MENU
詐欺メール・迷惑SMS・偽サイトで困った時の安全確認ガイド
  1. ホーム
  2. スマホ設定・予防策
  3. パスワードの使い回しが危険な理由と見直し方

パスワードの使い回しが危険な理由と見直し方

スマホ設定・予防策
パスワードの使い回しが危険な理由と見直し方

パスワードをいくつものサービスで使い回していると、1つの場所で知られた情報が別のサービスへの不正ログインに使われる可能性があります。
特に、フィッシングのような画面でIDやパスワードを入力してしまった場合は、入力したサービスだけでなく、同じパスワードを使っているサービスの見直しも必要です。

この記事では、パスワードの使い回しが危険な理由、入力後に優先して確認すること、どのサービスから変更すべきか、覚えられない時の管理方法まで整理します。
カード情報や銀行情報を入力した場合、家族が対応を手伝う場合の注意点もあわせて確認できます。

この記事で分かること

・パスワードの使い回しが危険な理由
・フィッシングで入力した後に確認する順番
・優先して変更すべきサービス
・使い回しをやめるための管理方法

目次

パスワードを入力した後の優先対応

フィッシングかもしれない画面でパスワードを入力した場合、最初に必要なのは「何を入力したか」と「同じパスワードをどこで使っているか」を分けて考えることです。
メールやSMSを開いただけの場合と、リンク先でIDやパスワードを入力した場合では、必要な対応が変わります。
カード番号、銀行情報、確認コードまで入力した場合は、パスワード変更だけで済ませず、公式窓口での確認が必要になります。

・まず何を入力したか整理する
・メール内リンクから再ログインしない
・入力したサービスを公式導線で確認する
・ログインできない時は復旧を急ぐ
・カードや銀行情報を入れた時の対応
・家族が手伝う時に聞くこと

まず何を入力したか整理する

最初に、焦ってパスワードを変え始める前に、どこまで操作したかを分けてください。
メールやSMSを開いただけなのか、リンクを押したのか、IDやパスワードを入力したのかで、優先すべき対応が変わります。

まずは次の順番で思い出してください。

  1. メールやSMSを開いただけか
  2. リンクを押したか
  3. IDやパスワードを入力したか
  4. 確認コードやワンタイムパスワードを入力したか
  5. クレジットカード番号を入力したか
  6. 銀行口座、暗証番号、認証情報を入力したか
  7. 住所、氏名、電話番号などを入力したか
  8. 不審なアプリを入れたか
  9. 画面に出た電話番号へ電話したか

メールを開いただけで、リンクを押さず、情報も入力していない場合は、パスワードを入力した場合と同じ緊急度ではありません。
ただし、添付ファイルを開いた、不審なアプリを入れた、警告画面の指示に従った場合は別の対応が必要です。

IDやパスワードを入力した場合は、入力したサービスだけでなく、同じパスワードを使っている別のサービスも見直す必要があります。
フィッシングでは、実在する企業やサービスを装ったメールやSMSから偽サイトへ誘導し、ID、パスワード、クレジットカード番号、暗証番号などを入力させる手口があります。
(出典:フィッシング対策協議会公式サイト

メール内リンクから再ログインしない

入力したかもしれないと不安になっても、届いたメールやSMSのリンクからもう一度ログインしないでください。
同じリンクを押すと、再び偽サイトへ移動してしまう可能性があります。

本物か迷う場合は、メール内リンクではなく、普段使っている公式アプリ、ブックマーク済みの公式サイト、または自分で開いた公式サイトから確認してください。
検索結果や広告から急いで入るより、いつも使っている安全な導線を使う方が落ち着いて確認しやすくなります。

特に、警告画面に電話番号が表示された場合や、「今すぐ確認」「アカウント停止」などの強い言葉が出た場合は注意してください。
急がせる表示があっても、その画面の指示に従ってログインし直したり、確認コードを入力したりしないことが大切です。

