メールのボタンをタップした瞬間、PayPayアプリが勝手に起動して送金画面が表示される。そんな詐欺メールが2026年3月以降、急激に増えています。日本年金機構や楽天カード、電力会社など実在の機関を装い、「差押予告」「未払い請求」といった言葉で焦らせてPayPayへの即時送金へ誘導する手口です。
フィッシング対策協議会も緊急情報として注意を呼びかけており、SNS上でも被害報告が相次いでいます。この記事では、なぜタップだけでPayPayが起動するのか、どうやって見破るのか、そして誤って送金してしまった後の対処フローまで、順を追って解説します。
この詐欺メールとは何か?
届いたメールが詐欺かどうか判断する前に、まずどんなメールなのかを知っておく必要があります。手口の全体像を把握することで、冷静に対応できます。
どんな件名・差出人のメールが届くのか?
詐欺メールの件名には、不安を煽る言葉が必ず含まれています。
代表的な件名の例は次の通りです。
【重要】差押予告通知書 未納保険料について(日本年金機構)
【最終確認】ご請求金額のお支払いが未完了です。PayPayにてお手続きをお願いします。
【お支払いのお願い】未払い料金が発生しております。3日以内にPayPayでお支払いください。
3月分通信料金の引き落としに失敗しました。期日までにPayPayでオンライン決済をお済ませください。差出人の表示名は「日本年金機構」「楽天カード」など本物の名称がそのまま使われています。ただし、送信元のメールアドレスのドメインは全く無関係のものになっています。
メール文面にはどんな内容が書かれているのか?
メール本文には「納付期限までに未納保険料を全額納付しない場合は財産を差し押さえる」といった、強い言葉が並んでいます。
読んだ瞬間に「大変なことになる」と思わせるのが目的です。冷静に考える時間を与えないまま、ボタンをタップさせることだけを狙っています。
文面の末尾には「今すぐ納付」「今すぐ支払う」などのボタンが配置されており、そのボタンをタップした瞬間にPayPayアプリが起動する仕組みになっています。
対象になりやすいのはどんな人か?
PayPayを日常的に使っている人ほど危険です。「本物のPayPayアプリが起動した」という事実が、詐欺への疑いを薄めてしまうからです。
また、楽天カードや電力会社は実際にPayPayでの支払いに対応しているケースがあります。そのため、「この会社ならPayPayで請求してきてもおかしくない」と思い込みやすい側面があります。新生活が始まる時期や判断力が落ちやすい大型連休前後は、特に狙われやすいタイミングです。
タップした瞬間にPayPayが起動するのはなぜか?
「ブラウザも何も経由していないのに、なぜアプリが起動するの?」と疑問に思う方は多いはずです。この仕組みを理解しておくことが、詐欺に気づく第1歩になります。
アプリ直接起動を可能にする仕組みとは?
スマートフォンには「URLスキーム」や「ディープリンク」と呼ばれる技術があります。簡単に言うと、特定の形式のURLをタップするだけで、特定のアプリを直接開くことができる仕組みです。
たとえば「paypay://」から始まるURLをタップすると、PayPayアプリが自動的に起動します。これはPayPay側の機能を悪用したもので、詐欺師が独自に作ったものではありません。正規の仕組みを悪用している点が、この手口の厄介なところです。
メール内の「今すぐ納付」ボタンには、このディープリンクが仕込まれています。ブラウザを経由しないため、偽サイトの不自然なURLが画面に表示されません。視覚的に怪しさを判断する機会が奪われてしまいます。
本物のPayPayアプリが起動するから信じてしまう理由とは?
フィッシング詐欺の多くは、偽サイトへ誘導してログイン情報を盗む手口です。しかしこの詐欺は、偽のPayPayではなく本物のPayPayアプリが起動します。
アプリのアイコンも画面デザインも本物です。だからこそ「本物のアプリが開いたから安全だ」と思ってしまいやすいのです。
問題は「アプリが本物かどうか」ではなく「送金先が本物かどうか」という点です。起動したアプリ自体は本物であっても、表示されている送金先は犯罪グループのアカウントになっています。
「送る」と「受け取る」の表示で何が変わるのか?
