怪しいURLが届いた時、開いてよいのか、押しただけで危ないのか、不安になることがあります。
特に、本人確認、支払い失敗、荷物の不在通知、アカウント停止などの文面があると、急いで確認したくなるかもしれません。
ただ、怪しいURLは、開いて確かめるのではなく、まず公式アプリやブックマーク済みの公式サイトから確認することが大切です。
URLの見方、メールやSMS内リンクを使わない確認手順、URLチェッカーの注意点、すでに押した場合の対処を順番に見ていきましょう。
・怪しいURLを開かずに確認する基本手順
・URLを見る時に注意したいポイント
・URLチェッカーを使う時の考え方
・押した後や入力後に必要な対処
怪しいURLを確認する前にやること
怪しいURLを見た時は、開いて安全かどうかを試すのではなく、まず開かないまま確認することが大切です。
特にメールやSMSに入っているURLは、表示名や文面だけでは判断しにくく、正規サービスに似せた偽の画面へ誘導されることがあります。
この章では、URLを押す前にやることと、避けるべき行動を扱います。
・迷ったら開かず公式から確認する
・メールやSMS内リンクは使わない
・押してよいかは文面だけで決めない
・まず確認する記録と画面
迷ったら開かず公式から確認する
怪しいURLを確認したい時の基本は、そのURLを開かずに公式アプリや公式サイトから確認することです。
メールやSMSに「本人確認が必要」「支払いに失敗しました」「アカウントを停止します」などと書かれていても、本文中のURLを押して確かめる必要はありません。
まずは、普段から使っている公式アプリを開き、通知、利用履歴、注文履歴、支払い状況、会員情報などに同じ案内が出ているかを見ます。
公式アプリを使っていない場合は、検索結果の広告やメール内リンクではなく、ブックマーク済みの公式サイトからログインする方が安全です。
確認の順番は、次のようにすると迷いにくくなります。
- メールやSMS内のURLを押さない。
- 公式アプリを開く。
- 通知、注文履歴、利用履歴、支払い状況を見る。
- ブックマーク済みの公式サイトから確認する。
- それでも不安な場合は、公式ヘルプや公的機関の注意喚起を見る。
IPAは、突然送られてくるURLリンクは基本的にクリックせず、サービスを利用する時はブックマークや正規アプリを使うよう案内しています。
(出典:IPA公式サイト)
メール内リンクを押さずに確認する流れを詳しく見たい場合は、メール内リンクを押さずに公式サイトで確認する手順も参考になります。
メールやSMS内リンクは使わない
メールやSMSに入っているURLは、見た目だけでは安全かどうかを判断しにくいことがあります。
差出人名が有名なサービス名になっていても、実際の送信元やリンク先が別物というケースがあるためです。
特に注意したいのは、次のようなリンクです。
・「確認する」「更新する」「支払う」などのボタン型リンク
・画像の中に仕込まれたリンク
・短縮URL
・ブランド名に似せた長いURL
・ログイン画面やカード番号入力画面へ進ませるURL
メールやSMS内のリンクを使わないというのは、何も確認しないという意味ではありません。
確認する入口を変えるということです。
たとえば、荷物、通販、カード、銀行、会員サービスなどの通知に見える場合でも、メッセージ内のURLではなく、公式アプリ、ブックマーク済み公式サイト、利用履歴、注文履歴、カード明細から確認します。
この方法なら、偽のURLに誘導される可能性を下げながら、必要な案内が本当に出ているかを見られます。
警察庁も、メールやSMSに記載されているリンクはクリックせず、公式サイトやアプリで確認することを案内しています。
(出典:警察庁公式サイト)
押してよいかは文面だけで決めない
URLを押すかどうかは、文面だけで決めない方が安全です。
フィッシングの文面は、焦らせる言葉を使って判断を急がせることがあります。
たとえば、次のような内容です。
・アカウントを停止します
・本人確認が必要です
・支払いが確認できません
