フィッシングメールは送信者を偽って電子メールを送信する詐欺手口です。
メールに記載されたURLから Webサイトに誘導し、IDやパスワードを盗み出すことを目的に送信されています。
「うっかりフィッシングメールを開いてしまった」「URLをクリックしてしまった」という場合、焦ってしまうかと思いますが、状況に応じた正しい対処を行えば被害は防げます。
この記事では、メールを「開封しただけ」の場合と、「URLをクリックしてしまった」場合、さらには「情報を入力してしまった」場合など、段階別の対処法を詳しく解説します。
また、特定の企業を狙って送信されるフィッシングメール(標的型攻撃メール)の基本については、以下の記事でも詳しく解説しています。
またLRMでは、企業に寄せられる標的型攻撃メールの事例・サンプルをまとめた資料を無料で配布しています。詳細な解説付きですので、今後のリスクに備え、より一層の理解にお役立てください。
【結論】メールを「開封しただけ」「URLをクリックしただけ」なら、まず落ち着いて
フィッシングメールを開いてしまったとき、まず確認すべきは以下の2点です。
- URLリンクをクリックしましたか?
- 添付ファイルを開いたり、情報を入力したりしましたか?
結論から言うと、メールの一覧画面で「開封しただけ」であれば、現在の一般的なメールソフトやスマホを使用している限り、ウイルス感染や個人情報流出のリスクは極めて低いです。
もしURLをクリックしてしまっても、「クリックしただけ(サイトを見ただけ)」で、その先で情報の入力やアプリのインストールを行っていなければ、深刻な被害に遭う可能性は低くなります。
ただし、100%安全とは言い切れないケースもあるため、念のため以下の状況別の対処法を確認してください。
メールを開封しただけの場合
プレビューや開封のみなら基本的には安全
GmailやOutlook、iPhoneのメールアプリなど、現代の主要なメールソフトはセキュリティ対策が進んでおり、メールを開封しただけでウイルスに感染することは稀です。過度に恐れる必要はありません。
画像の自動表示に注意
HTMLメールの場合、開封することで「メールアドレスが有効である(使われている)」という情報が攻撃者に伝わってしまうことがあります。これを防ぐために、メール設定で「画像の自動読み込みをオフ」にしておくとより安心です。
念のためスキャンを実施
「開封しただけ」でも不安が残る場合は、ウイルス対策ソフトで端末のスキャンを行っておきましょう。特に古いOSやブラウザを使用している場合は、念には念を入れることをおすすめします。
URLをクリックしてサイトにアクセスした場合
フィッシングメールのURLリンクをクリックしてしまった場合、以下の手順に沿って対処します。 特に「情報を入力していない」「ファイルをダウンロードしていない」場合は、まず落ち着いて以下の初動対応を行ってください。
すぐにブラウザを閉じる
フィッシングサイト(偽サイト)にアクセスしてしまったら、何もせずにすぐにブラウザのタブやウィンドウを閉じてください。サイトに表示されているボタンやポップアップ(「ウイルスに感染しました」などの警告含む)は絶対に触らないでください。
ネットワークを切断する(機内モードなど)
万が一、アクセスしただけで感染するマルウェア(ドライブバイダウンロード攻撃など)のリスクを考慮し、端末の通信を遮断します。
- スマートフォン:すぐに「機内モード」をONにしてください
- パソコン:有線LANケーブルを抜く、またはWi-FiをOFFにしてください
Webサイトの安全性をチェック(安全な別端末で)
アクセスしてしまったURLが本当に危険なものだったかを確認したい場合は、トレンドマイクロ社の「Site Safety Center」などの評価サイトを利用します。 ※危険なURLを再度開かないよう注意してください。
情報を入力・インストールしてしまった場合の対処法4ステップ
もし、リンク先で「ID・パスワードを入力した」「クレジットカード番号を入力した」「アプリをインストールした」という場合は、直ちに対処が必要です。
STEP1. ネットワークの遮断
前述の通り、まずはスマホを「機内モード」にするか、PCのLANケーブルを抜く、またはWi-FiをOFFにして、インターネットから切断します。これにより、盗まれた情報が送信され続けたり、遠隔操作されたりするのを防ぎます。