PayPayでURLをタップしてお金を受け取る場合、アプリには「受け取る」と表示されます。一方、送金する場合は「送る」と表示されます。
詐欺メールのリンクからアプリが起動した場合、画面には「〇〇円を送る」というボタンが表示されます。請求の通知を受け取ったつもりなのに「送る」が表示されていたら、それは詐欺のサインです。
この「送る」「受け取る」の違いを確認することが、最もシンプルな見破り方の1つです。アプリが起動しても、慌てずに表示を確認する習慣が身を守ります。
送金画面の偽装はどこまで巧妙か?
送金画面を確認すれば怪しいと気づけるはずです。しかし実際には、画面の偽装が巧妙で見分けが難しいケースがあります。
「日本年金」アカウントのアイコン偽装とは?
詐欺師は「日本年金」というユーザー名のPayPayアカウントを作成し、送金先に設定しています。
さらにアカウントのアイコン画像には、日本年金機構の公式ロゴが無断で使用されています。PayPayの送金画面を見ると、見た目上は本物の年金機構のアカウントに見えてしまいます。
「日本年金機構」の正式なPayPayアカウントのように見えますが、こうした公的機関がPayPayの個人間送金で保険料を徴収することはありません。
公式ロゴ・画像の無断使用による誤認の仕組みとは?
PayPayの送金先アカウントには、誰でも任意の名前とアイコン画像を設定できます。つまり、「楽天カード」「〇〇電力」に見せかけたアカウントを誰でも簡単に作れます。
公式ロゴの無断使用は違法ですが、送金前にそれを確認する手段はユーザー側にはありません。目に見える情報だけで判断しようとすると、偽装を見抜けないことがあります。
だからこそ「アプリ上の見た目」ではなく「そもそもこの請求は正規のものか」を判断する思考回路が重要です。
基礎年金番号がデタラメでも気づきにくい理由とは?
おたくま経済新聞の報告によると、日本年金機構を装った詐欺メールに記載されていた基礎年金番号はデタラメでした。しかし、多くの人は自分の基礎年金番号を暗記していません。
メールに「基礎年金番号:〇〇〇〇」と書いてあるだけで、「個人情報を把握している正式な機関からのメールだ」と錯覚させる効果があります。
数字が正確かどうかを確認しようとする人はほとんどいないため、信憑性を高める「飾り」として機能してしまいます。番号が書いてあること自体は、何の証明にもなりません。
日本年金機構以外に使われている偽装パターンとは?
この詐欺メールは、日本年金機構だけを装うわけではありません。複数の偽装パターンが確認されており、それぞれ引っかかりやすいポイントが異なります。
楽天カードを装った詐欺メールの特徴とは?
楽天カードを装った詐欺メールは、日本年金機構のパターンより見分けが難しいとされています。
その理由は、楽天カードが実際にPayPayでの支払いに対応しているからです。「楽天カードの請求をPayPayで払う」という行動に違和感を覚えにくいため、冷静さが失われやすくなります。
実際に届いたメールには「楽天カードのご請求金額」という件名で、同様の即時送金へ誘導するリンクが含まれていたことが報告されています。
電力会社・通信会社を装ったパターンとは?
SNS上では、実在の電力会社や通信会社を名乗る詐欺メールの報告も確認されています。
通信会社については、フィッシング対策協議会が確認した件名に「2026年3月<ソフトバンクからのお知らせ>サービス停止のお知らせ(料金未払い)」などのパターンがあります。電力・通信料金は毎月発生するため、請求メールへの警戒心が下がりやすいという弱点が狙われています。
国民健康保険料請求を装ったパターンとは?
国民健康保険料の請求を装った詐欺メールも報告されています。こちらも公的機関を名乗ることで、強い権威性を演出する手口です。
国民健康保険料の納付方法にPayPayの個人間送金は含まれていません。実際の保険料は市区町村窓口・コンビニ・口座振替などで納付します。「PayPay送金で公的機関に支払う」という流れ自体が、詐欺を疑うサインになります。
確認が必要な場合は、お住まいの市区町村の公式サイトまたは窓口に直接問い合わせることをおすすめします。
詐欺メールを受け取ったときの見破り方とは?
届いたメールが詐欺かどうかを判断するポイントは複数あります。1つだけで判断するのではなく、複数の観点から確認することが大切です。
送信元ドメインの確認方法とは?
