【追記ありx2】PayPayで一瞬にして73万円を騙し取られた話(1万円しかチャージしてなかったのに)
追記あり(6/19)
追記あり(6/20)
PayPayを利用した巧妙な詐欺被害に遭ってしまい、73万円もの大金を失ってしまいました。
同じような被害が広がるのを防ぐため、何が起きたのかを共有させてください。まさか、こんなにも簡単に大金が奪われてしまうなんて、想像もしていませんでした。誰にでも起きる可能性があるので家族にも教えてあげてください。これは下手したら人生詰みます。
一体何が起きたか
残高1万円しかないPayPayで、QRコードをスキャンしただけで銀行口座から73万円が勝手に引き出され、無くなってしまいました。
きっかけはPayPayカードからのメール
「PayPayカード」という一見本物と区別のつかない差出人から、45,000円の請求金額確定のお知らせメールが届きました。その金額が絶妙に「こんなに使ったっけ?」と思わせる金額だったこと、そしてメールのデザインが公式のものと見分けがつかなかったことから、「請求明細を確認する」というリンクを押してしまいました。
QRコードのスキャン
パソコンで開いたリンク先のサイトには、2つのQRコードが表示されていました。
左側をスキャンすると右側もスキャンするように促されます。
PayPayを普段使い慣れていない私は、「ログインに必要な認証なのだろうか」と安易に考えてしまい、アプリでQRコードをスキャンしてしまったのです。
次々と奪われていくお金
QRコードをスキャンしてもパソコン画面では何も起きず、PayPayアプリ側でも特に説明や確認画面は表示されませんでした。
不審に思っていると、紐付けられた銀行から「出金のお知らせ」メールが次々と届き始め、慌ててネットバンクを確認すると、身に覚えのない金額(6万円〜10万円)が、次々と自分のPayPayアカウントに送金されているではありませんか。
さらにPayPayアプリ側では、送金されたチャージを使って、操作をしていないのに全く見覚えのない支払いが次々とされていく様子が目の前で繰り広げられました。
必死になってPayPayに登録している銀行口座の紐付けを解除しましたが、気づいた時には既に手遅れで、入金されたほぼ全ての残高が失われていました。(オートチャージ設定はオフにしてあるにも関わらず)
もし銀行口座の紐付けを解除していなかったら、73万円を超えて一体いくらまで引き出されていたのか、想像もつきません。
現在の状況
その後、すぐに警察に被害を相談し、PayPayの補償審査窓口にも連絡しました。現在はPayPayからの返答を待っている状況なので、進展があり次第追記いたします。
今回の件から見えたPayPayの問題点と自身の落ち度
今回の詐欺被害を通して、PayPayのセキュリティ対策における問題点と、自身のセキュリティ意識の低さを痛感しました。
PayPay側の問題点
QRコードの説明がない: 今回、PayPayアプリでQRコードをスキャンする際、そのQRコードが具体的にどのような処理を行うのか、アプリ側にも明確な説明や注意喚起が一切ありませんでした。今回のケースのように、銀行口座からの引き落としや高額な支払いにつながる可能性があるにも関わらず、スキャン前にそのリスクを認識することが極めて困難です。
権限の過剰付与: QRコードをスキャンするだけで、利用者の銀行口座から自動的に引き落としを行ったり、高額な支払いを行ったりする権限を付与してしまう仕組みは、セキュリティ上のリスクが非常に高いと言えます。
自身の落ち度
安易なQRコードのスキャン: 見慣れないサイトで安易にQRコードをスキャンしてしまったことは、最大の過ちでした。QRコードのスキャンは、とてもリスクの高い操作であることを認識しておくべきでした。
PayPayへの理解不足: そもそも残高が1万円だからそれ以上の被害はないだろうと思っていました。スキャンしただけでここまで権限を許してしまうPayPayの仕様への理解不足が、今回の詐欺被害に繋がったと深く反省しています。
最後に
PayPayは確かに便利なサービスですが、その手順があまりにもシンプルすぎるがゆえに、私のような被害者が今後も増え続けるのではないかと、強い不安を感じています。例えば、お店の支払いで提示されるQRコードが、本当に正しいものなのかどうか、今の私には判断する自信がありません。
