2026/05/13 m-FILTER,サイバー攻撃,フィッシング
決済アプリ送金詐欺が140倍に急拡大、2026年4月の攻撃メールから4つの事例を分析
2026年4月、国内ではキャッシュレス決済アプリを悪用した送金詐欺が急増するなど、悪性メールの動向に新たな変化が見られています。従来の攻撃とは異なる特徴が目立ち始めています。
本記事では、デジタルアーツが観測した4つの代表的な攻撃メール事例を取り上げ、その手口と傾向を解説します。
- 決済アプリ送金詐欺
キャッシュレス決済アプリの正規の送金機能でユーザーに直接支払わせる詐欺が約140倍に急拡大 - サポート詐欺
メールからのサポート詐欺の増加 - CEO詐欺(ニセ社長詐欺)
流行中のCEO詐欺では、チャットグループを作成させる指示を添付ファイルに記載し、アンチウイルスやサンドボックスで検知されずに何度も使いまわすものを観測 - 日本の組織を狙ったばらまき型マルウェア
社長や組織の代表を名乗り、給与改定や配置変更があるといって、メールの添付ファイルやURLリンクからのダウンロードファイルで、マルウェアへ感染させようとする攻撃も発生
1.決済アプリ送金詐欺
一般的なフィッシング詐欺というと、フィッシングサイトでID・パスワードを入力させてアカウントを窃取するというのをイメージするかと思います。
しかし、キャッシュレス決済アプリの正規の送金機能でユーザーに自ら送金させることを狙う詐欺を観測しました。「決済アプリ送金詐欺」と呼ぶことにします。
カード会社からの引き落としに失敗したという内容や、国民健康保険料に未納があるといった内容でメール受信者をだまし、キャッシュレス決済アプリから送金するよう誘導します。下の表は、使用された件名の上位10位です。
| 順 | メール件名 | 悪用ブランド |
|---|---|---|
| 1 | 【重要】楽天カード 3月分ご請求金額のお知らせ - 自動引落し失敗 | 楽天カード |
| 2 | 4月の請求予定金額のお知らせ | PayPayカード |
| 3 | 国民健康保険料差額(未納分)のお知らせ(催告) | その他 |
| 4 | <楽天カード4月お支払金額のお知らせ> | 楽天カード |
| 5 | 【重要】楽天カード ご請求金額のお支払いについて(2026年3月分) | 楽天カード |
| 6 | 4月の請求金額のお知らせ | PayPayカード |
| 7 | paypay4月請求予定金額のお知らせ。 | PayPayカード |
| 8 | <楽天カードお支払い金額のご案内> | 楽天カード |
| 9 | 【至急】24 時間以内にお手続きをお願いいたします|楽天カードご請求のご案内 | 楽天カード |
| 10 | 楽天カード 2026 年 4 月分 ご請求金額のお知らせと至急お支払いのお願い | 楽天カード |
メール内に悪性サイトのURLはなく、かわりに下記の 正規のURL があります。
https://qr.paypay.ne.jp/p2p01_●●●●●●●●
このURLにスマートフォンでアクセスすると、インストールされているキャッシュレス決済アプリを開いて、送金画面へと誘導されます。送るボタンから送金をしてしまうと攻撃者に金銭が渡ってしまうことになります。
パソコンの場合はQRコードを表示して誘導
悪用されているキャッシュレス決済サービスにはパソコン版のアプリがないため、パソコンからアクセスした場合にはスマートフォンアプリへ遷移できないことから、誤って送金してしまう可能性は低いと考えられます。
しかし、パソコンからアクセスしてきた場合にも対応できるように手を加えたメールも出現しています。このパターンでは、メールに攻撃者の用意したURLがあります。アクセスすると端末情報がチェックされ、パソコンの場合はQRコードを表示してスマートフォンに誘導します。最初からスマートフォンでアクセスした場合は、QRコードのページは表示されません。
なお、メール文面の金額と、送金画面の金額が異なるのは攻撃側のミスです。
また、4月末ころには、QRコード画像を直接メール本文に表示するパターンも確認しています。
決済アプリ送金詐欺の急増
2026年4月に入り、特にこの決済アプリ送金詐欺が活発になっています。
【図3】は、デジタルアーツのm-FILTERにおいて悪性と検出した受信メールのうち、決済アプリ送金詐欺の受信メール件数(上述の正規URLをメール本文内に含むタイプ)です。
デジタルアーツの観測では、4月前半の少ない日では1.1万通であったのに対し、4月後半の多い日では158万通を確認しており、決済アプリ送金詐欺メールが約140倍に急拡大していることがわかりました。また、観測した送信元ドメインの 97% で「.cn」が使われていました。