メールを開いたら、最初に送信元のメールアドレスを確認します。表示名には「日本年金機構」などと書いてあっても、アドレスのドメイン(「@」以降の部分)が全く無関係のものになっているケースがほとんどです。
| 確認項目 | 本物の例 | 詐欺の例 |
|---|---|---|
| 送信元ドメイン | nenkin.go.jp | ランダムな英数字.com など |
| 宛名 | 氏名が記載 | メールアドレスのみ |
| 支払い方法 | 複数の方法を案内 | PayPayのみ |
| 基礎年金番号 | 自分の正しい番号 | デタラメな番号 |
表示名は誰でも自由に設定できます。本物かどうかは、あくまでアドレスのドメインで判断してください。
宛名にメールアドレスしか書かれていないのはなぜ危険か?
正規の請求メールには、必ず氏名が記載されています。「〇〇様」という宛名があって初めて、個人に向けた通知として成立します。
宛名にメールアドレスしか書かれていない場合、不特定多数に一斉送信されているメールである可能性が高いです。個人の支払い状況を把握した上での正式な請求であれば、氏名が書かれていないはずがありません。
宛名を確認するだけで、多くの詐欺メールを瞬時に見分けられます。
公式機関がPayPayのみで請求することはあるか?
日本年金機構や税務署などの公的機関が、PayPayの個人間送金で保険料や税金を徴収することはありません。
PayPayが支払い方法として使えるケースはありますが、それは公式アプリやウェブサイト上での手続きを経た「支払い」であり、メールのボタンから直接送金させるという流れはとりません。「PayPayでしか払えない」という請求は、詐欺と考えてほぼ間違いありません。
タップしてしまったが送金はしていない場合の対処とは?
「ボタンをタップしてしまった。でもまだ送金はしていない」という状況は、落ち着いて行動すれば被害を防げます。
送金前にキャンセルできるケースとは?
アプリが起動して送金画面が表示されても、「送る」ボタンを押していなければ送金は完了していません。アプリをそのまま閉じるだけで問題ありません。
PayPayでは、送金先の相手がまだ受け取っていない場合に限り、取引のキャンセルが可能です。送金完了画面が表示されていなければ、何も起きていないと判断してよいです。
アプリを閉じた後は、念のため取引履歴を確認しておくことをおすすめします。
アプリを閉じた後に確認すべきこととは?
アプリを閉じた後は、PayPayアプリの取引履歴を開いて身に覚えのない取引がないか確認します。
取引履歴は、アプリのホーム画面から「取引履歴」または「送る・受け取る」の履歴から確認できます。何も記録されていなければ送金は完了していません。
あわせて、登録しているメールアドレス宛にPayPayからの送金完了通知が届いていないかも確認します。
すぐに行うべきアカウント確認の手順とは?
詐欺メールをタップしたことで、PayPayのログイン情報が盗まれた可能性は低いですが、念のために以下を確認します。
- PayPayアプリの「アカウント」→「セキュリティとプライバシー」で不審なログイン履歴がないか確認する
- 登録しているメールアドレスに不審なログイン通知が届いていないか確認する
- 不審な点があればすぐにパスワードを変更する
これらの確認が終われば、その詐欺メールは削除して構いません。
誤って送金してしまった場合の対処フローとは?
万一送金してしまった場合でも、行動の順番を間違えなければ対処できる可能性があります。落ち着いて、以下のフローを確認してください。
送金後に相手が受け取る前のキャンセル手順とは?
送金直後であれば、相手がまだ受け取っていない可能性があります。すぐにPayPayアプリを開き、取引履歴から該当の送金を確認します。
「取消」ボタンが表示されている場合は、相手がまだ受け取っていないサインです。すぐにキャンセル操作を行ってください。
ただし、詐欺グループは素早く受け取り操作をする場合があります。時間との勝負になるため、気づいた時点で即座に行動することが重要です。
警察への被害届の出し方とは?
送金がキャンセルできなかった場合は、速やかに最寄りの警察署またはサイバー犯罪相談窓口に被害届を提出します。
PayPayへの補償申請には、事前に警察への被害届の提出が必要です。被害届なしではPayPayへの申請手続きが進められません。
- 最寄りの警察署の窓口に被害の経緯を説明する
- 詐欺メールのスクリーンショットや送金履歴を証拠として保存しておく
- 警察から受け取った受理番号や書類はPayPay申請時に必要になる
PayPayへの補償申請の条件と手順とは?
