「このタイミングでこの差出人から来るはずだ」と分かっているものだけを開くようにしましょう。

それでも完全にリスクがゼロになるわけではありません。なりすましは巧妙になっていますが、それでも「受動的にメールを開く」習慣をやめるだけで、被害に遭うリスクは大幅に下げられます。

もし気になる内容のメールが来てしまったら

どうしても気になる内容のメールが届いた場合でも、メール内のリンクは絶対にクリックしないでください。

代わりに次の手順を取りましょう。

  1. メールは閉じる
  2. ブラウザで検索エンジンを開く
  3. 公式サービス名で検索して公式サイトを探す
  4. 公式サイトから直接ログインして確認する

また、リンク先URLを確認することも有効です。本物のPayPayであれば、URLは正規のドメインになっているはずです。似た文字列を使った偽ドメインが使われるケースもあるため完璧ではありませんが、一つの判断材料になります。

HTMLメールの歴史と現代の危険性

インターネット初期の頃、メールはテキスト形式が主流でした。HTMLメールが登場した当初は「セキュリティ意識のない危険な設定だ」と見なされており、テキスト形式のみで受信する設定が推奨されていました。

しかし、いつしかHTMLメールが当たり前になり、現在に至っています。

かつてはインターネットで買い物する機会も少なく、被害が広がりにくい構造でした。しかし今は、スマートフォンのアプリからQRコードをスキャンするだけでお金が動き、銀行口座やクレジットカードと簡単に連携できる時代です。危険性はかつての比ではありません。

QRコード決済を安全に使うために

今回の事例では、PayPayと銀行口座が連携していたため、被害額が膨らみました。QRコード決済を使う場合は、以下のような対策を検討しましょう。

  • 銀行口座との連携を避ける: 直接チャージ方式にすることで、被害の上限をチャージ残高に抑えられます
  • 上限額を設定する: チャージ上限を設定して、万一の場合の損失を最小化します
  • ITリテラシーに不安がある方にはQRコード決済を勧めない: クレジットカードであれば不正利用時にカード会社が保証してくれる可能性がありますが、QRコード決済は保証が受けられないケースも多いです

まとめ

PayPayで73万円を騙し取られた事例から学べる最大の教訓は、「メールのリンクをクリックしない」という一点に尽きます。

  • メールは基本的に開かない
  • どうしても開く場合も、リンクは絶対にクリックしない
  • 気になる内容があれば、公式サイトに自分でアクセスして確認する
  • QRコード決済は銀行口座との連携を避け、チャージ残高の範囲内で使う

どんなに注意していても、完全に狙われたら防ぎきれないこともあります。しかし、「来るものはすべて疑う」という基本的な姿勢を持つだけで、被害に遭うリスクは大きく下げることができます。メールのリンクはクリックしない——ぜひこの一点を日々の習慣として意識してみてください。