フィッシングメールとは？見分け方·開いてしまったときの対処法

フィッシングメールは、インターネットユーザーが直面する最も一般的なセキュリティ脅威の一つです。これは個人情報や財務情報を不正に取得しようとするもので、問題のない通常メールやSMSを装って送信されます。しかし、知識と注意をもって対処すれば、これらの詐欺行為から自身を守ることが可能。今回はフィッシングメールとは何か、その見分け方や対処法を紹介します。

ライター：CLIP編集部

フィッシングメールとは

フィッシングメールとは、送信者を偽ったメールを送信し企業の公式ページなどを模倣した悪意ある偽サイトへ誘導するメールのこと。金融機関やクレジットカード会社、宅配業者などを装い、クレジットカード情報やWebサイトのユーザーID、パスワードなどの個人情報を盗み出そうとするメールが多くあります。

最近ではSMS（ショートメッセージサービス）を利用した「スミッシング」と呼ばれる手口も増えてきているので、そちらにも注意しましょう。

スパムメールとの違い

フィッシングメールとスパムメールには大きな違いが存在します。フィッシングメールは信頼のある人物や企業を装い、個人情報を盗み取ろうとするもの。一方、スパムメールは不特定多数の人に送信される広告つきメールです。

フィッシングメールの見分け方

フィッシングメールは以下の方法で見分けることが可能です。

送信者のメールアドレスを確認する

メールの差出人アドレスを確認し、企業や組織の公式ドメイン名から送信されているか確認しましょう。

例えば、正規のメールアドレスexample@company.comに似ているがよく見るとexample@comqany.comやexample@good_company.comなど、異なるドメインからのメールはほぼ間違いなくフィッシングメールです。

メール内のリンクや添付ファイルを疑う

メール内にリンクが貼られている場合は、リンクにカーソルを合わせてURLを表示します（パソコンの場合。※この時、絶対にURLはクリックしない）。表示されたURLと、メール本文などで語られているWebサイトのURLを照合。異なる場合や、URLの短縮などにより確認できない場合はアクセスを控えましょう。

添付ファイルが含まれている場合は、送り主に確認が取れたなど、安全が保障されるまでは開かないようにしましょう。

文言の矛盾や誤字脱字が多い

メール本文やタイトルに文法やスペルの誤り、不自然な言い回しがある場合も要注意。
怪しいと感じた場合は、送信元のメールアドレスをインターネットで検索してみるのがおすすめです。

フィッシングメールから身を守る方法

フィッシングメールの脅威から身を守るために、これから紹介する点にぜひ注意をしてみてください。

複雑なメールアドレスの使用

メールアドレスは、誰もが思いつくような一般名詞や数字を順番に並べるなどせず、複雑にするのも有効です。「無差別攻撃」や「辞書攻撃」と呼ばれる、不特定多数に送られるフィッシングメールやスパムメールの受信を防げる可能性があります。

定期的なセキュリティ更新

セキュリティソフトやメールソフトのセキュリティ更新を行えば、これまでの脆弱性が都度修正され、単純なフィッシングメールやスパムメールをブロックしてくれるでしょう。自動更新を有効にしていない場合は、手動での更新が必要です。更新を怠ると脆弱性が放置されることになるので注意しましょう。

IDやパスワードの使い回しはしない

IDやパスワードを複数のWebサイトやアプリで使い回していると、ひとつのWebサイトの情報が盗まれただけで他のところにあるデータも芋づる式に盗まれてしまう危険性があります。IDやパスワードは可能な限り別のものを設定しましょう。

セキュリティ機能が整備されているWebサイトやアプリを利用する

普段利用しているWebサイトやアプリで、ワンタイムパスワードや生体認証、メール認証、SMS認証などを設定しておくようにしましょう。仮にフィッシングメールに気がつかず個人情報を盗まれてしまったとしても、第三者はそのとき得た情報だけではWebサイトやアプリにログインできないため被害の拡大を防げます。

クレジットカード会社や金融機関が行わないことを把握しておく

クレジットカード会社や金融機関が、個人情報やクレジットカード情報をメールで聞いてくることはありません。このような基本的な知識を覚えておくだけでも、被害を未然に防げるでしょう。

フィッシングメールのURLを開いてしまったら

誤ってフィッシングメールのURLをクリックしてしまった場合は、速やかに以下の対応を実施してください。

ネットワーク接続を切る

悪意のあるURLだと思っているものを誤って開いてしまった場合、まずWebサイトへの移行中にインターネット接続を切りましょう。フィッシングメールのURLを開いて悪意のあるプログラムやコンピュータウイルスにデバイスが感染している場合、個人情報などがインターネットを通じて送信され漏洩してしまう可能性があります。インターネット接続を切るタイミングが間に合えば、被害を防げるかもしれません。

インターネット接続を切るには、以下の方法で対応しましょう。

• 有線LANをパソコンに挿している場合は、有線LANを抜きましょう。
• Wi-Fi(無線LAN)を利用してインターネット接続している場合は、端末のWi-Fiをオフにしましょう。

Windowsパソコンのインターネット接続を切る場合は、「設定」から「ネットワークとインターネット」をクリックして「Wi-Fi」をオフに切り替えるか、モニター画面下のタスクバーから「クイック設定」を表示して「Wi-Fi」マークをオンからオフに切り替えます。スマートフォンはそれぞれの機種に応じた操作方法でWi-Fiと機内モードのマークを表示し、それぞれのマークをタップしてオフにします。

送信元や真偽の確認

悪意のあるWebサイトに移り、個人情報を入力した後にフィッシングメールの可能性に気がついた場合は、それが本当にフィッシングメールだったのか送信元のメールアドレスなどを確認しましょう。

フィッシングメールだったと判明すれば、次の対処を行います。

ウイルス対策ソフトでスキャン

その場でデータが盗まれるのではなく、ウイルスに感染させてあとから情報が盗まれることもあるため、ウイルス対策ソフトを使用してコンピュータ全体をスキャンしましょう。スキャンにより見つかった脅威は、指示に従ってすぐに削除などの対応をしましょう。

カード情報などを漏らした場合は、正規企業に問い合わせ

クレジットカード情報などを悪意のあるWebサイトに入力してしまった場合は、クレジットカード会社などへすぐに問い合わせをし、そのとき受ける指示に従いましょう。

まとめ

近年のフィッシングメールは巧妙に設計されています。自分自身や所属する組織を危険にさらさないよう常に警戒心を持ち、疑わしいメールには反応しないように気をつけましょう。