入力したサービスを公式導線で確認する

IDやパスワードを入力した場合は、入力したサービスを公式アプリや公式サイトから開き、ログイン状況を確認してください。
ログインできる場合は、まずそのサービスのパスワードを変更します。

確認する内容は次の通りです。

・パスワードを変更できるか
・ログイン履歴に見覚えのないアクセスがないか
・登録メールアドレスや電話番号が変わっていないか
・配送先や住所が変わっていないか
・注文履歴や利用履歴に見覚えのない動きがないか
・決済情報が追加、変更されていないか

ここで大切なのは、入力したサービスだけで終わらせないことです。
同じパスワードを別の通販、SNS、メール、決済サービスでも使っている場合、別サービスへの不正ログインに使われる可能性があります。

IDやパスワードを入力した状況の確認順をさらに細かく見たい場合は、偽サイトにIDやパスワードを入力した時の対処法も参考にできます。

ログインできない時は復旧を急ぐ

入力したサービスにログインできない場合は、すでにパスワードが変更されている可能性もあります。
この場合は、通常のパスワード変更ではなく、アカウント復旧や公式サポートへの連絡を優先してください。

ログインできない時にやることは、次の順番で考えます。

  1. 公式サイトや公式アプリからパスワード再設定を試す
  2. 登録メールアドレスに不審な変更通知が来ていないか見る
  3. 公式サポートの案内に従ってアカウント復旧を進める
  4. 同じパスワードを使っていた他サービスを優先順に変更する

ログインできないサービスだけに集中している間に、同じパスワードを使っている別のサービスへ被害が広がることがあります。
メール、金融、決済、通販、SNSのように、被害が広がりやすいサービスから並行して見直すと安全側に動きやすくなります。

カードや銀行情報を入れた時の対応

クレジットカード番号、有効期限、セキュリティコードを入力した場合は、パスワード変更だけでは足りません。
カード会社の公式アプリや公式サイトで利用明細を確認し、不審な利用が見当たらない場合でも、公式窓口で利用停止や再発行を相談してください。

銀行口座、暗証番号、ワンタイムパスワード、認証情報を入力した場合も、同じように急いで金融機関の公式窓口へ相談する必要があります。
取引履歴、振込予約、登録端末、登録連絡先の変更有無を確認してください。

確認コードやワンタイムパスワードを入力した場合は、パスワードだけを知られた場合よりも緊急度が上がります。
ログイン履歴、登録情報、取引履歴、連携端末を確認し、必要に応じて公式窓口へ相談してください。
確認コードを入力した場合の確認順は、認証コードを入力してしまった時に最初に確認することで詳しく確認できます。

カード番号まで入力した場合は、クレジットカード番号を入力してしまった時の連絡先と確認順も参考にしてください。

家族が手伝う時に聞くこと

親や高齢の家族がフィッシングでパスワードを入力した可能性がある場合、まず責めないことが大切です。
責められると、本人が画面を消したり、メールを削除したり、入力した内容を言いにくくなったりします。

最初は、次のように落ち着いて聞くと状況を整理しやすくなります。

・何のメールやSMSを開いたか
・リンクを押したか
・どの画面で止まったか
・IDやパスワードを入力したか
・確認コードも入力したか
・カード番号や銀行情報を入力したか
・今もそのサービスにログインできるか
・届いたメールやSMSのスクリーンショットを残せるか

「怒らないから、何を入力したかだけ一緒に確認しよう」と伝えると、本人も話しやすくなります。
本人だけで追加操作を進めさせず、公式アプリや公式サイトから一緒に確認してください。

パスワードの使い回しが危険な理由

パスワードの使い回しが危険なのは、1つのサービスだけの問題で終わらないためです。
偽サイトや情報流出で1組のIDとパスワードが知られると、別のサービスでも同じ組み合わせが試される可能性があります。
特にメール、金融、決済、通販、SNSは、被害が広がりやすいサービスとして優先して守る必要があります。