・荷物を持ち帰りました
・利用制限を解除してください
・不正利用の疑いがあります
こうした文面があるからといって、そのメールやSMSが必ず偽物だと断定する必要はありません。
ただし、急がせる内容がある時ほど、本文中のURLから進まないことが大切です。
本当に重要な連絡であれば、公式アプリや公式サイトの会員ページ、注文履歴、利用履歴、カード明細などにも何らかの案内が出ている可能性があります。
反対に、メールやSMS内のURLを開いた先でだけ入力を求められ、公式側の画面では何も確認できない場合は、そこで進めない方が安全です。
怪しいメール全体の見方も合わせて確認したい場合は、怪しいメールが本物か安全に確認する方法が参考になります。
まず確認する記録と画面
怪しいURLを見つけたら、すぐ削除する前に、必要な範囲で状況を整理しておくと後で相談しやすくなります。
ただし、URLを再度開く必要はありません。
残しておきたい情報は、次のようなものです。
・届いた日時
・差出人名や送信元の表示
・メールやSMSの件名
・本文のスクリーンショット
・表示されているURL
・押したかどうか
・何か入力したかどうか
・アプリを入れたかどうか
・電話したかどうか
スクリーンショットを撮る場合も、リンクを押さずに画面だけを保存します。
家族や相談先に見せる時は、どの画面を見て不安になったのか、どこまで操作したのかが分かると状況を整理しやすくなります。
フィッシング対策協議会では、フィッシングと思われるメールやSMSを報告する時、リンクをクリックせず、タイトル、差出人名、送信日時、概要などを送る方法が案内されています。
SMSの場合はスクリーンショットを取得して添付する方法も示されています。
(出典:フィッシング対策協議会公式サイト)
怪しいURLの見方と注意点
URLを見る時は、1つの記号や単語だけで安全と決めないことが大切です。
「https」と表示されている、ブランド名が入っている、見た目がきれい、一覧に載っていない、といった要素だけでは十分ではありません。
この章では、URLを開く前に見ておきたいポイントと、判断を誤りやすい点を扱います。
・httpsだけでは安全と判断しない
・公式ドメインとの違いを見る
・短縮URLやボタン型リンクに注意
・偽サイトはURL以外も確認する
・危ないURL一覧だけに頼らない
httpsだけでは安全と判断しない
URLの先頭に「https」と表示されていると、安全なサイトに見えることがあります。
しかし、httpsは通信の仕組みに関する表示であり、そのサイトが本物であることや、入力してよい相手であることを保証するものではありません。
見るべき中心は、httpsの有無だけではなく、公式サイトと同じドメインかどうかです。
ブランド名のような文字が入っていても、余計な単語が追加されていたり、見慣れない末尾になっていたりする場合は慎重に見る必要があります。
たとえば、正規サービス名らしき文字がURLの一部に入っていても、それだけで本物とはいえません。
URL全体を見た時に、普段使っている公式サイトと同じ形か、ログインや支払いを求められる理由が自然かを合わせて考えます。
不安が残る場合は、そのURLを開いて確かめるのではなく、公式アプリやブックマーク済み公式サイトから同じ案内が出ているかを確認します。
公式ドメインとの違いを見る
怪しいURLを見分ける時は、ブランド名が入っているかだけでなく、公式ドメインと一致しているかを見ます。
フィッシングでは、正規サービスに似せたドメイン名や、紛らわしい文字列を使うことがあります。
確認する時は、次の点を見ます。
・普段使っている公式サイトと同じドメインか
・ブランド名の前後に余計な単語が付いていないか
・文字の並びが不自然ではないか
・長すぎる文字列で判断しにくくなっていないか
・ログインや支払い画面へ急に誘導していないか
ただし、URLの文字列だけで完全に判断しようとすると危険です。
本物に似せたURLは見た目で迷いやすく、短時間だけ使われるものもあります。
