詐欺メール・フィッシング詐欺の被害を防ぐ方法｜最新の最適解は？

「アカウントが停止されました。今すぐ確認を」

そんなメールが届いたら、ドキッとしますよね。 「なんとかしなきゃ」と慌ててリンクをクリックしてしまうかもしれません。フィッシング詐欺はその瞬間を狙っているのです。

詐欺メールは年々巧妙になり、もはや見分けること自体が難しくなっています。では、いったいどうすれば身を守れるのでしょうか。

そもそもフィッシング詐欺とは？

フィッシング詐欺（Phishing）とは、実在する企業や機関になりすましたメールやSMSで偽サイトに誘導し、IDやパスワード、クレジットカード番号などを盗み取る詐欺の手口のことです。

フィッシング対策協議会によれば、2024年のフィッシング報告件数は過去最多の171万8,036件（前年比で約1.44倍）。

警察庁の発表ではフィッシングを用いた不正送金事件の被害額は86億9,000万円にのぼっており、被害は年々深刻化しています。

たとえばこんなメールに注意

フィッシング詐欺でなりすましの対象になりがちなのは、たとえばこんなサービスや機関。

このように誰もが一度は利用したことがあるような有名サービスを装って、たとえばこんなメールが送られてきます。

メールの文面はさまざまですが、共通しているのは「このままだとまずい（不安）」「いいことがありそう（期待）」などと思わせて、つい本文のリンクをクリックしてしまうように誘導している点です。

2020年頃からは、SMS（携帯電話番号宛てに届く短いメッセージ）に届くケース（「スミッシング」）も増加しています。代表的なのは、宅配便の不在通知や携帯料金の未払いを装ったもの。

スマホの普及で企業がSMSを公式通知に使うようになったことで、「本物らしいSMS」を装う詐欺も増えました。いまや80代でも3人に2人がスマホを持つ時代になっていますから、詐欺メール被害の裾野はますます広がっていると言えるでしょう。

「見分ければいい」はもう通用しない

とはいえ、「怪しいメールはよく見れば見分けられる」と思っている方も多いかもしれません。たしかに以前は、詐欺メールには「日本語がおかしい」「送信元アドレスが変」といった特徴がありました。しかし今は状況が大きく変わっています。

送信元アドレスは偽装できる

これまでは「送信元のアドレスをよく見ると本物と異なる」というのが見分けるヒントになっていました。ところが今では、「amazon.co.jp」などのように本物と同じドメインに偽装して送られてくるケースも出てきています。

これではアドレスをしっかり確認しても、本物かどうか判断できません。

AIで文面も自然になった

「よく読むと日本語がちょっと不自然」というのもまたヒントの一つでしたが、近年の生成AIの普及により、違和感のない自然な文章が簡単に作れるようになっています。

ChatGPTなどを試したことがある方はご存じかと思いますが、もはや「日本語がおかしい」という判断基準は通用しません。

偽サイトは本物そっくり

万が一詐欺メールのリンクをクリックしてしまうと、本物のサイトをそのまま複製した偽サイトに誘導されます。

見た目は本物と区別がつかないため、気づかないままIDやパスワード、クレジットカード番号を入力してしまうケースが後を絶ちません。

つまり、どれだけ注意深く確認しても、見分けること自体に限界が来ているのが現状なのです。

だから「クリックしない」が唯一の対策

見分けられないならどうすればいいのか。その答えは、シンプルに「クリックしない」一択。これが今、誰でも実践できる唯一の確実な対策です。

警察庁も「電子メールやSMS内のリンクを安易にクリックせず、あらかじめ公式サイトを『お気に入り』や『ブックマーク』に登録しておいたり、公式アプリを活用するなどして正しいサイトに接続するようにしてください」と呼びかけています。

メールやSMSにリンクが貼ってあっても、クリックしない。確認したいことがあれば、公式アプリかブックマークから直接開いて確認する。これを徹底しておけば、フィッシング詐欺で個人情報やお金を盗まれるリスクはほぼなくなります。

