フィッシングメールの見分け方|7つのチェックポイントと対策
フィッシングメールを見分けるための7つのチェックポイントを解説。実際の詐欺メール事例と、企業として取るべき対策を紹介します。
「このメール、本物?偽物?」
フィッシングメールは年々巧妙化しており、見分けるのが難しくなっています。この記事では、フィッシングメールを見分けるための具体的なチェックポイントと、企業として取るべき対策を解説します。
フィッシングメールとは
フィッシングメールは、銀行や有名企業を装い、個人情報やログイン情報を盗み取ることを目的とした詐欺メールです。
被害の実態
| 年度 | フィッシング報告件数 | 被害額(推定) |
|---|---|---|
| 2023年 | 約120万件 | 約80億円 |
| 2024年 | 約150万件 | 約100億円 |
狙われやすいサービス
- 銀行・クレジットカード(40%)
- 通販サイト(Amazon、楽天など)(25%)
- 宅配業者(15%)
- 行政機関(10%)
- その他(10%)
フィッシングメールの見分け方:7つのチェックポイント
1. 送信元アドレスを確認
偽物のパターン:
support@amazon-security.com(本物はamazon.co.jp)
info@mufg-bank.jp(本物はmufg.jp)
noreply@rakuten.co.jp.cn(.cnドメイン)
チェック方法:
- @以降のドメイン名を確認
- 公式サイトのドメインと照合
- 似ているが微妙に違うスペルに注意
2. リンク先URLを確認
クリックする前に:
- リンクにマウスを乗せる(クリックしない)
- 表示されるURLを確認
- 短縮URL(bit.lyなど)は特に注意
偽物のパターン:
https://amazon.co.jp.fake-site.com/login
https://secure-mufg.net/banking
https://rakuten.verify-account.com
本物:
https://www.amazon.co.jp/...
https://direct.bk.mufg.jp/...
https://www.rakuten.co.jp/...
3. 緊急性を煽る文言
フィッシングメールは不安を煽って判断を鈍らせます。
危険なフレーズ:
- 「24時間以内に対応しないとアカウントが停止されます」
- 「不正アクセスを検知しました。今すぐ確認してください」
- 「お支払い方法に問題があります」
- 「アカウントが一時停止されました」
正規のサービスは:
- 電話や郵送でも連絡する
- 極端に短い期限を設けない
- 複数回のリマインダーを送る
4. 日本語の不自然さ
機械翻訳や外国人による作成が多いため、日本語に違和感があります。
不自然なパターン:
- 「親愛なるお客様」
- 「あなたのアカウントは危険にさらされています」
- 句読点の使い方がおかしい
- 漢字の間違い、常用外の漢字使用
5. 個人情報の入力を求める
正規のサービスがメールで以下を求めることはほぼありません:
- パスワード
- クレジットカード番号(全桁)
- 暗証番号
- マイナンバー
- 生年月日 + 他の個人情報
6. 添付ファイル
危険なパターン:
- 予期しない添付ファイル
- .exe、.zip、.scr、.js などの拡張子
- 請求書、領収書を装ったファイル
7. デザインの微妙な違い
確認ポイント:
- ロゴの画質が低い
- レイアウトが崩れている
- フッターの連絡先が不完全
- 著作権表示の年が古い
実際のフィッシングメール事例
事例1: Amazonを装った詐欺
件名: 【重要】お支払い方法の更新が必要です
お客様各位
お客様のアカウントで異常なアクティビティが検出されました。
セキュリティ上の理由から、以下のリンクより24時間以内に
お支払い情報を更新してください。
[今すぐ更新する]
※本メールに心当たりのない場合は、お手数ですが
カスタマーサービスまでご連絡ください。
見分けるポイント:
- 送信元が amazon.co.jp ではない
- 「異常なアクティビティ」という曖昧な表現
- 24時間という短い期限
- リンク先URLが不正
事例2: 宅配業者を装った詐欺
件名: 【佐川急便】お届け物のお届けについて
お届け予定の荷物がありますが、住所に問題があり
配達できませんでした。
以下のリンクから住所の確認をお願いします:
[確認する]
※48時間以内にご確認いただけない場合、
荷物は送り主に返送されます。
見分けるポイント:
- 具体的な荷物情報がない
- 不在票番号がない
- リンクでの住所確認(通常は不在票記載の番号で確認)
メールが本物か確認する方法
方法1: 公式サイトから直接アクセス
メールのリンクをクリックせず、ブラウザで公式サイトを直接開いてログイン。
方法2: 公式アプリで確認
スマートフォンの公式アプリから通知を確認。
方法3: 電話で確認
公式サイトに記載されている電話番号に問い合わせ(メール記載の番号は使わない)。
方法4: メールヘッダーを確認
技術に詳しい方は、メールヘッダーで送信元を確認できます。
# 確認すべきヘッダー
Return-Path: <実際の送信元>
Received: from 送信サーバー情報
Authentication-Results: SPF/DKIM/DMARC の結果
企業として取るべき対策
自社のドメインがフィッシングに悪用されないよう対策することも重要です。
1. メール認証の設定
SPF、DKIM、DMARCを正しく設定することで、自社ドメインのなりすましを防げます。
# DMARC(p=rejectで厳格に)
_dmarc.example.com TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"
RiskLensで診断: 自社ドメインのメール認証設定状況を確認し、問題があれば改善しましょう。
2. BIMI(Brand Indicators for Message Identification)
メールにブランドロゴを表示させることで、正規メールであることを視覚的に示せます。
3. 社員教育
- 定期的なフィッシング訓練
- 報告体制の整備
- 不審メール共有の仕組み
4. 顧客への周知
- 公式メールの特徴を告知
- フィッシングへの注意喚起
- 正規の連絡手段を明確化
フィッシングメールを受け取ったら
個人の場合
- リンクをクリックしない
- 添付ファイルを開かない
- メールを削除する
- フィッシング対策協議会に報告(任意)
既にクリックしてしまった場合
- パスワードを即座に変更
- クレジットカード会社に連絡
- 不正利用がないか確認
- ウイルススキャンを実行
まとめ
フィッシングメールを見分けるための7つのチェックポイント:
| No | チェックポイント | 確認方法 |
|---|---|---|
| 1 | 送信元アドレス | @以降のドメインを確認 |
| 2 | リンク先URL | マウスオーバーで確認 |
| 3 | 緊急性を煽る文言 | 冷静に判断 |
| 4 | 日本語の自然さ | 違和感がないか |
| 5 | 個人情報の要求 | メールで求められることはない |
| 6 | 添付ファイル | 予期しないファイルは開かない |
| 7 | デザインの品質 | 公式サイトと比較 |
迷ったら、メールのリンクではなく公式サイトから直接確認することが最も安全です。
また、企業としては自社ドメインがなりすまされないよう、SPF/DKIM/DMARCを正しく設定することが重要です。RiskLensで設定状況を確認しましょう。