QRコードを2回読み取っただけで、73万円を不正に引き出された──PayPay巡る被害に「怖すぎ」の声
https://news.yahoo.co.jp/articles/80b63f12ed25b4289effdfe56808c418151ecbba
突如として届いた、「PayPayカード」を名乗る請求メール。添付されたリンクを開いてQRコードを読み取ったところ、銀行口座から計73万円がPayPayアプリの残高として引き出され、勝手に使われてしまった――X上でこんな被害が報告され、注目を集めている。
特徴的なのは、QRコードを2回読み取らせるだけで、残高を引き出したというその手口だ。
被害を公表したのは、アプリ開発企業アプリス(東京都豊島区)のXアカウント。同アカウントの管理者は、PayPay残高が1万円だったにもかかわらず、PC上に表示されたQRコードを読み取っただけで銀行口座から入金され、合計73万円が使われる被害に遭ったという。管理者は6月18日にnoteで詳しい経緯を公開。noteには3000件以上のいいねが付いた他、X上で「怖すぎ」と反響が集まっている。
noteの記事によれば、同アカウントの管理者は18日、「PayPayカード」をかたる請求メールを受信。文面やデザインはPayPay公式を装ったもので、記載されたリンクを開くと、PC画面に2つのQRコードが表示され、PayPayアプリで順にスキャンするよう促されたという。
指示に従ってQRコードを読み取ったところ、アプリ上には特に確認表示もないまま、銀行口座から6~10万円ずつの出金が複数回実行され、PayPayの残高にチャージされた。直後、Appliss公式アカウントの管理者が操作していないにもかかわらず、競輪・オートレースの投票券を購入できるサービス「WINTICKET」への支払いが相次いで行われ、合計73万円を勝手に使われたという。
オートチャージ機能はオフにしていたものの、チャージと支払いは止まらなかった。すぐに銀行口座の連携を解除したが、ほぼ全額が使われた後だったという。
●手口の再現、「簡単すぎ」?
Applissの投稿を受けて、実際に同じ手口が実行できるか検証した人物も登場。XユーザーのJ416DYさんは19日に「PayPayのフィッシングが簡単すぎた話」と題し、実際にWINTICKETとPayPayを使った検証結果をまとめたnoteを公開した。
WINTICKETはPayPayからの入金に対応している。J416DYさんは、WINTICKETのアカウントを作成し、連携用のQRコード2つを発行。それぞれをPayPayアプリで読み取ることで両アカウントが連携できることを確認した。さらに、WINTICKET上で支払い手段としてPayPayを選択すると、PayPay経由で残高にチャージできることも確かめた。
【中略】
さらにJ416DYさんはITmedia NEWSの取材に対し、スターバックスのプリペイドカードや楽天競馬でも同様の連携挙動を確認したとして、「特に類似サービスの楽天競馬では、同様の被害が発生するおそれがある」との見解を示した。
WINTICKETを運営するサイバーエージェントは19日、Webブラウザ版でのPayPay連携機能を一時停止。利用者の保護と被害拡大防止を目的に、メンテナンスを実施しているという。