◇決済アプリ送金詐欺への対策
個人だけでなく、BYOD(私物端末の業務利用)を許可している企業や組織においても注意しておくべきでしょう。
このようなメールを受信しないように、利用中のメールサービスの迷惑メール対策のフィルターを有効にしておきましょう。
また、受信メールがキャッシュレス決済アプリでの支払いを求めている場合は、本当に正しいものなのか、ひと呼吸おいて立ち止まってみましょう。メールの内容をそのまま信用せず、各サービスの公式サイト(メール内のリンクではなくブックマークなど)や公式アプリから請求状況を確認しましょう。
2.サポート詐欺
サポート詐欺とは、ウイルス感染したかのような警告や警告音を出して不安を煽り、虚偽のサポート窓口に電話をかけさせて金銭を騙し取ろうとする詐欺行為です。
デジタルアーツでもその手法等について何度か取り上げましたが、Webサイトを閲覧中に広告からサポート詐欺へ誘導されるものが多く目立っていました。
「広告表示の許可をお願いします」→許可したあとにサポート詐欺に遭う危険性も
広告からサポート詐欺サイトが表示、その手口を分析
しかし、メールからサポート詐欺サイトへ誘導する攻撃も活発になっています。
メールでは、Microsoft を装って送信されており、アカウントで異常なアクティビティを検知したという内容や、システムに重大な脆弱性が見つかったという内容で、サポート詐欺サイトのURLにアクセスするよう誘導していました。
ただし、デジタルアーツが観測したこれらのメールで、サポート詐欺サイトURLのほとんどは下記の形式です。
https://●.web.core.windows.net/
「windows.net」は、Microsoft が所有するドメインですが、このドメインを使ったWebサイトが必ずしも公式サイトであるとは限らないことに注意が必要です。MicrosoftのAzureというサービスから、サブドメイン(上記URLの●部分)を作成して誰でも利用することが可能だからです。
【図5】は、デジタルアーツのm-FILTERにおいて悪性と検出した受信メールのうち、サポート詐欺へ誘導する受信メール件数です。
◇サポート詐欺への対策
このようなメールを受信しないように、利用中のメールサービスの迷惑メール対策のフィルターを有効にしておきましょう。
また、このような攻撃手法があるのだということを自分だけでなく、家族や従業員にも周知しておいてください。もし、突然サポート詐欺サイトにアクセスしてしまって、けたたましい警告音や警告画面が表示されても、知っていれば落ち着いて対処ができるはずです。
表示されてしまったサポート詐欺サイトの閉じ方は、下記を参考にしてください。
1.「Esc」キー長押し
まず、これを覚えておいてください。全画面表示が解除できます。その後、表示されているタブやWebブラウザーを閉じてしまいましょう。もし、それでもダメだった場合には下記の方法を試してみましょう。
2.「Ctrl」+「Alt」+「Del」同時押し のあと 下記のいずれか
- 「タスクマネージャー」 →Webブラウザーを選択 →タスクの終了
- 「サインアウト」
- 画面右下の電源アイコンをクリック →「シャットダウン」または「再起動」
3.CEO詐欺(ニセ社長詐欺)
CEO詐欺(ニセ社長詐欺)とは、社長になりすまして従業員に送金させる詐欺です。流行中の手口は、社長や組織の代表になりすましてメールを送り付け、新プロジェクトのためなどといって従業員にLINEなどのチャットツールのグループを作成するよう指示し、その後はチャットでやり取りを行い送金させています。
メールやチャットのメッセージで直接指示するパターンのほかに、Wordのような添付ファイルの中に指示を記載しているパターンがあります。これは、本文にそのままメッセージを記載するとメールのフィルターで検知されてしまう恐れがあり、添付ファイルにすることで、ファイルの内容までは十分に検査されない可能性があると考えて、検知回避のために行っている可能性があります。
長期間にわたり同一ファイルを使いまわす
一般的に攻撃で一度使ったファイルは、セキュリティ製品に把握されるとブロックされてしまい、攻撃が成功しなくなるため長期間使われ続けることは多くありません。
しかし、CEO詐欺メールにおいてまったく同一のファイルを長期間使いまわしている攻撃活動を観測しました。
下記の使いまわされていた添付ファイルは、複数のアンチウイルスソフトの検知状況を確認できるサービスをチェックしてみたところ、悪性ファイルと検出する製品はありませんでした(マルウェアではなく悪性挙動もないため当然といえます)。