そのため、URLを見て「少しでも変だ」と感じたら、開かずに公式側の入口へ切り替えることが重要です。
公式アプリ、ブックマーク済み公式サイト、注文履歴、利用履歴、カード明細など、メール外の確認手段を使います。
短縮URLやボタン型リンクに注意
短縮URLやボタン型リンクは、開く前に実際の行き先が分かりにくいことがあります。
メールやSMSでは、URLそのものが表示されず、「確認する」「手続きする」「更新する」といったボタンだけが見える場合もあります。
また、画像の中にリンクが仕込まれていることもあります。
文字のURLを押していないつもりでも、画像やバナーをタップしたことで別のページへ移動することがあります。
特に、スマホでは画面が小さく、リンク先を細かく確認しにくい場面があります。
見た目が公式の案内に似ていても、ボタンや画像を押して確認するのではなく、公式アプリや公式サイトから入り直す方が安全です。
「URLが見えていないから大丈夫」ではなく、「どこへ移動するか分からないリンクは押さない」と考えると判断しやすくなります。
偽サイトはURL以外も確認する
偽サイトは、URLだけでなく、画面全体の内容にも不自然な点が出ることがあります。
通販サイトや決済画面に見える場合は、URLと合わせて、表示内容や支払い条件も見ます。
確認したい点は、次のようなものです。
・公式通販サイトのURLか
・連絡先が表示されているか
・価格が極端に安くないか
・支払方法が限定的ではないか
・日本語が不自然ではないか
消費者庁は、偽サイトの確認点として、公式通販サイトのURLか、連絡先の表示、極端に安い価格、支払方法の限定、不自然な日本語などを挙げています。
(出典:消費者庁公式サイト)
ただし、見た目が整っているから安全とは限りません。
ログイン、カード番号、銀行情報、認証コードなどを求められた場合は、その画面で入力を続けず、公式アプリや公式サイトから確認し直します。
危ないURL一覧だけに頼らない
「危ないサイトURL一覧」に載っているかどうかを調べたくなることがあります。
一覧は参考になる場合がありますが、そこに載っていないことを安全の根拠にするのは避けた方がよいです。
危険なURLや偽サイトは次々に変わるため、一覧ですべてを網羅することはできません。
国民生活センター越境消費者センターも、悪質な通販サイト情報を公表していますが、現存するウェブサイトを網羅したものではないと案内しています。
(出典:国民生活センター越境消費者センター公式サイト)
一覧に出てこないURLでも、次のような場合は慎重に扱います。
・メールやSMSから急に届いた
・ログインを求められた
・カード番号の入力を求められた
・銀行情報や認証コードを求められた
・公式アプリ側で同じ案内が見当たらない
・URLや文面に少しでも違和感がある
一覧で探すよりも、公式アプリや公式サイトから同じ案内があるかを確認する方が、実際の行動として安全です。
開かずに確認できる安全な方法
怪しいURLは、直接開かなくても確認できます。
大切なのは、メールやSMSの中で完結させず、普段使っている公式の入口から状況を見ることです。
この章では、公式アプリ、ブックマーク済みサイト、利用履歴、カード明細、URLチェッカーを使った確認方法を扱います。
・公式アプリで通知や履歴を見る
・ブックマーク済みサイトから入る
・注文履歴やカード明細を確認する
・URLチェッカーは補助として使う
・トレンドマイクロで確認する時の注意
公式アプリで通知や履歴を見る
公式アプリを使っているサービスなら、まずアプリを開いて通知や履歴を見ます。
メールやSMS内のURLを押さなくても、重要なお知らせ、注文状況、支払い状況、利用制限の有無などを確認できる場合があります。
見る場所は、サービスによって異なりますが、主に次のような画面です。
・お知らせ
・通知
・注文履歴
・利用履歴
・支払い状況
・アカウント設定
・セキュリティ関連の通知
メールやSMSに「支払いが必要」「本人確認が必要」と書かれていても、公式アプリ側に何も表示されていない場合は、本文中のURLから進めない方が安全です。
