送金機能を狙うフィッシングの特徴
PayPayをかたる「公金・各種料金の未払い」通知を起点に、偽サイトへ誘導するフィッシングが確認されている。今回の要点は、ログイン情報の窃取にとどまらず、被害者自身に送金操作を実行させる点にある。スマホ決済は即時性が高く、督促や期限切れといった文言で判断を急がせやすい。結果として、正規確認を飛ばしたまま操作してしまうリスクが増す。
想定される攻撃フローとだましの設計
攻撃者はSMSやメールで「延滞」「至急」などを強調し、支払いページを装うURLへ誘導する。偽ログイン画面でID・パスワード、電話番号、ワンタイムコード等を入力させ、アカウントを乗っ取るのが典型だ。加えて「未払い解消のため送金」「返金の手数料」「本人確認の少額送金」などを口実に、特定アカウントへの送金を指示する。送金は取り消しが難しく資金移動も早いため、発覚後の回収が困難になりやすい。
情シスが徹底したいユーザー運用と技術的統制
利用者教育では「通知のリンクは踏まない」を原則化し、確認は公式アプリを自分で起動して行う手順を周知する。未払いの真偽確認は、自治体・事業者の正規窓口(公式サイトに掲載の連絡先、会員ページ、紙の請求など)に限定し、メッセージ内の連絡先は使わない。特に「送金要求は詐欺の型」と明文化し、支払いと個人間送金は別物である点を繰り返し教育する。可能であれば、MDMで端末ロック強制、OS更新、SMSプレビュー抑制、業務端末での決済アプリ利用ルール整備も検討すべきである。
インシデント対応:初動を止めない手順化
リンクを開いた、情報を入力した、送金した疑いがある場合は、被害拡大防止を優先する。具体的にはアカウントの認証情報変更、セッション確認、連携カード・口座の見直し、利用停止やサポート連絡を即時に実施する。送金が絡む場合は、取引ID、相手先情報、日時、画面の記録など証跡を確保し、社内CSIRT/情シスへの連絡手順をあらかじめ定めておく。利用者向けには「焦らせる通知ほど止まって確認」という行動原則を提示し、被害の発生確率を下げることが重要だ。