・1つの流出が他サービスへ広がる
・フィッシング後に狙われやすい理由
・メールアカウントを先に守る理由
・通販やSNSも後回しにしない
・使い回しの被害事例を見る時の注意

1つの流出が他サービスへ広がる

同じIDやパスワードを複数のサービスで使っていると、1つのサービスで知られた情報が別のサービスへのログインに使われることがあります。
これが、パスワードの使い回しの大きな危険です。

たとえば、あるサイトで使っていたメールアドレスとパスワードを、通販サイト、SNS、決済サービス、メールアカウントでも使っていたとします。
その1組が知られると、入力したサイトだけでなく、他のサービスにも試される可能性があります。

「入力したのは1回だけだから大丈夫」とは考えない方が安全です。
問題は、どこで入力したかだけでなく、そのパスワードを他にどこで使っていたかです。

IPAは、不正ログイン被害への対策として、長く複雑で使い回さないパスワードや多要素認証を案内しています。
(出典:IPA公式サイト

フィッシング後に狙われやすい理由

フィッシングでは、偽サイトに入力されたIDとパスワードが、別のサービスへの不正ログインに使われる危険があります。
特にメールアドレスをIDとして使っているサービスが多い場合、同じパスワードを使い回していると試されやすくなります。

攻撃する側は、1つのサービスだけを見ているとは限りません。
通販、SNS、メール、決済、クラウドなど、同じ組み合わせでログインできる場所がないか試される可能性があります。

そのため、フィッシングでパスワードを入力した後は、入力したサービスの変更だけで終わらせないことが重要です。
同じパスワードを使っているサービスを洗い出し、優先順位をつけて変更してください。

メールアカウントを先に守る理由

メールアカウントは、他サービスのパスワード再設定に使われることが多いため、優先度が高いサービスです。
メールを見られると、パスワード再設定メール、本人確認メール、購入通知、連絡先情報などにアクセスされる可能性があります。

メールのパスワードを使い回している場合は、最優先で別の強いパスワードへ変更してください。
そのうえで、多要素認証も有効にすると、不正ログインされにくくなります。

特に、メールアカウントと他サービスで同じパスワードを使っていた場合は注意が必要です。
他サービスの復旧や確認を進める前に、メールが守られているかを確認すると、その後の対応も進めやすくなります。

通販やSNSも後回しにしない

銀行やカードに比べると、通販やSNSは後回しにしてよいと思うかもしれません。
しかし、通販サイトには登録済みカード、配送先、注文履歴が残っている場合があります。
SNSでは、乗っ取り後に知人へ詐欺メッセージが送られたり、なりすまし投稿やDM悪用につながったりする可能性があります。

金銭被害にすぐ直結しないように見えるサービスでも、個人情報や人間関係を悪用されることがあります。
使い回していたパスワードがある場合は、通販やSNSも見直し対象に入れてください。

優先順位をつけるなら、最初はメール、金融、決済を急ぎ、その次に通販、携帯キャリア、クラウド、SNSを確認する流れが現実的です。
すべてを一度に完璧に変えようとすると止まりやすいので、危険が広がりやすい順に進めることが大切です。

使い回しの被害事例を見る時の注意

パスワード使い回しの事件や事例を読むと、不安が強くなることがあります。
ただし、特定の事件と自分の状況が必ず同じとは限りません。

事例を見る時は、企業名や事件名だけに注目するより、どのように被害が広がったのかを見る方が役立ちます。
重要なのは、次のような共通点です。

・同じパスワードを複数サービスで使っていた
・メールアカウントが他サービスの復旧に使われた
・確認コードや認証情報まで入力していた
・カードや決済情報が登録されていた
・不審なログイン通知を見逃していた

使い回しの危険を知ることは大切ですが、不安をあおる必要はありません。
今からでも、優先度の高いサービスから順番に変更すれば、被害拡大を防ぎやすくなります。

使い回しをやめる見直し方

パスワードの使い回しをやめるには、すべてのサービスを一気に完璧に変えようとしないことが大切です。
まず被害が広がりやすいサービスを優先し、変更済み、未変更、ログイン不可、サポート連絡が必要なものに分けて進めると、途中で止まりにくくなります。

