フィッシング対策協議会(Council of Anti-Phishing Japan)は5月11日、「フィッシング対策協議会 Council of Anti-Phishing Japan|ニュース|緊急情報|住民税の納付依頼をよそおうフィッシング (2026/05/11)」において、住民税の納付依頼を装うフィッシングの報告を受けているとして緊急情報を公開した。攻撃者は未納付の住民税をPayPayアプリから送金するように要求してくるという。
-
住民税の納付を装い、PayPayで送金させるフィッシングの手口 出典:フィッシング対策協議会
「住民税未納」を装うメールを確認
メールの件名として、以下が確認されており注意が必要(下記以外の件名が使われている可能性もある)。
- 【重要】令和8年度 住民税(第1期)納付のご案内
メール本文からは次のURLへのリンクが確認されている(下記以外のURLが使われている可能性もある)。
- https://qr-topayda●●●.com/
誘導先のWebサイトとしては、次のURLが確認されている。なお、このWebサイトはPayPayが運営する正規サイトのため、セキュリティソリューションによる検出は回避される可能性がある。
- https://qr.paypay.ne.jp/p2p01_●●●●
PayPayアプリで送金させる手口
「令和8年度分の市区町村民税(第1期)の納付期限が迫っております。期限までに必ずお支払いくださいます。」、「期限を過ぎた場合、地方税法第65条の規定に基づき延滞金(年利最大14.6%)が発生する場合がございます。」などの内容のメールが送付される。
リンク先にアクセスするとPayPayアプリでWebサイトを開くように求められ、アプリを通じた不正な送金が行われる。
なお、2026年5月11日の段階でフィッシングサイトは稼働している
正規のPayPay URL悪用、見分けにくい点に注意
特に、URLやQRコードからPayPayで送金を求めるケースは、自治体を装った詐欺の可能性が高い。今回確認された誘導先にはPayPayの正規URLが使われており、外観だけで真偽を見分けることは難しい。
民間企業の公式アプリを介した不正請求については、アプリから真偽の確認はできないことに注意が必要。PayPayは公共料金や税金の支払いに対応した「請求書払い」が可能なため、外観上のわずかな差異だけで不正請求を見抜くことは難しく、アプリで支払いの正当性を確認することもできない。
したがって、請求元の公的機関の発行する情報(郵送で通知)を確認するか、直接窓口に問い合わせて真偽の確認を行うことが望まれる。
外部対策は進んだが内部は守れているか コジマが選んだマイクロセグメンテーション