PayPayの運営には、どうかこの深刻な問題に真摯に向き合い、私のような悲しい思いをする人が二度と出ないよう、早急かつ抜本的な対策を講じていただくことを、心から切に願います。
追記(6/19)
今回の記事を見て、検証してくださった方がいらっしゃいました。
技術的なことは分かりませんが、ここでの読み取り画面のデザインやQRコードの読み取り挙動(何の確認もなく2つのQRコードがスキャンされる)はまさに私が経験したものと同じでした。
PCで上記画面を表示しつつ、スマホでPayPayアプリ→スキャンを行うと、QRコードが切り替わり、「QRコード2」をスキャンするように誘導されます。
スマホ側は、QRコード読み取り画面を継続して表示します。(SS忘れ)
幸い現在この機能は停止されたようですので、同じ目に遭う人がいなくなることを願うばかりです。
追記(6/20)
気をつけてください!WINTICKETのPayPay連携機能は現在停止していますが、手法を変えまだこの詐欺行為自体は続いているようです。
本日、同様のフィッシングメールが届きました。
金額が前回と変わっています。
WINTICKETの連携機能は停止されているので同じ手法のフィッシング詐欺は難しいはずです。一度痛い目に遭っているのに同じことをするなんて非難されて然るべきですが、今回は被害啓蒙と知見共有のためにリスクの少ない別のPCとブラウザを用意して内容を確認してみました。
皆さんはくれぐれも真似しないでください。
リンクを確認すると数秒おきに交互に切り替わっています。
おそらくリンク先のQRコードの有効期限が有効なタイミングとそうでないタイミングで切り替えているようです。
リンク先の画面ではやはりQRコードが表示されていますが、前回とは内容が少し異なっています。
前回一切表示されていなかった事業者名や支払い文字が確認できます。WINTICKETとの連携が停止された影響か、単純な支払い用のQRコードを表示する手法に変わっています。
99,000円というのも上限額ギリギリの設定でしょうか。
↓こちらは私が引っかかってしまった前回の画面です
今回のように金額も書いてある画面であれば、違和感に気づくことはできそうですが、それでもいまだPayPayアプリでスキャンするだけで一瞬でお金を奪われるリスクは存在しています。
身近な方への注意喚起をどうかよろしくお願いします。
コメント
8>全部ちゃんと読んでないのですが
全部ちゃんと読んでないからそんな頓珍漢なコメントをしてるんだろうなあとしか。
大変な体験を共有していただきありがとうございます。とても危険ですね。やはりメールのリンクはURLアドレスを確認してから開くべきなのは原則としてありますね。
しかしそもそもPayPayではQRコード読み込みで紐付けた銀行口座からチャージができてしまっていたというのは驚きです(そのようなQRコードを第3者が作成可能というのも)。しかも一回の読み込みで連続して何回もチャージが行われてしまったように読めましたが、それが更に驚きです。
大げさな例えかもしれないけど
「霊感商法の幸せになれるツボを、現金で簡単に買えてしまった。財布から札束を出すアクションが求められたが、それが支払いにつながるのかどうかよくわかってなかった。
これについて造幣局は真摯な気持ちで対策をして欲しい。」
と言っているようにしか聞こえなかった。
これただの古典的なフィッシング詐欺では…?
追記:認証の仕方とかUIが微妙っていうのはわかってる。ただ、これ記事書いてる本人がフィッシング詐欺に引っかかったってことを認識できてなくて、PayPayが悪い!な感じだから、これまた今後同じような詐欺に引っかかると思うよ。いくら技術が進歩したって、セキュリティホールはつきものなんだから。
この情報リテラシーの低さを問題として取り上げて啓蒙していくのが一番大事なんじゃないのって思っているよ。
今回はフィッシングでしたが、普通にヤバい悪用もできます。
例えば街のお店でこのQRコードを読み取って1000円支払ってくださいね。と言われた時に今回のようなQRコード(2個読み込ませないといけないので演技が必要だが)を読み込むだけで、チャージ&決済権限を渡せてしまうのです。
こういう時って大抵「〇〇に権限を渡しますか?」みたいなダイアログが出るのでそれで気づけるのですが、今回はそれがないのでヤバさが倍増しているのです。
WINTICKETはメンテナンスで塞がれましたが、別アプリでは引き続きこの連携手法が運用されていましたので注意が必要です。(別アプリのサポート側には事例を連絡してあります)