PayPayには不正利用に対する補償制度があります。ただし、自分が操作して送金した場合は補償対象外になる可能性があります。
PayPayの補償制度はアカウントへの不正アクセスによる被害を対象としており、ユーザー自身がPayPayの正規機能を使って送金した取引は「自発的な送金」として扱われることがあります。補償を受けられる可能性は低いですが、申請自体は行っておくことを推奨します。
- PayPay公式サイトの「補償申請フォーム」から申請する(電話・通常の問い合わせフォームからは対応不可)
- 申請時に警察への被害届の内容を記入する
- 申請後の判断はPayPayの調査結果に基づく
PayPayの「利用可能額設定」で被害を防ぐ方法とは?
詐欺メールに引っかかってしまうリスクをゼロにすることは難しいです。しかし事前の設定で、被害額を大幅に抑えることができます。
利用可能額の設定手順とは?
PayPayアプリには「利用可能額の設定」という機能があります。1日または1回の送金・支払いの上限額を設定しておくことで、万一の際の被害を限定できます。
設定手順は次の通りです。
- PayPayアプリの「アカウント」をタップする
- 「セキュリティとプライバシー」を選択する
- 「利用可能額の設定」から各機能の上限額を設定する
- 自分が普段使う金額より少し多い程度の金額に設定しておくのが目安です
「取引を一時保留する」設定の効果とは?
利用可能額の設定をした後、「利用可能額の詳細設定」の中に「取引を一時保留する」というオプションがあります。
この設定をオンにすると、設定した上限額に達した取引を自動的に保留状態にします。保留になった取引はその場でキャンセルできるため、詐欺被害の防止につながります。
気づかないうちに大きな金額が送金されることを防ぐ、重要な安全弁の役割を果たします。
設定後に保留された取引をキャンセルする方法とは?
取引が保留になった場合、PayPayアプリのホーム画面に通知が表示されます。
保留された取引の詳細を確認して、意図した取引であれば承認し、身に覚えがなければキャンセルします。キャンセルした取引は処理されずに消えるため、送金は完了しません。
この仕組みがあることで、誤ってボタンを押してしまった場合でも取り消せる可能性が生まれます。設定をしているかどうかで、いざという時の選択肢の数が変わります。
メール以外でも同様の誘導が行われているケースとは?
PayPayへの送金誘導は、メール以外の経路でも確認されています。複数の入口から同様の手口が使われていることを知っておくと、見逃しが減ります。
SMS経由での誘導パターンとは?
SMSでも同様の請求メッセージが届くケースがあります。スマートフォンの電話番号宛に届くため、メールより開封率が高く、緊急性を感じやすいという特徴があります。
SMSのリンクは特に注意が必要です。URLが短縮されていることが多く、アクセス先のドメインを事前に確認しにくい傾向があります。
SMSで請求が届いた場合は、そのリンクをタップせず、必ず公式アプリや公式サイトから直接確認することを習慣にしてください。
SNSのDM経由での誘導パターンとは?
XやInstagramなどのSNSのダイレクトメッセージでも、PayPayへの送金を求めるメッセージが届くことがあります。
チケットや商品の売買を装い、「確認のためにPayPayで少額を送ってください」という形で送金させる手口がよく見られます。SNS上の見知らぬ相手との金銭のやり取りは、PayPayの補償制度の対象外となる場合があります。
フィッシング詐欺とは異なるアプローチですが、PayPayの送金機能を悪用するという点は共通しています。
QRコードを使った誘導手口とは?
メールに記載されたQRコードを読み取ると、PayPayの送金画面が直接起動するケースも報告されています。
2025年には「PayPayカード」を名乗るメールに記載されたQRコードをスキャンしたところ、残高1万円に対して73万円が引き出される被害が報告されました。QRコードを読み取った場合も、起動した画面に「送る」と表示されていたら即座に閉じてください。
家族・高齢者に共有すべき注意点とは?
この詐欺メールは、スマートフォンの操作に慣れていない人ほど被害に遭いやすい傾向があります。家族や周囲の人への共有が、被害の連鎖を防ぐことにつながります。
高齢者が引っかかりやすいポイントとは?
