1: 2025/06/21(土) 09:34:01.25
ITmediaニュース 2025-06-21
https://news.yahoo.co.jp/articles/80b63f12ed25b4289effdfe56808c418151ecbba
突如として届いた、「PayPayカード」を名乗る請求メール。添付されたリンクを開いてQRコードを読み取ったところ、銀行口座から計73万円がPayPayアプリの残高として引き出され、勝手に使われてしまった――X上でこんな被害が報告され、注目を集めている。
特徴的なのは、QRコードを2回読み取らせるだけで、残高を引き出したというその手口だ。
被害を公表したのは、アプリ開発企業アプリス(東京都豊島区)のXアカウント。同アカウントの管理者は、PayPay残高が1万円だったにもかかわらず、PC上に表示されたQRコードを読み取っただけで銀行口座から入金され、合計73万円が使われる被害に遭ったという。管理者は6月18日にnoteで詳しい経緯を公開。noteには3000件以上のいいねが付いた他、X上で「怖すぎ」と反響が集まっている。
noteの記事によれば、同アカウントの管理者は18日、「PayPayカード」をかたる請求メールを受信。文面やデザインはPayPay公式を装ったもので、記載されたリンクを開くと、PC画面に2つのQRコードが表示され、PayPayアプリで順にスキャンするよう促されたという。
指示に従ってQRコードを読み取ったところ、アプリ上には特に確認表示もないまま、銀行口座から6~10万円ずつの出金が複数回実行され、PayPayの残高にチャージされた。直後、Appliss公式アカウントの管理者が操作していないにもかかわらず、競輪・オートレースの投票券を購入できるサービス「WINTICKET」への支払いが相次いで行われ、合計73万円を勝手に使われたという。
オートチャージ機能はオフにしていたものの、チャージと支払いは止まらなかった。すぐに銀行口座の連携を解除したが、ほぼ全額が使われた後だったという。
●手口の再現、「簡単すぎ」?
Applissの投稿を受けて、実際に同じ手口が実行できるか検証した人物も登場。XユーザーのJ416DYさんは19日に「PayPayのフィッシングが簡単すぎた話」と題し、実際にWINTICKETとPayPayを使った検証結果をまとめたnoteを公開した。
WINTICKETはPayPayからの入金に対応している。J416DYさんは、WINTICKETのアカウントを作成し、連携用のQRコード2つを発行。それぞれをPayPayアプリで読み取ることで両アカウントが連携できることを確認した。さらに、WINTICKET上で支払い手段としてPayPayを選択すると、PayPay経由で残高にチャージできることも確かめた。
【中略】
さらにJ416DYさんはITmedia NEWSの取材に対し、スターバックスのプリペイドカードや楽天競馬でも同様の連携挙動を確認したとして、「特に類似サービスの楽天競馬では、同様の被害が発生するおそれがある」との見解を示した。
WINTICKETを運営するサイバーエージェントは19日、Webブラウザ版でのPayPay連携機能を一時停止。利用者の保護と被害拡大防止を目的に、メンテナンスを実施しているという。
https://news.yahoo.co.jp/articles/80b63f12ed25b4289effdfe56808c418151ecbba
突如として届いた、「PayPayカード」を名乗る請求メール。添付されたリンクを開いてQRコードを読み取ったところ、銀行口座から計73万円がPayPayアプリの残高として引き出され、勝手に使われてしまった――X上でこんな被害が報告され、注目を集めている。
特徴的なのは、QRコードを2回読み取らせるだけで、残高を引き出したというその手口だ。
被害を公表したのは、アプリ開発企業アプリス(東京都豊島区)のXアカウント。同アカウントの管理者は、PayPay残高が1万円だったにもかかわらず、PC上に表示されたQRコードを読み取っただけで銀行口座から入金され、合計73万円が使われる被害に遭ったという。管理者は6月18日にnoteで詳しい経緯を公開。noteには3000件以上のいいねが付いた他、X上で「怖すぎ」と反響が集まっている。
noteの記事によれば、同アカウントの管理者は18日、「PayPayカード」をかたる請求メールを受信。文面やデザインはPayPay公式を装ったもので、記載されたリンクを開くと、PC画面に2つのQRコードが表示され、PayPayアプリで順にスキャンするよう促されたという。
指示に従ってQRコードを読み取ったところ、アプリ上には特に確認表示もないまま、銀行口座から6~10万円ずつの出金が複数回実行され、PayPayの残高にチャージされた。直後、Appliss公式アカウントの管理者が操作していないにもかかわらず、競輪・オートレースの投票券を購入できるサービス「WINTICKET」への支払いが相次いで行われ、合計73万円を勝手に使われたという。
オートチャージ機能はオフにしていたものの、チャージと支払いは止まらなかった。すぐに銀行口座の連携を解除したが、ほぼ全額が使われた後だったという。
●手口の再現、「簡単すぎ」?
Applissの投稿を受けて、実際に同じ手口が実行できるか検証した人物も登場。XユーザーのJ416DYさんは19日に「PayPayのフィッシングが簡単すぎた話」と題し、実際にWINTICKETとPayPayを使った検証結果をまとめたnoteを公開した。
WINTICKETはPayPayからの入金に対応している。J416DYさんは、WINTICKETのアカウントを作成し、連携用のQRコード2つを発行。それぞれをPayPayアプリで読み取ることで両アカウントが連携できることを確認した。さらに、WINTICKET上で支払い手段としてPayPayを選択すると、PayPay経由で残高にチャージできることも確かめた。
【中略】
さらにJ416DYさんはITmedia NEWSの取材に対し、スターバックスのプリペイドカードや楽天競馬でも同様の連携挙動を確認したとして、「特に類似サービスの楽天競馬では、同様の被害が発生するおそれがある」との見解を示した。
WINTICKETを運営するサイバーエージェントは19日、Webブラウザ版でのPayPay連携機能を一時停止。利用者の保護と被害拡大防止を目的に、メンテナンスを実施しているという。
2: 2025/06/21(土) 09:34:59.76
ペイペイ便利すぎだろ
13: 2025/06/21(土) 09:39:01.22
>>2
それに尽きるw
つか連続チャージに認証やらで規制していなかったん?
