フィッシングメールとは
フィッシングメールとは、実在する企業(Amazon、楽天、銀行など)を装って偽のメールを送りつけ、偽サイト(フィッシングサイト)へ誘導してID・パスワードやクレジットカード情報を盗み出す詐欺手口のことです。
「変なメールが届いた」「本物かどうか判断できない」と不安な方へ。フィッシングメールには明確な特徴があります。
この記事では、今すぐ確認できる「フィッシングメールの見分け方」を3つのポイントで解説します。被害に遭わないための対策や、万が一クリックしてしまった場合の対処法もあわせて紹介します。
フィッシングメールの見分け方・3つの重要チェックポイント
迷惑メールフィルタをすり抜けて届いたメールが「本物か偽物か」を見分けるには、以下の3点を必ず確認してください。1つでも当てはまる、または違和感がある場合は、絶対にURLをクリックしてはいけません。
送信元のメールアドレスを確認する
最も確実な見分け方は「送信元メールアドレス(Fromアドレス)」の確認です。
フリーメールアドレス:企業からの重要なお知らせにも関わらず、GmailやYahoo!メールなどのフリーメールが使われていませんか?
不自然なドメイン:企業の正規ドメインに見せかけた「偽装ドメイン」に注意してください。
例)Amazonの場合:amazon-support@example.com(正規は amazon.co.jp など)
例)文字の偽装:l(エル)の代わりに1(イチ)、o(オー)の代わりに0(ゼロ)を使っている
本文の「緊急性」と「日本語」を確認する
フィッシングメールは、受信者の不安を煽り、冷静な判断力を奪おうとします。
- 緊急性を煽る件名や本文:
- 「【重要】アカウントが停止されました」
- 「24時間以内に確認してください」
- 「未納料金があります。至急お支払いください」
- 不自然な日本語:
- 「こんにちは、親愛なるお客様」といった機械翻訳のような表現
- 漢字のフォントが中国語フォントになっている(「文」や「即」の字形が日本と異なるなど)
これらのような「急かす内容」であればあるほど、一度立ち止まり、メール内のリンクではなく、ブラウザのブックマークや公式アプリから公式サイトへアクセスして確認する癖をつけましょう。
URL(リンク先)を確認する
メール本文に記載されているURLや、ボタンのリンク先も必ずチェックします。
- URLの偽装:
- リンクのテキスト表示が正規のURLに見えても、実際のリンク先(ハイパーリンク)が全く異なるURLになっているケースがあります
- 確認方法:
- PCであればマウスポインタをリンクの上に置く(クリックはしない)、スマホであればリンクを長押しすることで、実際の遷移先URLが表示されます。ここで見覚えのないドメインが表示されたらフィッシングです
- SSL(https)の有無だけでは判断しない:
- 最近のフィッシングサイトは「https」化されているものも多く、「鍵マークがあるから安全」とは限りません
【最新事例】フィッシングメール・偽サイトのトレンド
従来の手口に加え、近年はより巧妙な手口が増加しています。
SMS(ショートメッセージ)による「スミッシング」
メールだけでなく、スマートフォンのSMS(ショートメッセージサービス)を用いたフィッシング詐欺(スミッシング)が急増しています。「宅配便の不在通知」や「携帯電話料金の未払い」を装い、偽サイトへ誘導してアプリをインストールさせたり、情報を入力させたりする手口です。
本物そっくりの偽サイト(クローンサイト)
ロゴ、デザイン、メニュー構成まで公式サイトを丸ごとコピーした「クローンサイト」が増えています。見た目だけで本物と区別することは非常に困難です。そのため、前述した「URL(ドメイン)の確認」が唯一の確実な対抗策となります。
もしフィッシングメールを開く・入力してしまったら?
万が一、フィッシングサイトにアクセスしたり、情報を入力してしまった場合の初動対応です。
①すぐにネットワークを切断する:PCやスマホのWi-Fiを切り、機内モードにするなどして通信を遮断します
②ID・パスワードを変更する:他の端末(安全なPCやスマホ)から正規サイトへアクセスし、パスワードを直ちに変更してください。使い回している他のサービスのパスワードも変更が必要です
③クレジットカード会社・金融機関へ連絡:カード情報を入力してしまった場合は、カード会社へ連絡して利用停止の手続きを行います
④社内担当者へ報告(業務端末の場合):会社のPCやスマホで操作した場合は、自分で判断せず、速やかに情シスやセキュリティ担当部門へ報告してください。報告の遅れが被害拡大につながります
組織としてできるフィッシング対策
従業員一人ひとりの注意はもちろん重要ですが、巧妙化する攻撃を個人のリテラシーだけで防ぐには限界があります。組織としての技術的対策と教育が必要です。
技術的な対策
- 迷惑メールフィルタの導入
- エンドポイントセキュリティ(EDRなど)の導入
- ブラウザやOSを常に最新の状態に保つ
教育・訓練の実施
「知っている」と「できる」は違います。実際のフィッシングメールに近い模擬メールを従業員に送信し、開封率や対応状況を確認する「標的型攻撃メール訓練」が非常に有効です。
定期的に訓練を行うことで、「怪しいメールは開かない」「URLを安易にクリックしない」「報告ルートを確認する」といったセキュリティ意識が組織全体に定着します。
LRMのセキュリティ教育クラウド「セキュリオ」では、最新のフィッシング手口を模した訓練メールを簡単に作成・送信できます。開封後の教育コンテンツも充実しており、従業員のセキュリティレベル向上を強力にサポートします。
まとめ
フィッシングメールは、「送信元」「緊急性」「URL」の3点を落ち着いて確認することで見分けることができます。
- 送信元:フリーメールや偽装ドメインではないか?
- 緊急性:「アカウント停止」「至急」など焦らせる内容ではないか?
- URL:リンク先が正規のドメインか、長押し等で確認したか?
怪しいメールが届いたら、絶対にURLをクリックせず、社内の報告窓口や公式サイトへ直接確認するようにしましょう。
