PayPayで支払い要求は詐欺？国民健康保険料メールの見分け方

フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、金融機関をかたるフィッシングおよび国民健康保険料の支払い依頼に偽装したフィッシングの報告を受けているとして緊急情報を公開した。金融機関をかたる攻撃では認証情報を窃取し、国民健康保険料の支払い依頼に偽装した攻撃ではPayPayアプリを通じた送金を要求してくるという。

• 緊急情報：「フィッシング対策協議会　Council of Anti-Phishing Japan｜ニュース｜緊急情報｜金融機関をかたるフィッシング (2026/04/10)」、「フィッシング対策協議会　Council of Anti-Phishing Japan | ニュース | 緊急情報 | 国民健康保険料の支払い依頼をよそおうフィッシング (2026/04/13)」

• 

  PayPayでの支払いを求める詐欺が確認されている。国民健康保険料の請求を装うケースもあり注意が必要だ　Photo:PIXTA

国民健康保険料の請求メールは本物？詐欺？

国民健康保険料の支払い依頼に偽装するフィッシングでは、「貴殿の令和6年度および令和7年度に係る国民健康保険料につきまして、未納差額が確認されており、現在まで納付が確認できておりません。…。上記期限までに、下記リンクよりお支払い手続きをお願いいたします。」などの内容のメールが送付される。

リンク先にアクセスするとPayPayアプリでWebサイトを開くように求められ、アプリを通じた不正な送金が行われる

PayPayで支払いを求められたら詐欺？

特に、URLやQRコードからPayPayで送金を求めるケースは、正規の請求ではなく詐欺の可能性が高い。

PayPayは公共料金や税金の支払いに対応した「請求書払い」が可能なため、外観上のわずかな差異だけで不正請求を見抜くことは難しく、アプリで支払いの正当性を確認することもできない。

そのため、請求元の公的機関の発行する情報(郵送で通知)を確認するか、直接窓口に問い合わせて真偽の確認を行うことが望まれる。

銀行を装うフィッシングの特徴は？

auじぶん銀行をかたるケースでは、「お客さま情報、お取引目的等の定期的な確認を順次お願いしております。」や「現在金融庁の監督強化を受け、下記情報は「即時」確認対応が必要です。」などの内容のメールが送付され、Webサイトからログインするように要求する。

三井住友信託銀行をかたるケースでは、「三井住友信託銀行ポイントが下記のとおり加算されましたので、お知らせ申し上げます。…。下記URLより、ポイント受取のお手続きをお願いいたします。」などの内容のメールが送付され、Webサイト(ポイント受取ページ)からログインするように要求する。

楽天銀行をかたるケースでは、「お客様のアカウントではワンタイム認証（ログイン制限）がまだ設定されていないことが判明いたしました。…。お手続きは約3分で完了します。」などの内容のメールが送付され、Webサイトからログインするように要求する。

住信SBIネット銀行をかたるケースでは、「安全・安心な金融取引の維持のため「犯罪収益移転防止法」にもとづき、本人確認およびご利用目的のご確認をお願いしております。」などの内容のメールが送付され、Webサイト(入力フォーム)からログインするように要求する。

このメールは詐欺？見分けるチェックポイント

以下の特徴に当てはまる場合、フィッシング詐欺の可能性が高い。

フィッシングメールの件名

メールの件名として、以下が確認されており注意が必要(下記以外の件名が使われている可能性もある)。

• 【auじぶん銀行】【重要】※要返信 登録個人情報再確認のお願い（至急ご対応ください）
• 【auじぶん銀行】【重要】必ずご回答ください／お客さま情報等の確認について
• 【三井住友信託銀行】ポイント加算の確認をお願い申し上げます
• 【住信SBIネット銀行】お取引目的等の確認のお願い
• ワンタイム認証が未設定です
• 国民健康保険料差額（未納分）のお知らせ（催告）

危険なURLの特徴

確認されている偽サイトとしては、次のURLが挙げられている(下記以外のURLが使われている可能性もある)。

• https://onlinebnk-●●●●.com/ib1/contents/●●●●
• https://online-jibum●●●●.com/security/ap/●●●●
• https://driectbnk-●●●●.com/verifi/token●●●●
• https://netbnk-●●●●.com/contents/pages/●●●●
• https://ngh●●●●.com/link/●●●●
• https://qr.paypay.ne.jp/p2p01_●●●●

なぜ見抜くのが難しいのか？

フィッシング詐欺に使われているWebサイトは一見しただけで判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスするなどの操作を行い、確認を行うことが望まれる。

フィッシングに引っかかったらどうする？

フィッシング詐欺の疑いがあるサイトにアクセスしたり、情報を入力してしまった場合は、速やかに対処することが重要だ。被害を最小限に抑えるため、以下の対応を行う必要がある。

（1）すぐにパスワードを変更する ログイン情報を入力してしまった場合は、該当サービスのパスワードを直ちに変更する。同じパスワードを他のサービスでも使い回している場合は、それらも含めて変更が必要となる。

（2）金融機関・サービス提供元に連絡する 銀行口座やクレジットカード、決済サービスなどに関する情報を入力した場合は、各サービスの公式窓口に連絡し、利用停止や監視強化の対応を依頼する。 特に、PayPayなどの決済サービスを利用した場合は、不正送金の可能性があるため、速やかな対応が求められる。

（3）不審な取引がないか確認する 口座の入出金履歴やクレジットカードの利用明細を確認し、不正な取引がないかチェックする。身に覚えのない決済がある場合は、すぐに金融機関へ報告する。

（4）端末の安全性を確認する 不審なサイトにアクセスした場合、マルウェア感染の可能性も否定できない。セキュリティソフトでスキャンを行い、必要に応じて端末の初期化なども検討する。

（5）関係機関に報告する フィッシングサイトやメールを発見した場合は、フィッシング対策協議会などの窓口に報告することで、被害拡大の防止につながる。

フィッシング対策協議会が注意喚起

フィッシング対策協議会は、フィッシングサイトやフィッシングメールを発見した際には同協議会まで報告してほしいと呼びかけている（参考「フィッシング対策協議会　Council of Anti-Phishing Japan | フィッシングの報告」）。

国民健康保険料や銀行を装ったメールで、リンク先から支払いやログインを求められた場合は、フィッシング詐欺の可能性が高い。メール内のリンクは利用せず、必ず公式サイトや窓口で確認することが重要だ。