反対に、公式アプリ側にも案内がある場合は、アプリ内の正規の手順に従って確認します。
ここで大事なのは、メール内リンクからアプリ風の画面へ進むことではありません。
自分で公式アプリを開くことです。
ブックマーク済みサイトから入る
公式アプリを使っていない場合は、ブックマーク済みの公式サイトから確認します。
検索結果やメール内リンクからではなく、普段から保存している正規サイトを使うと、偽サイトへ誘導される可能性を減らせます。
ブックマークがない場合でも、メールやSMSのURLを押して進むのは避けます。
公式情報を探す時は、サービス名やヘルプ名を確認し、ログインや個人情報入力を急がないことが大切です。
国民生活センターは、SMSやメールに記載されたURLにはアクセスせず、事前にブックマークした正規サイトや正規アプリからアクセスするよう案内しています。
(出典:国民生活センター公式サイト)
今後のために、よく使うサービスはあらかじめブックマークしておくと安心です。
銀行、カード、通販、配送、スマホ決済など、個人情報やお金に関係するサービスほど、公式の入口を決めておくと迷いにくくなります。
注文履歴やカード明細を確認する
URLの内容が、通販、支払い、カード利用、配送、会員サービスに関するものなら、注文履歴やカード明細を見ることも大切です。
メールやSMSに書かれた内容が本当に自分の利用状況と合っているかを、公式側の履歴で確認します。
たとえば、次のように見ます。
- 公式アプリや公式サイトを開く。
- 注文履歴や利用履歴を見る。
- メールやSMSに書かれた内容と一致する案内があるかを見る。
- カード利用に関する内容なら、カード明細を確認する。
- 身に覚えのない請求があれば、カード会社の公式窓口に相談する。
消費者庁は、SMSやメールを通じて、事業者や公的機関などがいきなりクレジットカード番号の入力を求めることはないと注意喚起しています。
また、利用明細を確認し、身に覚えのない請求がある場合はカード会社に連絡するよう案内しています。
(出典:消費者庁公式サイト)
怪しいURLの先でカード番号を求められた場合は、その場で入力せず、公式アプリや明細から状況を見直します。
URLチェッカーは補助として使う
怪しいURLを開かずに調べる方法として、URLチェッカーやウェブサイトチェッカーを使う方法があります。
たとえば、Google Safe Browsingでは、ウェブサイトが現在危険と見なされているかを確認できます。
ただし、URLチェッカーは安全を保証するものではありません。
結果が「危険」や「不審」に近い表示なら開かない判断につながりますが、「安全」や問題なしに見える表示でも、そのURLでログインやカード番号入力をしてよいとは限りません。
特に注意したいのは、「未評価」のような表示です。
これは安全確認済みという意味ではなく、まだ評価されていない状態として扱う方が自然です。
URLチェッカーは、次のような位置づけで使います。
・開かずに外部評価を見る補助
・不審なURLをさらに慎重に扱う判断材料
・公式アプリや公式サイトでの確認を置き換えないもの
・個人情報入力の許可を出すものではないもの
Google Safe Browsingでは、危険なサイトを検出した場合にGoogle検索やブラウザで警告を表示し、サイトステータスを確認できる仕組みがあります。
(出典:Google Safe Browsing公式サイト)
トレンドマイクロで確認する時の注意
Trend Micro Site Safety Centerも、疑わしいURLの安全性評価を確認できるサービスです。
評価には、安全、危険、不審、未評価などがあり、Webサイトの経年数、ホストの場所や変更履歴、不正プログラムの挙動分析などをもとに評価されます。
使う時は、URLを開くのではなく、確認したいURLを評価ページで調べる形にします。
ただし、ここでも結果を過信しないことが大切です。
たとえば、評価が安全側に見えても、次のような場合は進めない方が安全です。
