- コラム
フィッシング詐欺メールの見分け方|騙されないための確認ポイント
「Amazonアカウントが停止されました」「クレジットカードの不正利用を検知しました」「荷物の配送に問題が発生しました」——こうしたメールを受け取ったことはありませんか?
これらはフィッシング詐欺メールである可能性が高く、クリックするだけで個人情報・クレジットカード番号・パスワードを盗まれる危険があります。
この記事では、フィッシング詐欺メールの特徴・見分け方のポイント・もし騙されてしまった時の対処法をわかりやすく解説します。
目次
フィッシング詐欺とは
フィッシング詐欺とは、銀行・通販サイト・配送業者・公的機関などを装った偽のメールを送り、本物そっくりの偽サイトに誘導して、IDやパスワード・クレジットカード番号などの個人情報を盗み取る詐欺の手口です。
「フィッシング(Phishing)」の名前は、魚釣り(Fishing)に例えられており、大量のメールを無差別にばらまいて引っかかる人を「釣る」イメージからきています。
手口は年々巧妙になっており、本物のメールと見分けがつかないほど精巧に作られているものも増えています。
フィッシング詐欺メールによく使われる手口
まず、よく使われる手口のパターンを把握しておきましょう。
なりすましの対象として多いサービス
- Amazon・楽天・Yahoo!ショッピングなどのECサイト
- 三菱UFJ銀行・三井住友銀行・みずほ銀行などの金融機関
- クレジットカード会社(JCB・VISA・Mastercard)
- 佐川急便・ヤマト運輸・日本郵便などの配送業者
- NTT・ドコモ・au・SoftBankなどの通信会社
- マイナポータル・国税庁・社会保険事務所などの公的機関
よく使われる文面のパターン
- 「アカウントが停止されます。今すぐ確認してください」
- 「不正アクセスを検知しました。パスワードを変更してください」
- 「お支払い情報が正しくありません。更新してください」
- 「荷物を配送できませんでした。再配達の手続きをしてください」
- 「還付金が発生しています。お受け取りください」
共通しているのは「緊急性を煽る」「クリックを促す」という点です。
フィッシングメールの見分け方|7つの確認ポイント
確認ポイント①|送信元のメールアドレスをよく確認する
フィッシングメールは、一見すると本物らしい差出人名が表示されていますが、実際の送信元アドレスが全く関係のないドメインになっていることがほとんどです。
メールの差出人名ではなく、メールアドレスそのものを確認しましょう。
確認の例
- 表示名:「Amazon カスタマーサービス」
- 実際のアドレス:service@amazon-support-jp.xyz(本物のAmazonのドメインは @amazon.co.jp)
正規のサービスは必ず公式ドメインからメールを送ります。ドメイン(@以降の部分)が見慣れないものや、正規のドメインに似せた紛らわしいものになっていたら要注意です。
確認ポイント②|リンク先のURLをクリック前に確認する
メール内のリンクにカーソルを合わせると(クリックせずに)、実際に移動するURLがブラウザの下部またはポップアップに表示されます。
表示されているURLが正規サービスのドメインと一致しているか確認しましょう。
見分け方の例
- 正規:https://www.amazon.co.jp/
- 偽物:https://www.amazon.co.jp.secure-login.xyz/(ドメインはsecure-login.xyzであり、Amazonとは無関係)
ドメインは最後の「/」の直前の部分が本体です。「amazon」という文字が含まれていても、それがサブドメインやパスの部分であれば全く別のサイトです。
確認ポイント③|日本語の不自然さに注目する
フィッシングメールは海外で作られていることも多く、翻訳ツールを使っているため不自然な日本語になっていることがあります。
- 文章の流れがぎこちない
- 句読点の位置がおかしい
- 漢字・ひらがな・カタカナの使い方が変
- 機械翻訳っぽい不自然な表現がある
本物の企業は校正されたきちんとした文章でメールを送ります。少しでも違和感を感じたら疑いましょう。
確認ポイント④|「緊急」「今すぐ」などの煽り文句に注意する
フィッシングメールは、受信者を焦らせて冷静な判断をさせないようにする心理的な手法を使います。
「今日中に手続きしないとアカウントが削除されます」「24時間以内に確認が必要です」「緊急のお知らせ」——こうした緊急性を強調する表現は、詐欺メールの典型的なパターンです。
本物の企業も緊急のメールを送ることはありますが、そのような場合でもまずは公式サイトやアプリから直接確認する習慣を持ちましょう。
