国民健康保険料の請求を装い、PayPayで送金させるフィッシング詐欺とは?その手口と対策
2026年4月13日、フィッシング対策協議会が緊急情報を公開しました。国民健康保険料の未払いを装ったフィッシングメールから、PayPayアプリを通じて送金させる手口が確認されています。当社にも同様のメールが届いているのを確認しました。
従来のフィッシングは、偽サイトでパスワードやカード情報を入力させるものが主流でした。しかし今回の手口は、正規のPayPay送金機能そのものを悪用し、被害者に直接お金を振り込ませるという点で異なります。
攻撃の主な手口
フィッシングメールによる誘導
攻撃者は、「国民健康保険料差額(未納分)のお知らせ(催告)」 といった件名でメールを送りつけます。メール本文は国民健康保険料の未納差額があるとして、リンクからの支払い手続きを促す内容です。なお、これ以外の件名が使われている可能性もあります。
以下は、当社に届いたメールです。
PayPay URLは本物
攻撃者はPayPayのP2P(個人間)送金機能を利用して支払いリンクを生成し、そのURLをフィッシングメールに埋め込みます。誘導先のURLはPayPayの正規ドメイン(https://qr.paypay.ne.jp/p2p01_●●●●)であるため、URLを確認しただけでは詐欺と気づきにくく、セキュリティ製品でも検知・ブロックされにくいケースがあります。
フィッシング対策協議会によると、2026年4月13日14時時点でこの手口による被害は継続中であり、異なるURLを使った類似の攻撃が今後も行われる可能性があります。
なぜ被害が発生するのか
公的機関を装うことで焦りを生む
「未納」「催告」といったキーワードは、受け取った人に焦りや不安を感じさせます。特に年度替わりの時期は保険料関連の通知が届きやすく、メールの内容が自然に見えてしまいます。
正規URLがセキュリティをすり抜ける
誘導に使われるURLが正規のPayPayドメインであるため、リンクを確認しても不審と感じにくく、メールセキュリティフィルターにも遮断されにくい構造になっています。
日常的な支払い操作への慣れ
PayPayはすでに多くの人にとって身近な決済手段です。送金操作に慣れているほど、承認時の違和感が薄れてしまう点が悪用されています。
対策
公的機関からの請求は別の手段で確認する
正規の公的機関が、メールのリンクからPayPayでの支払いを求めることはありません。保険料に関する案内が届いた場合は、メール内のリンクからではなく、公式ウェブサイトや窓口・電話で直接確認しましょう。
送金前に必ず送金先を確認する
PayPay経由で送金を求められた場合は、送金先のアカウント名・ID・金額を慎重に確認しましょう。見知らぬ相手への送金依頼には応じないことが原則です。
迷惑メールフィルターを有効にする
大量のフィッシングメールが届いている場合は、フィルターの設定が有効になっているか確認してください。フィッシング対策協議会は、漏えいが疑われる場合は新しいメールアドレスへの移行も検討するよう呼びかけています。
従業員へのセキュリティ教育・フィッシング訓練を実施する
正規サービスのURLが使われている以上、技術的なフィルターだけでは限界があります。従業員一人ひとりが不審なメールを見抜く力を持つことが、最終的な防衛線となります。定期的なフィッシング訓練で、実際に似た状況を疑似体験させることが効果的です。
まとめ
今回確認されたフィッシング詐欺の手口は次のとおりです。
- 国民健康保険料の未払い通知を装ったメールを送りつける
- 正規のPayPay送金URLへ誘導し、直接送金させる
- 正規ドメインの悪用により、URLを見ても不審と気づきにくい
認証情報の窃取ではなく直接の金銭送金を目的とした、これまでとは異なる手口です。メールの種類に関わらず、外部サービスへの送金を求めてきた場合には、必ず別の手段で内容を確認する習慣を持つことが重要です。
Selphishのテンプレートについて
こうした背景を踏まえ、Selphishでは今回の攻撃手口を模した新しい訓練用テンプレートを迅速に追加しました。公的機関をかたる件名・文面と、正規サービスのリンクを悪用するシナリオを反映した設計となっています。自組織の状況に合わせてカスタマイズし、従業員の気づく力を高めるための訓練にぜひご活用ください。
神戸デジタル・ラボが提供するメール訓練システム、「Selphish(セルフィッシュ)」では、マルウェア感染を狙う標的型攻撃メールを疑似的に体験することができます。社員のセキュリティ意識の向上や教育施策として、定期的な訓練をおすすめします。
メール訓練のノウハウと
効果的な進め方教えます