それに尽きるw
つか連続チャージに認証やらで規制していなかったん?
10: 2025/06/21(土) 09:38:20.79
QRコード決済は絶滅でいい
個人商店も無駄に手数料取られるだけだからやめるの推奨
タッチ決済なら一瞬なのにコンビニレジでモタモタとQR決済してる低脳見ると後ろから頭はたきたくなる
個人商店も無駄に手数料取られるだけだからやめるの推奨
タッチ決済なら一瞬なのにコンビニレジでモタモタとQR決済してる低脳見ると後ろから頭はたきたくなる
141: 2025/06/21(土) 10:11:22.64
>>10
クレジットカードがいちばんピンハネ高い、paypay叩かれてるのは1番シェアが高いからでピンハネ率は楽天payとかD払いの方が高い
クレジットカードがいちばんピンハネ高い、paypay叩かれてるのは1番シェアが高いからでピンハネ率は楽天payとかD払いの方が高い
27: 2025/06/21(土) 09:43:21.26
自分にも来たけど発信者のアドレス見たら
怪しいアドレスだったから即迷惑メール報告
なんも考えずに従うやつっているんだ
怪しいアドレスだったから即迷惑メール報告
なんも考えずに従うやつっているんだ
46: 2025/06/21(土) 09:49:44.75
アプリ開発企業がそんなセキュリティ意識じゃダメだろw
54: 2025/06/21(土) 09:53:05.71
paypayもpaypay銀行も使ってるけど紐付けてないわ
78: 2025/06/21(土) 09:58:35.33
>>54
ワイも
紐付けしなくても使えるからpaypayにした
ワイも
紐付けしなくても使えるからpaypayにした
61: 2025/06/21(土) 09:54:52.61
どうせ信用できない怪しい個人店とかキャバクラとかで使ったんだろw
そんなところで電子決済なんかしたら抜かれて当然やぞ
そんなところで電子決済なんかしたら抜かれて当然やぞ
62: 2025/06/21(土) 09:54:56.50
二次元コードの脆弱性を突いた新手の詐欺か
ほんとあいつらはこういうことに関しては
ビルゲイツもびっくりの才能を発揮する
ほんとあいつらはこういうことに関しては
ビルゲイツもびっくりの才能を発揮する
64: 2025/06/21(土) 09:55:46.55
QRコード決済完全終了だなw
71: 2025/06/21(土) 09:57:51.24
>>64
日本人が思い付きでつくったものってロクなことにならない
日本人が思い付きでつくったものってロクなことにならない
67: 2025/06/21(土) 09:57:15.61
楽天は利用制限できないから怖いぞ
77: 2025/06/21(土) 09:58:19.28
詐欺なら全額返金されるでしょ
82: 2025/06/21(土) 09:59:23.03
>>77
馬鹿すぎてかわいそう
馬鹿すぎてかわいそう
234: 2025/06/21(土) 10:42:11.94
>>1
PayPay使ってるヤツは情弱
PayPay使ってるヤツは情弱
236: 2025/06/21(土) 10:42:41.42
>>1
銀行「ほぼ全額…?73万で?」
銀行「ほぼ全額…?73万で?」
279: 2025/06/21(土) 10:56:03.46
引っ掛かったこと自体アホとしかいいようがないがそれはそれとしてこんな簡単にやれる方法を提供しているPayPayも糞だな
282: 2025/06/21(土) 10:58:15.34
何年前のQRコード窃盗に騙されてるんだよw
引用元: https://asahi.5ch.net/test/read.cgi/newsplus/1750466041/
コメント
コメント一覧 (20)
そして口座の金が無くなってしまうって恐ろしすぎる
偽装メールが発端だけど、店とかに偽装QRコードを貼り付けても同じ事が出来る
その場合、連携用のQRコードが表示されても、店の情報か何かと勘違いして処理してしまうだろう
ITリテラシーの乏しい子供から老人まで使う物なのだからしっかり設計しろと言いたい
toushichannel
が
しました
toushichannel
が
しました
しかしその一方でQRコード読み込んだら口座の金がなくなるとまでは想像出来ない
連携や高額チャージの際はマイナカード使って本人確認しろ
toushichannel
が
しました
キャッシュレスとかダメダメだなぁ
やはり、現金が最強か
toushichannel
が
しました
両方使うがどっち使っても遅いやつは遅いのに
PayPayの方が手数料低いせいで駆逐出来なくて困ってるのかな
toushichannel
が
しました
PayPayが安全性より利便性を優先してシステムを構築していることが分かったこと
ヘルメットや安全帯を装着しないで高所で作業しているようなもの
事故に遭って被害受けても本人の責任にされる
toushichannel
が
しました
恐ろしすぎて読み込めないな
いちいち店員探して確認するのも超面倒
toushichannel
が
しました
toushichannel
が
しました
日本は電子化が遅れてるだの貶めてる工作員がいるのはこうやって色々と手に入れやすくなるから
toushichannel
が
しました
オッズが変わることでも期待したの?
toushichannel
が
しました
マジで読み込むだけならヤバすぎるわ
toushichannel
が
しました
toushichannel
が
しました
toushichannel
が
しました
toushichannel
が
しました
toushichannel
が
しました
toushichannel
が
しました
コメントする