PayPay送金詐欺の急増が示す電子決済の脆弱性と海外送金事業者が学ぶべき教訓
トビラシステムズの最新レポートが、2026年春に深刻化したPayPay送金詐欺の実態を明らかにしました。携帯料金や税金の未払いを装うSMSで不安を煽り、本物そっくりの送金画面へ誘導する巧妙な手口です。一見すると国内決済の問題に見えますが、実は海外送金を含むあらゆる電子送金サービスが直面する構造的な脆弱性を象徴しています。
参考: 詐欺SMSからPayPay送金画面へ誘導する手口が急増(PR TIMES)
分析・見解
この詐欺手口が急増している背景には、三つの構造的要因があります。
第一に、送金プロセスの簡便化が裏目に出ています。PayPayを始めとする電子決済サービスは、数タップで送金完了する利便性を競ってきました。しかし、この「摩擦の排除」は、利用者が立ち止まって確認する機会も同時に奪っています。海外送金サービスでも、競争力を高めるために本人確認を最小限にし、送金完了までの手順を減らす傾向が見られますが、今回の事例はその危険性を示唆しています。
第二に、SMS認証の限界が露呈しました。多くの金融サービスがSMSを本人確認の手段として採用していますが、詐欺グループは逆にSMSを信頼性の演出に利用しています。「公式からSMSが来た」という心理的安心感を逆手に取る手法は、海外送金の二段階認証でも同様のリスクをはらんでいます。特にクロスボーダー取引では、複数の通信事業者を経由するため、SMSの送信元偽装がより容易になる側面もあります。
第三に、決済プラットフォームと送金先の検証不足があります。PayPayの送金画面は、相手のアカウント情報だけで送金可能ですが、受取人が実在する事業者かどうかを自動検証する仕組みは十分ではありません。海外送金では、IBAN検証やSWIFTコード確認が一般的ですが、それでも受取人の実在性までは保証されません。今後は、送金先の評判スコアや取引履歴を可視化する「信頼性レイヤー」の実装が必要でしょう。
興味深いのは、この詐欺が「プッシュ型決済」の盲点を突いている点です。クレジットカードのような「プル型」では、事業者が利用者の口座から引き落とすため、不正があれば事業者側の責任が問われやすい構造です。しかしPayPayのような「プッシュ型」では、利用者が自らの意思で送金するため、被害回復が困難になります。海外送金も基本的にプッシュ型であり、同じリスクを内包しています。
制度面から見た論点
日本では、銀行以外の事業者が送金サービスを提供する場合、資金決済法に基づく資金移動業の登録が必要です。2021年に施行された改正資金決済法では送金額の上限に応じて第一種から第三種までの類型が設けられ、WiseやRevolutのようなフィンテック事業者もこの枠組みの下で海外送金を扱っています。また、犯罪収益移転防止法は口座開設時や高額取引時の取引時確認(いわゆるKYC)を義務付けており、外為法は一定額を超えるクロスボーダー送金に報告義務を課しています。制度の全体像は金融庁のウェブサイトで確認できます。
ただし、今回のPayPay送金詐欺が示したのは、これらの規制が主に「送金者側の本人確認」に重心を置いており、「受取人側の正当性検証」や「送金者が騙されている状況の検知」までは十分にカバーしていないという点です。本人確認を厳格に通過した正規の利用者が、自らの意思で詐欺グループのアカウントへ送金してしまうケースでは、KYCだけでは被害を防げません。英国がConfirmation of Payee(受取人名義確認)を制度として整備した背景にも、同様の「認可詐欺(APP詐欺)」の急増がありました。規制の次の焦点は、取引モニタリングと受取人検証に移りつつあると言えます。
ビジネスへの影響
海外送金事業者は、この事例から三つの実務的教訓を得るべきです。
まず、送金プロセスに「認知的摩擦」を戦略的に組み込むことです。例えば、初めての送金先には24時間の待機期間を設ける、高額送金時には電話確認を必須にするなど、利便性と安全性のバランスを再設計する必要があります。Wiseは既に一定額以上の初回送金で追加確認を求めていますが、この種の「意図的な一時停止」は業界標準になるべきでしょう。
次に、受取人検証の強化です。送金先が実在する事業者かどうか、過去に詐欺報告がないか、といった情報をリアルタイムで提示する仕組みが有効です。イギリスでは銀行間で「Confirmation of Payee」という受取人名義確認サービスが義務化されており、日本の海外送金事業者も参考にできます。
最後に、利用者教育の方法論転換です。「不審なSMSに注意」という一般論では効果が薄いことが証明されています。むしろ、「公式アプリ以外からは送金しない」「送金前にアプリ内で請求履歴を確認する」といった具体的な行動指針を、送金フロー自体に組み込む設計思想が求められます。
利用者が今日からできる自衛策
事業者側の対策が整うのを待つまでもなく、利用者が今日から実行できる防御策があります。第一に、SMSやメールに記載されたリンクからは決して送金画面に進まないことです。請求や未払いの通知を受け取ったら、必ず公式アプリを自分で起動し、アプリ内の取引履歴や請求一覧で事実を確認します。この一手間が、偽画面への誘導をほぼ無効化します。
第二に、海外送金では送金前に受取人情報を独立した経路で照合することです。取引先から口座変更の連絡を受けた場合は、メールに返信するのではなく、既知の電話番号に直接連絡して真偽を確かめます。ビジネスメール詐欺(BEC)の典型的な手口は、この照合を省略した瞬間を狙っています。
第三に、認証手段の強化です。SMSによるワンタイムパスワードは送信元偽装やSIMスワップのリスクがあるため、対応しているサービスでは認証アプリや生体認証への切り替えが推奨されます。万一不正送金の被害に遭った場合は、利用中のサービスのサポート窓口と警察に加え、金融庁や財務局の相談窓口も活用できます。海外送金の手数料水準を比較する際にも、価格だけでなくこうした保護機能の有無を判断材料に含めるべきです。世界銀行が運営する送金価格データベース(Remittance Prices Worldwide)のような中立的な比較情報と、各社のセキュリティ仕様を併せて確認することが、安全な送金チャネル選びの基本になります。