確認ポイント⑤|個人情報・パスワードの入力を求めるメールは疑う
正規の企業がメール内のリンクからパスワードやクレジットカード番号を入力させることはほとんどありません。
「メール内のリンクからログインしてください」「こちらにカード番号を入力してください」という誘導は、フィッシング詐欺の典型的な手口です。
確認ポイント⑥|心当たりがないメールは開かない・クリックしない
注文した覚えのない注文確認メール・登録した覚えのないサービスからのメール・見知らぬ宛先から届いた添付ファイル——心当たりのないメールは、開く前から慎重に対処しましょう。
添付ファイルをダウンロード・開くだけでマルウェアに感染するケースもあります。
確認ポイント⑦|公式サイトやアプリで直接確認する
「アカウントに問題が発生している」というメールを受け取った場合、メール内のリンクをクリックするのではなく、ブラウザで公式サイトを直接入力するか、公式アプリからログインして確認しましょう。
本当に問題が起きていれば、公式サイトやアプリにログインした後に通知が表示されます。
もし騙されてしまった時の対処法
フィッシングサイトでIDやパスワード・クレジットカード情報を入力してしまった場合は、できるだけ早く以下の対処をしましょう。
パスワードをすぐに変更する 該当するサービスのパスワードを今すぐ変更しましょう。同じパスワードを他のサービスでも使い回している場合は、それらのパスワードもすべて変更してください。
クレジットカード会社に連絡する カード情報を入力してしまった場合は、すぐにカード会社に連絡してカードを止めてもらいましょう。不正利用が発生していた場合も、早めに連絡することで補償を受けられる可能性があります。
金融機関に連絡する インターネットバンキングの情報を入力してしまった場合は、銀行のサポートセンターにすぐ連絡して口座を保護してもらいましょう。
警察・消費者庁に相談する 被害を受けた場合は、警察のサイバー犯罪相談窓口や消費者庁の相談窓口に報告・相談しましょう。
フィッシング詐欺を予防するための習慣
二段階認証を設定する パスワードが盗まれても、二段階認証(スマートフォンへの確認コード送信など)を設定しておけば、不正ログインを防ぎやすくなります。主要なサービスには必ず設定しておきましょう。
パスワードを使い回さない 複数のサービスで同じパスワードを使っていると、1つのサービスで情報が漏れただけで他のサービスも危険にさらされます。パスワードマネージャーを活用して、サービスごとに異なるパスワードを設定しましょう。
メールの受信フィルターを活用する GmailやYahoo!メールには迷惑メールフィルター機能があります。フィッシングメールと判定されたメールは自動的に迷惑メールフォルダに振り分けられるため、定期的に確認する習慣をつけましょう。
セキュリティソフトを導入する フィッシングサイトへのアクセスをブロックする機能を持つセキュリティソフトを導入しておくと、誤ってリンクをクリックした場合でも保護されることがあります。
まとめ
フィッシング詐欺メールの見分け方をまとめます。
- 送信元のメールアドレスを確認する:差出人名ではなくアドレスのドメインをチェック
- リンク先のURLをクリック前に確認する:カーソルを合わせてURLを確認
- 日本語の不自然さに注目する:機械翻訳っぽい文章は要注意
- 「緊急」「今すぐ」の煽り文句に惑わされない:冷静に判断する
- 個人情報・パスワード入力を求めるメールは疑う:正規企業はメールで入力を求めない
- 公式サイト・アプリで直接確認する:メール内リンクはクリックしない
少しでも「おかしいな」と感じたら、リンクをクリックせずに公式サイトやアプリで直接確認することが最大の防衛策です。
投稿者プロフィール
株式会社デジタルダイブ サービス担当者
1995年に愛知県で創業したホームページ制作会社です。
名古屋をはじめ、東京や大阪を拠点に全国の企業・官公庁の Web サイトを1,000サイト以上手掛け、幅広い分野で制作実績を積み重ねてきました。
創業以来、専門性の高いクリエイティブで信頼を築いています。
また、webデザインをはじめとしたクリエイタースクール「デジタルハリウッドSTUDIO名古屋」を運営しています。
【許認可】
一般社団法人 日本Web協会、日本セイバーメトリクス協会(理事)、愛知県「あいちロボット産業クラスター推進協議会」(無人飛行ロボット活用WG)、JETRO(日本貿易振興機構)、名古屋市 SDGs 推進プラットフォーム 他
【有資格】
愛知県 競争入札参加資格、名古屋市 競争入札参加資格、全国 競争入札参加資格、全省庁 競争入札参加資格 他