・メールやSMSから急に届いたURL
・ログインを求める画面
・カード番号を求める画面
・銀行情報や認証コードを求める画面
・公式アプリ側で同じ案内が見当たらない場合
・未評価や判断しにくい表示の場合
Trend Micro Site Safety Centerは便利な補助ツールですが、公式アプリやブックマーク済み公式サイトからの確認を置き換えるものではありません。
怪しいURLの確認では、URLチェックサイトの結果よりも、公式導線で同じ案内があるかどうかを優先します。
押した後や入力後に変わる対処
怪しいURLをすでに押した場合でも、何をしたかによって対処は変わります。
開いただけなのか、リンク先で入力したのか、アプリを入れたのかを分けると、必要な行動が見えやすくなります。
この章では、押した後、入力後、アプリを入れた後、家族に相談する時の確認を扱います。
・開いただけの場合の確認
・リンクを押しただけの場合
・IDやパスワードを入力した場合
・カード番号や銀行情報を入れた場合
・アプリを入れた場合
・家族に相談する時の伝え方
開いただけの場合の確認
メールやSMSを開いただけで、URLや添付ファイルを押していない場合は、まず落ち着いて状況を分けます。
開いただけなのか、リンクを押したのか、何か入力したのかで対処が変わるためです。
確認する順番は次の通りです。
- メールやSMSを開いただけか確認する。
- URL、ボタン、画像、添付ファイルを押していないか思い出す。
- ログイン情報やカード番号を入力していないか確認する。
- アプリのインストールをしていないか確認する。
- 不安な場合は画面を保存して、家族や相談先に見せられるようにする。
IPAは、フィッシングメールやSMSを開いただけでは被害は発生しないため、削除するだけで問題ないと案内しています。
(出典:IPA公式サイト)
ただし、開いただけと思っていても、画像やボタンをタップしている場合があります。
その場合は、次の「リンクを押しただけの場合」として確認します。
リンクを押しただけの場合
怪しいURLを押してしまった場合でも、リンク先で情報入力やアプリのインストールをしていなければ、対処は変わります。
まずはページを閉じ、同じURLをもう一度開かないようにします。
確認することは、次の4つです。
・IDやパスワードを入力したか
・カード番号を入力したか
・銀行情報や認証コードを入力したか
・アプリを入れたか
何も入力しておらず、アプリも入れていない場合は、追加操作をしないことが大切です。
そのうえで、公式アプリや公式サイトから同じ案内があるかを確認します。
IPAは、フィッシングサイトにアクセスした場合でも、そのサイトで情報入力やアプリのインストールなどをしていなければ、基本的に被害は発生しないと案内しています。
必要以上に不安になりすぎず、入力やインストールの有無を落ち着いて確認します。
すでにメールのリンクを押してしまった場合は、怪しいメールのリンクを押してしまった時の確認手順も確認先として使えます。
IDやパスワードを入力した場合
怪しいURLの先でIDやパスワードを入力した場合は、URL確認ではなく、アカウント保護を優先します。
同じIDやパスワードを別のサービスでも使っている場合は、そちらにも影響が広がる可能性があります。
まず行うことは次の通りです。
- メール内リンクではなく、公式アプリや公式サイトを開く。
- 入力したサービスのパスワードを変更する。
- 同じパスワードを使っている他サービスも変更する。
- ログイン履歴や利用履歴を確認する。
- 不審な利用があれば、公式窓口や相談先につなげる。
パスワード変更のために、もう一度怪しいURLを開いてはいけません。
必ず公式アプリ、ブックマーク済み公式サイト、公式ヘルプから進みます。
入力した情報が、認証コードやワンタイムパスワードの場合は、より慎重な対応が必要です。
銀行や決済に関係する情報を入力した場合は、次の見出しの内容に進みます。
カード番号や銀行情報を入れた場合
