QRコードを2回読み取っただけで、73万円を不正に引き出された──PayPay巡る被害に「怖すぎ」の声　その巧妙な手口とは

　突如として届いた、「PayPayカード」を名乗る請求メール。添付されたリンクを開いてQRコードを読み取ったところ、銀行口座から計73万円がPayPayアプリの残高として引き出され、勝手に使われてしまった――X上でこんな被害が報告され、注目を集めている。特徴的なのは、QRコードを2回読み取らせるだけで、残高を引き出したというその手口だ。

【画像】「PayPayカード」の請求メールを巧妙に偽装……確認された手口を見る（計13枚）

　被害を公表したXユーザーは、PayPay残高が1万円だったにもかかわらず、PC上に表示されたQRコードを読み取っただけで銀行口座から入金され、合計73万円が使われる被害に遭ったという。同ユーザーは6月18日にnoteで詳しい経緯を公開。noteには3000件以上のいいねが付いた他、X上で「怖すぎ」と反響が集まっている。

　noteの記事によれば、同ユーザーは18日、「PayPayカード」をかたる請求メールを受信。文面やデザインはPayPay公式を装ったもので、記載されたリンクを開くと、PC画面に2つのQRコードが表示され、PayPayアプリで順にスキャンするよう促されたという。

　指示に従ってQRコードを読み取ったところ、アプリ上には特に確認表示もないまま、銀行口座から6〜10万円ずつの出金が複数回実行され、PayPayの残高にチャージされた。直後、Appliss公式アカウントの管理者が操作していないにもかかわらず、競輪・オートレースの投票券を購入できるサービス「WINTICKET」への支払いが相次いで行われ、合計73万円を勝手に使われたという。

　オートチャージ機能はオフにしていたものの、チャージと支払いは止まらなかった。すぐに銀行口座の連携を解除したが、ほぼ全額が使われた後だったという。

●手口の再現、「簡単すぎ」？

　同ユーザーの投稿を受けて、実際に同じ手口が実行できるか検証した人物も登場。XユーザーのJ416DYさん（@j416dy）は19日に「PayPayのフィッシングが簡単すぎた話」と題し、実際にWINTICKETとPayPayを使った検証結果をまとめたnoteを公開した。

　WINTICKETはPayPayからの入金に対応している。J416DYさんは、WINTICKETのアカウントを作成し、連携用のQRコード2つを発行。それぞれをPayPayアプリで読み取ることで両アカウントが連携できることを確認した。さらに、WINTICKET上で支払い手段としてPayPayを選択すると、PayPay経由で残高にチャージできることも確かめた。

　残高が不足している場合でも「チャージして支払う」を選択すれば、銀行口座からの引き落としが実行される。そのためオートチャージ設定の有無にかかわらず、残高が引き出せたという。

　J416DYさんは、犯人があらかじめ本人確認済みのWINTICKETアカウントと出金用口座を用意し、フィッシングサイトを通じて他人のPayPayアカウントと連携させ、WINTICKETに残高をチャージした後、賭け金が返ってきやすそうな競輪・オートレースに投票し、払戻金を受け取る形で現金化していた可能性を指摘。QRコードを読み取るだけで連携が完了し、サービス名も連携完了後にしか表示されないといったPayPayの仕様に、セキュリティ上の問題があると警鐘を鳴らした。

　さらにJ416DYさんはITmedia NEWSの取材に対し、スターバックスのプリペイドカードや楽天競馬でも同様の連携挙動を確認したとして、「特に類似サービスの楽天競馬では、同様の被害が発生するおそれがある」との見解を示した。

　WINTICKETを運営するサイバーエージェントは19日、Webブラウザ版でのPayPay連携機能を一時停止。利用者の保護と被害拡大防止を目的に、メンテナンスを実施しているという。

　PayPay社も翌20日に「PayPayカードを騙るフィッシングメールにご注意ください」と注意喚起し、その中で「他社サービスとの連携による不正な支払いが確認された」と明らかにした。あわせて「PayPayならびにPayPayカードでは、アカウント連携やお支払い、送金・譲渡などのQRコードをメールで送ることはない」とし、フィッシングメールへの警戒を呼びかけている。

●PayPay社の対策状況は？　詳細を聞いた

　ITmedia NEWSがPayPay社に対し、事態への対処について聞いたところ、同社は今回の事案を18日に把握し、対応を開始したと回答。被害件数や総額は現在も確認中としている。

　同社は2つのQRコードを使った連携方式について、2つ目のコードの表示時間を10秒程度に制限するなど、一定の安全性を確保する仕組みも取り入れていたとしている。しかし、今回突破されたことを受け、QRコードを用いた認証方式は廃止。WINTICKETとの新規連携も停止したという。

　今後は、同様の連携方式に関するモニタリング体制を強化。AIと専門スタッフによる監視を組み合わせ、不正が疑われる場合にはアカウント停止を含む対応を行っていくという。

　被害を受けたユーザーに対しては「第三者による被害であると確認された場合、PayPayが用意する補償制度の対象となる」としており、申請フォームからの申告を呼びかけている。必要に応じて警察や関係機関との連携も図っていく方針だ。

　J416DYさんによるスターバックスのプリペイドカードや楽天競馬でも同様の問題が発生する可能性の指摘については「両サービスにおけるPayPayとの連携仕様は把握していない」とした上で「現時点で同様の被害は起きておらず、セキュリティ対策の見直しにより、今後も発生しない設計になっている」と回答した。

　またサイバーエージェントも、社内での不正利用モニタリングを強化すると共に、「不正利用が確認された場合は、該当の利用アカウントに対し、速やかに凍結の対応を取る」とコメントした。

　なお、被害を公表したXユーザーは6月20日、noteの記事に追記し、再びPayPayを装ったフィッシングメールを受信したと明らかに。今回はWINTICKETとの連携ではなく、単純な支払用QRコードを表示し、それを通じて支払いを促すものだったが「QRコードをスキャンするだけでお金を奪われるリスクは、今も残っている」と警鐘を鳴らしている。

【編集履歴：2025年6月21日午前10時10分　追加取材に基づき、本文中の表現を一部修正いたしました】