「差し押さえ」「財産」「期限」といった言葉に対して、高齢者の方は特に強い恐怖を感じやすいという特徴があります。こうした感情的な反応を狙って、冷静な判断を奪うのが詐欺の常套手段です。
また、「本物のPayPayアプリが起動した」という事実が、偽物への疑いを消してしまいやすいという点も、操作に慣れていない方には特に当てはまります。
アプリが起動したこと自体は、安全の証明にはならないという点を、繰り返し伝えることが大切です。
子が親に伝えるべき3つの確認習慣とは?
親世代への共有には、シンプルに覚えられる行動指針が有効です。以下の3点を伝えておくことをおすすめします。
- メールのボタンは絶対にタップしない。請求の確認は公式アプリや公式サイトから直接行う
- PayPayが突然起動したら、何も操作せずすぐに閉じる
- 「差し押さえ」「期限」などの言葉が出てきたら、子や家族に相談してから行動する
特に3点目は、一人で判断せず相談する習慣を作ることが重要です。詐欺は「誰かに相談する前に行動させる」ことを目的としています。
PayPayを使わない人が被害に遭うケースとは?
「自分はPayPayを使っていないから関係ない」と思うのは危険です。
PayPayアプリがインストールされていない場合、メールのボタンをタップしてもアプリが起動しないため、送金被害は発生しません。しかし、リンクのタップ先によっては別のフィッシングサイトに誘導され、個人情報やカード情報を入力させようとするページが表示されることがあります。
PayPayユーザーでなくても、メール内のリンクをタップしないという習慣は全員に必要です。
PayPay公式・フィッシング対策協議会の公式見解とは?
個人での判断に不安がある場合は、公的機関や公式の情報源を確認することが確実です。
フィッシング対策協議会が呼びかけていることとは?
フィッシング対策協議会は2026年4月2日、「PayPayアプリでの支払いへ誘導するフィッシング」として緊急情報を発出しました。
協議会はメールからPayPayアプリを開くよう誘導された際の対処として、「一度開くのを止めてメールが正規メールであるか確認し、支払い先情報を確認すること」を明示しています。
類似のフィッシングサイトやメールを発見した場合は、info@antiphishing.jp へ報告することができます。
PayPay公式が推奨している対策とは?
PayPay公式は不正・トラブル対策として、以下の対策を推奨しています。
- メールやSMSに記載のURLにはアクセスしない
- 身に覚えのない請求はPayPayアプリや公式サイトから直接確認する
- アプリ起動時の生体認証・パスコード認証を有効にする
- 利用可能額の設定を活用する
PayPayへの不正アクセスによる被害については全額補償の制度がありますが、ユーザー自身が操作した取引は対象外になる場合があるため注意が必要です。
不審なメールを報告する窓口とは?
不審なメールやフィッシングサイトを見つけた場合の報告先をまとめます。
| 報告先 | 内容 | 連絡先 |
|---|---|---|
| フィッシング対策協議会 | フィッシングメール・サイトの報告 | info@antiphishing.jp |
| 警察サイバー相談窓口 | 被害・不審な連絡の相談 | 都道府県警察の相談窓口 |
| PayPay公式 | 不正利用・詐欺疑いの報告 | アプリ内「問い合わせ」から |
| PayPayカード公式 | PayPayカードを装ったメールの報告 | 公式サイトの問い合わせフォーム |
今後同様の詐欺を受け取らないための設定とは?
詐欺メールへの対処だけでなく、そもそも届く量を減らしたり、届いても気づきやすくする設定も有効です。
迷惑メールフィルターの設定確認手順とは?
利用しているメールサービスの迷惑メールフィルターが有効になっているか確認します。大量のフィッシングメールが届いている場合は、フィルターがオフになっているか設定が弱い可能性があります。
- GmailはSettings→「迷惑メール」フィルターが有効か確認する
- キャリアメール(docomo・au・softbank)は各キャリアの設定画面からフィルター強度を調整する
- フィルター設定を強くすると正規メールも弾かれることがあるため、重要なメールは公式アプリで確認する習慣と合わせて使うのが効果的です
アプリ起動時の生体認証・パスコード設定とは?