クレジットカード番号、銀行口座情報、暗証番号、認証コード、ワンタイムパスワードなどを入力した場合は、早めの対応が必要です。
この場合は、URLが本物かどうかを考え続けるより、被害拡大を防ぐ行動を優先します。
クレジットカード番号を入力した場合は、カード会社の公式窓口で相談します。
相談内容は、利用停止、再発行、不正利用の確認などです。
カード明細も確認し、身に覚えのない請求がないか見ます。
銀行情報や暗証番号、認証情報を入力した場合は、金融機関の公式窓口へ相談します。
メールやSMS内の電話番号ではなく、公式アプリ、公式サイト、カードや通帳などに記載された正規の確認手段を使います。
この時に整理しておくとよい情報は、次の通りです。
・入力した情報の種類
・入力した日時
・届いたメールやSMSのスクリーンショット
・表示されていたURL
・利用明細や入出金履歴の状況
・その後に届いた通知やメール
カード番号を入力してしまった場合の流れを詳しく確認したい場合は、クレジットカード番号を入力してしまった時の確認順も参考になります。
アプリを入れた場合
怪しいURLの先でアプリのインストールを促され、実際に入れてしまった場合は、入力だけの場合とは別の注意が必要です。
不審なアプリが端末内で動いている可能性があるため、追加操作を止めます。
まず行うことは、次の流れです。
- 追加の入力や操作をしない。
- 可能な範囲で通信を切る。
- 入れたアプリを確認する。
- 不審なアプリを削除する。
- 公式アプリや公式サイトからアカウントや決済状況を確認する。
- 必要に応じて相談先へつなげる。
国民生活センターは、フィッシングサイト上でID・パスワードやクレジットカード番号などを入力しないこと、アプリをダウンロードしないことを案内しています。
すでに入れてしまった場合は、端末操作を続ける前に状況を整理します。
アプリを削除しただけで、必ずすべて解決すると考えるのは避けた方がよいです。
入力した情報がある場合は、パスワード変更、カード会社や金融機関への相談も合わせて考えます。
家族に相談する時の伝え方
家族に相談する時は、「怪しいURLを見た」「押したかもしれない」だけでは状況が伝わりにくいことがあります。
何をしたかを順番に伝えると、必要な対処を判断しやすくなります。
伝える内容は、次のように整理します。
・いつ届いたか
・メール、SMS、どちらで届いたか
・差出人名は何と表示されていたか
・URLを押したか
・どの画面まで進んだか
・何を入力したか
・アプリを入れたか
・電話したか
・スクリーンショットが残っているか
家族が本人に聞く場合は、責める言い方を避けることが大切です。
「なんで押したの」ではなく、「どこまで進んだか一緒に確認しよう」と聞くと、本人も話しやすくなります。
本人にもう一度URLを開かせる必要はありません。
スクリーンショットや届いた日時を見ながら、家族側で公式アプリや公式サイトから確認します。
特に、カード番号、銀行情報、暗証番号、認証コードを入力している場合は、家族だけで判断せず、カード会社や金融機関の公式窓口へ相談する流れにします。
記事のまとめ
・怪しいURLは開いて試さず公式アプリから確認する
・メールやSMS内のリンクは確認の入口にしない
・本人確認や支払い失敗の文面だけで判断しない
・公式アプリの通知や履歴に同じ案内があるか見る
・ブックマーク済み公式サイトからログインして確認する
・https表示だけで安全なURLとは判断しない
・ブランド名入りURLでも公式ドメインか慎重に見る
・短縮URLやボタン型リンクは行き先が分かりにくい
・偽サイトは価格や支払い方法の不自然さも見る
・危ないURL一覧に載っていないことを安全根拠にしない
・URLチェッカーは補助であり安全保証ではない
・未評価のURLは安全確認済みとは考えない
・開いただけか入力したかで必要な対処は変わる
・IDやパスワード入力後は公式側で変更する
・カード番号や銀行情報入力後は公式窓口に相談する
・不審なアプリを入れたら追加操作を止めて削除を考える
・家族に相談する時は日時や入力内容を整理する