添付ファイルのファイル名は送付する日時で変更していますが、ファイル自体はまったく同じです。添付されていたメールの特徴は下記の表の通りです。
| 観測期間 | 2026年4月1日 ~30日 |
| 添付ファイルHASH | a04ed9481fc027bc7ac6e5ca03845a6333edba9075376996fa624f1897299f37 |
| 送信元ドメイン | outlook.com hotmail.com |
| 件名 | ご協力ありがとうございました やることリスト 今日のタスク 今日やるべきこと 最新のお知らせ 詳細 本日のコンテンツ 本日のタスク 本日の詳細 |
| 添付ファイル名 | (注:nnは2ケタの日にちの数値が入ります) 2026.04.nn詳細.docx 2026.04.nnコンテンツ.docx 2026.4.15追って通知があるまで.docx 緊急.docx 詳細.docx 重要なお知らせ.docx |
なぜ使いまわしているのか、以下のような理由が考えられます。
- 悪性ファイルとして検出されない
チャットサービスへ誘導する指示文書はただの文字列の文章であり、マクロや悪性URLリンクを含まないため悪意のある挙動をしません。そのため多くのセキュリティ製品では悪性ファイルとして検知できません。 - 成功している実績がある
攻撃が成功してある程度の実績があるため、継続的に収益を得ている可能性が高いでしょう。もし効果が無い/薄いのであれば、別のファイルや手段に切り替えるはずです。
◇CEO詐欺への対策
同様の攻撃で、ファイルを短期間だけで用いるものもあるため、すべてが長期間にわたって同一のものを使いまわしているわけではありません。
こういった詐欺行為が流行していることを従業員に周知しましょう。もしあなたが社長や代表者であれば、「私はこのような指示をしない」ということを全従業員に対して伝えておきましょう。あらかじめ知っていれば、社長や組織の代表を名乗ったメールから指示を受けても、落ち着いて対処できるはずです。
また、社内で送金に関する規定を再確認しましょう。送金には複数名による承認を導入したり、社長や役員からの依頼であっても手順をスキップさせないことを義務付けたりして、プロセスの多層化と遵守が推奨されます。
4.日本の組織を狙ったばらまき型マルウェア
社長や組織の代表になりすまして、給与改定や役職変更があるといって、メールの添付ファイルやURLリンクからのダウンロードファイルで、マルウェアへ感染させようとする攻撃もあります。
特定の組織だけを狙った攻撃ではなく、複数の日本組織を狙ったばらまき型のメール攻撃です。受信している組織数は多くはないですが、何度も観測されています。下記はそのうちのひとつの例です。
また、ページのソースを確認すると【図9】のような記述が確認できます。コメントアウトの記述や絵文字の使用など、AIによる自動生成を想起させる特徴が見られます。
ページ内のボタンからはzipファイルがダウンロードされます。zipファイルを解凍すると、exeファイルとdllファイルが含まれています。
exeファイルを実行することで、マルウェアであるdllファイルが読み込まれ感染に至ります。これはDLLサイドローディングと呼ばれる手法を使っており、手法自体は珍しくないのですが、最近の日本向けのばらまき型のマルウェアでよく観測されている手法となっています。
4月21日に観測した後、4月23日にもほぼ同様のメールを観測しました。ページのボタンからダウンロードされるzipファイルが、別のzipファイルやgzファイルに変更されました。いずれも遠隔操作型のマルウェアValleyRAT(WinosStager/Winos4.0)でした。このValleyRATも、最近の日本向けのばらまき型のマルウェアでよく観測されているマルウェアです。
◇日本の組織を狙ったばらまき型マルウェアへの対策
年度末や新年度だけでなく、他のイベントや流行中の出来事に合わせて攻撃を仕掛けてきます。
従業員教育に加え、メールセキュリティ、Webセキュリティ、アンチウィルス、EDRなどシステム面でのマルウェア対策が重要です。
まとめ
正規機能の悪用や検知回避型の攻撃が増加する中、メールを起点とした脅威への対策はこれまで以上に重要になっています。これに対抗するには、メール・Webセキュリティやエンドポイント対策などを組み合わせた技術的防御を基盤とすることが不可欠です。
さらに、最新の脅威動向に対応したセキュリティ対策を適切に取り入れていくことで、変化する攻撃にも継続的に対応することが可能になります。運用と組み合わせた多層的な対策が、被害防止の鍵となります。