STEP2. パスワードの変更(別端末から)
入力してしまったIDやパスワードと同じものを使い回している全てのサービスで、パスワードを変更してください。
※重要:被害に遭った端末ではなく、安全な別の端末(別のPCや家族のスマホなど)を使って変更作業を行ってください。
STEP3. クレジットカード会社・金融機関へ連絡
クレジットカード情報や銀行口座情報を入力してしまった場合は、直ちにカード会社や銀行の紛失・盗難窓口へ連絡し、利用停止の手続きを行ってください。「フィッシング詐欺サイトに入力してしまった」と伝えればスムーズです。
STEP4. ウイルススキャンと初期化
不正なアプリやファイルをインストールしてしまった場合は、ウイルス対策ソフトでフルスキャンを行い、駆除します。完全に削除できない場合や不安が残る場合は、端末の初期化(ファクトリーリセット)を検討してください。
情報を入力してしまった後の詳細な対応については、以下の記事でも詳しく解説しています。
【事例別】よくあるフィッシング詐欺と見分け方
フィッシング詐欺は、誰もが利用している有名企業を騙ることが特徴です。以下のような件名や内容には特に注意してください。
Amazon・楽天・三井住友カード等のEC・金融系
- 件名例: 「お支払い方法の変更が必要です」「アカウントがロックされました」「不正利用の疑いがあります」
- 特徴: ユーザーの不安を煽り、偽のログインページへ誘導してID・パスワード・カード情報を盗もうとします
ヤマト運輸・佐川急便等の宅配系
- 件名例: 「お荷物のお届けにあがりましたが不在の為持ち帰りました」「配送状況の確認」
- 特徴: SMS(ショートメッセージ)で届くことも多いです(スミッシング)。また、偽のアプリ(Chromeなどの偽アイコン)をインストールさせようとする手口が横行しています
東京ガス・電力会社等のインフラ系
- 件名例: 「料金未納のお知らせ」「給湯器の点検について」
- 特徴: 生活に直結するインフラを騙ることで、焦ってリンクをクリックさせようとします
見分けるポイント
- 送信元アドレス: 公式のアドレスと微妙に異なっていないか(例: amazon-support@gmail.com などフリーメールが使われていないか)
- 日本語の違和感: 「アカウントは停止されました」など、不自然な言い回しがないか
- 急かす内容: 「24時間以内に対応しないと削除されます」など、時間制限で焦らせていないか
フィッシングメールのより詳しい見破り方については、以下の記事でも詳しく解説しています。
今後の被害を防ぐために(企業担当者・個人)
個人の対策:公式アプリやブックマークを利用する
メール内のURLはクリックせず、普段利用している「公式アプリ」や、ブラウザの「お気に入り(ブックマーク)」から公式サイトへアクセスして、通知を確認する習慣をつけましょう。
企業の対策:従業員教育の実施
フィッシングメールは日々巧妙化しており、システム的な対策(フィルタリングなど)だけでは100%防ぐことは不可能です。最終的には「人の目」で見抜く力が重要になります。
従業員がうっかりクリックしてしまい、そこから社内ネットワーク全体へウイルスが拡散するケースが後を絶ちません。 「怪しいメールは開かない」「クリックしてしまったらすぐに報告する」といった文化を醸成するためには、定期的なセキュリティ教育と訓練メールの実施が効果的です。
まとめ
フィッシングメールを開いてしまっても、「開封しただけ」であれば過度な心配は不要です。URLをクリックしてしまった場合も、「情報を入力しない」「機内モードにする」などの初動対応を誤らなければ、被害を最小限に抑えられます。
しかし、攻撃の手口は年々巧妙になっています。「自分は騙されない」と思っている人ほど、精巧な偽サイトに情報を入力してしまうリスクがあります。
従業員のセキュリティ意識向上なら「セキュリオ」
「従業員が不審なメールをクリックしてしまう」「セキュリティ教育のリソースが足りない」とお悩みの企業担当者様へ。
情報セキュリティ教育クラウド「セキュリオ」なら、
- 標的型攻撃メール訓練: 実践的な訓練メールを従業員に送信し、開封率や対応状況を可視化
- eラーニング: 最新のセキュリティ事例を学べる教材が充実
手軽に従業員のセキュリティレベルを底上げし、フィッシング詐欺による情報漏えいリスクを大幅に低減します。まずは無料トライアルで機能をお試しください。
