　WINTICKETはPayPayからの入金に対応している。J416DYさんは、WINTICKETのアカウントを作成し、連携用のQRコード2つを発行。それぞれをPayPayアプリで読み取ることで両アカウントが連携できることを確認した。さらに、WINTICKET上で支払い手段としてPayPayを選択すると、PayPay経由で残高にチャージできることも確かめた。

WINTICKETの画面。オレンジの＋ボタンからポイントをチャージする。ポイント残高自体は出金できないが、投票結果の払戻金は出金できる仕様だという（J416DYさんのnoteより引用、以下同）

QRコード2つを読み取ることでアカウントを連携できる仕組み。2つ目のQRコードは、10秒ほどしか表示されない仕様だったという

QRコード2つを読み取り、連携が完了するまで、スマホ側に「WINTICKET」の名前は登場しなかったという

　残高が不足している場合でも「チャージして支払う」を選択すれば、銀行口座からの引き落としが実行される。そのためオートチャージ設定の有無にかかわらず、残高が引き出せたという。

残高が不足している場合でも、銀行口座からの引き落としが可能だったという

　J416DYさんは、犯人があらかじめ本人確認済みのWINTICKETアカウントと出金用口座を用意し、フィッシングサイトを通じて他人のPayPayアカウントと連携させ、WINTICKETに残高をチャージした後、賭け金が返ってきやすそうな競輪・オートレースに投票し、払戻金を受け取る形で現金化していた可能性を指摘。QRコードを読み取るだけで連携が完了し、サービス名も連携完了後にしか表示されないといったPayPayの仕様に、セキュリティ上の問題があると警鐘を鳴らした。

J416DYさんが指摘した問題点

　さらにJ416DYさんはITmedia NEWSの取材に対し、スターバックスのプリペイドカードや楽天競馬でも同様の連携挙動を確認したとして、「特に類似サービスの楽天競馬では、同様の被害が発生するおそれがある」との見解を示した。

　WINTICKETを運営するサイバーエージェントは19日、Webブラウザ版でのPayPay連携機能を一時停止。利用者の保護と被害拡大防止を目的に、メンテナンスを実施しているという。

WINTICKETの発表より

　PayPay社も翌20日に「PayPayカードを騙るフィッシングメールにご注意ください」と注意喚起し、その中で「他社サービスとの連携による不正な支払いが確認された」と明らかにした。あわせて「PayPayならびにPayPayカードでは、アカウント連携やお支払い、送金・譲渡などのQRコードをメールで送ることはない」とし、フィッシングメールへの警戒を呼びかけている。