「でも本物だったらどうする？」と思ったら

「でももし本物の通知だったら、延滞料金や法的措置をとられるのでは…」と心配になりますよね。

その点は安心して大丈夫。企業や公的機関が、本当に大切な連絡をメールやSMSのリンクだけで済ませることはありません。

① 金融機関はメールでID・パスワードを聞かない

全国銀行協会は明確に述べています。「お客さまの暗証番号、インターネットバンキング等のログインID・パスワード等を、メールやSMSで問い合わせたりすることも、メールやSMSでウェブサイトに誘導した上で入力を求めるようなこともございません。」

銀行やカード会社からメールでIDやパスワードの入力を求められたら、それは詐欺です。

② 国税庁は税金の督促を封書で送る

e-Tax（国税庁）の公式ページには「国税庁では、支払の催促や差押の予告に関する内容のメールはお送りしておりません」と明記されています。

「未納の税金があります」「差し押さえを行います」という内容のメールはすべて詐欺です。万一本当に未納があれば、税務署から封書で通知が届きます。

③ 応募していない当選通知はそもそもない

応募していない懸賞に当選することはありません。賞品受け取りのためにクレジット情報や個人情報の入力を求めてきても、無視してください。

もし「いろいろ応募しすぎて覚えていない」というようであれば、そもそもやみくもに応募しないようにするのが安心かもしれません。

クーポンや特典も、公式ページから確認できる

「クーポンが発行されました」「ポイントが失効しそう」などという通知が届いた場合は、リンクをクリックせずに、改めて公式アプリまたは公式サイトのマイページを開きましょう。

リンクをクリックしなくても、公式ページでクーポンもポイントも確認できるはずです。

やってしまったときの対処法

それでも、もしうっかりやってしまった場合は、落ち着いて一つずつ対処しましょう。

リンクをクリックしてしまった

クリックだけですぐに被害が出ることはほとんどありませんが、マルウェア感染のリスクもゼロではありません。

まず開いたページをすぐに閉じてください。PCであれば、その後ウイルス対策ソフトでスキャンを実行しましょう。

スマホの場合は自動でセキュリティチェックが動いていますが、スマホの動作に不審な点がないかは確認しておきましょう。

セキュリティソフトの参考にーウイルスバスター製品ラインナップ（PR）

不審なアプリをインストールしてしまった

SMSに宅配業者の不在通知が届いた→リンクをタップして「荷物追跡アプリ」をインストール→そのアプリがマルウェアで個人情報を抜き取られてしまった。こんなケースも実際に報告されています。

もしリンク先で不審なアプリをインストールしてしまったら、すぐにネットワークを切断し（機内モード・Wi-Fiオフ）、アプリを削除してください。

その後、スマホで使っているメールアカウントやSNS、金融系サービスなどのパスワードは必ず変更しておきましょう。

個人情報・パスワード・カード番号を入力してしまった

偽サイトで個人情報やパスワードを入力してしまった場合は、該当するサービスのパスワードをすぐに変更してください。同じパスワードを使い回している場合は他のサービスも変更が必要です。

カード番号を入力してしまった場合は、カード会社にすぐ連絡してください。

不安なときは窓口に相談

「ちゃんと対処できたか心配」「そもそも詐欺にかかったかどうかわからない」など、不安なときは一人で抱え込まずに相談窓口を活用しましょう。

技術的なアドバイスはIPA安心相談窓口、フィッシングサイトの報告はフィッシング対策協議会、実際に被害が出た場合は最寄りの警察署またはサイバー犯罪相談窓口が対応してくれます。

紛らわしい通知は無視しよう

「クリックしない」というシンプルな習慣が、詐欺師とのいたちごっこから抜け出す近道です。

「おや？」と感じたメールやSMSは、「見極めよう」とするのをやめて、思い切って無視してしまいましょう。