PayPayアプリには、起動時に顔認証・指紋認証・パスコードを求める設定があります。この設定をオンにしておくと、誤ってアプリが起動しても送金操作の前に認証が必要になります。
第三者がスマートフォンを操作した場合の不正利用防止にもなるため、必ず有効にしておくことを推奨します。設定は「アカウント」→「セキュリティとプライバシー」→「アプリロック」から行えます。
公式情報の確認をブックマークで行う習慣とは?
メールやSMSのリンクからアクセスする習慣そのものを変えることが、最も根本的な対策です。
日本年金機構・楽天カード・電力会社・PayPayなど、よく使うサービスの公式サイトや公式アプリをあらかじめブックマークしておきます。請求の確認はメールのリンクからではなく、必ずブックマークや公式アプリから直接アクセスして行うという習慣を作るだけで、フィッシング全般への耐性が大幅に上がります。
FAQ
メールを開いただけで送金されることはあるか?
メールを開くだけで送金されることはありません。送金が実行されるのは、PayPayアプリ内で「送る」ボタンをタップした瞬間です。メールを開いただけであれば、アプリは起動していないため安全です。ただし、メール内のボタンやリンクをタップするとアプリが起動する場合があるため、不審なメールは開封後もリンクには触れないことが重要です。
PayPayをインストールしていない場合はどうなるか?
PayPayアプリがインストールされていない端末で詐欺メールのボタンをタップした場合、アプリが起動しないため送金は発生しません。ただし、アプリストアへの誘導や別のフィッシングサイトへ転送される場合もあります。リンクをタップした後に表示された画面で個人情報やカード情報を入力しないよう注意が必要です。
送金してしまったお金は戻ってくるか?
相手がまだ受け取っていない場合は、取引履歴からキャンセルが可能です。しかし相手の受け取りが完了してしまうと、PayPayの仕組み上、強制的な返金はできません。警察への被害届とPayPayへの補償申請を行うことで一部対応できる可能性はありますが、返金が保証されるものではありません。被害に気づいた時点での即時行動が最も重要です。
このメールを無視すると財産が本当に差し押さえられるか?
差し押さえられることはありません。公的機関が財産を差し押さえる場合は、書面での正式な通知が事前に届きます。メール1通で突然差し押さえが実行されるという手続きは、法律上存在しません。「差し押さえ」「期限」といった言葉は、冷静な判断を妨げるために使われている脅し文句です。
フィッシング詐欺メールを受け取ったら警察に届けるべきか?
被害が発生していなくても、フィッシング詐欺メールの受信はフィッシング対策協議会(info@antiphishing.jp)に報告することができます。被害が発生した場合は、最寄りの警察署またはサイバー犯罪相談窓口への被害届が必要です。被害届はPayPayへの補償申請時にも必要になるため、被害を受けた場合は早めに行動することが重要です。
まとめ
この詐欺の最大の特徴は、偽サイトへ誘導するのではなく本物のPayPayアプリを利用するという点です。画面の見た目で安全を判断することが難しいため、「請求の通知が届いても、メールのリンクから手続きをしない」という行動ルールを持つことが最も有効な防衛策になります。
PayPayの「利用可能額設定」と「取引の一時保留」機能は、手口の巧妙さに関わらず被害金額を抑える仕組みです。また、アプリのロック設定を有効にしておくことで、誤操作や第三者による不正操作のリスクも下がります。今すぐ設定を確認してみることが、最初の具体的な行動です。
参考文献
- 「PayPayアプリでの支払いへ誘導するフィッシング (2026/04/02)」 – フィッシング対策協議会(antiphishing.jp)
- 「PayPayカードをかたる不審なメールにご注意ください」 – PayPayカード公式(paypay-card.co.jp)
- 「不正やトラブルへの対策」 – PayPay公式(paypay.ne.jp)
- 「不正利用・詐欺対策について」 – PayPayヘルプ(paypay.ne.jp)
- 「PayPayをかたる巧妙な詐欺やアカウントの不正利用にご注意ください」 – PayPayからのお知らせ(paypay.ne.jp)
- 「タップした瞬間にPayPay起動 “即送金”誘導の詐欺メールに注意」 – おたくま経済新聞(otakuma.net)
- 「PayPay送金詐欺を未然に防ぐ対策とは」 – Yahoo!ニュース エキスパート 高橋暁子(news.yahoo.co.jp)