・変更するサービスの優先順位
・新しいパスワードの考え方
・覚えられない時の管理方法
・警告が出た時の安全な確認方法
・多要素認証も一緒に設定する

変更するサービスの優先順位

パスワードを変更する順番は、被害が広がりやすいサービスから考えます。
特に、フィッシングで入力したパスワードを他の場所でも使っていた場合は、優先順位を決めることが重要です。

優先度が高いものは次の通りです。

  1. メールアカウント
  2. 銀行、証券などの金融サービス
  3. 決済アプリ、クレジットカード関連サービス
  4. 通販サイト
  5. 携帯キャリア
  6. クラウドストレージ
  7. SNS

メールアカウントは、他サービスのパスワード再設定に関わるため特に優先度が高いです。
金融や決済は、不正送金や不正利用につながる可能性があるため、早めに確認してください。

進める時は、紙やメモにパスワードそのものを書くのではなく、サービス名と状態を整理すると安全です。

・変更済み
・未変更
・ログインできない
・サポート連絡が必要
・カードや銀行情報の確認が必要

このように状態を分けると、何から手をつければよいかが見えやすくなります。

新しいパスワードの考え方

新しいパスワードは、できるだけ長く、複雑で、他のサービスと使い回さないものにしてください。
短い単語、誕生日、電話番号、名前、単純な連番は避けた方が安全です。

また、サービス名を少し足しただけのパスワードも避けてください。
たとえば、同じ基本文字列にサービス名だけを付け足す方法は、規則が読まれやすくなります。

大切なのは、覚えやすさだけで決めないことです。
サービスごとに別のパスワードにすると覚える負担は増えますが、1つ知られた時に他サービスへ広がる危険を減らせます。

Googleは、アカウントごとに異なる安全なパスワードを使うことや、パスワードチェックアップなどを案内しています。
(出典:Google アカウント ヘルプ

覚えられない時の管理方法

サービスごとに別のパスワードを作ると、すべてを覚えるのは難しくなります。
その場合は、パスワードマネージャーや、ブラウザ、OSの保存機能を使う選択肢があります。

ただし、保存機能を使えばそれだけで安心というわけではありません。
管理元のアカウントを弱いパスワードにしていたり、端末ロックが弱かったりすると、別の危険が残ります。

使う時は、次の点も合わせて見直してください。

・管理元のアカウントに強いパスワードを使う
・管理元のアカウントで多要素認証を有効にする
・スマホやPCの画面ロックを設定する
・OSやブラウザを更新して使う
・共有端末では保存状態に注意する

iPhoneやApple製デバイスでは、パスワードアプリやパスワードのセキュリティに関する勧告で、複数回使われたパスワードや漏えいした可能性のあるパスワードを確認できます。
(出典:Apple サポート

警告が出た時の安全な確認方法

スマホやブラウザで「使い回しのパスワード」「不正使用されたパスワード」「漏えいの危険があるパスワード」のような警告が出ることがあります。
このような警告は、OS、ブラウザ、パスワード管理機能が保存済みの情報をもとに表示する場合があります。

ただし、警告の見た目だけで本物かどうかを決めないでください。
メールやSMS、ポップアップの中にあるリンクから操作を続けるのではなく、端末の設定アプリ、ブラウザの設定、公式アプリから確認することが大切です。

Googleを使っている場合は、Googleパスワードマネージャーやパスワードチェックアップで、保存済みパスワードの使い回しや危険性を確認できます。
Apple製デバイスでは、パスワードアプリや設定画面から警告を確認できます。
Microsoft Edgeを使っている場合は、Microsoft Password Managerで保存済みパスワードを表示、編集できます。

画面名や表示場所は、端末、OS、ブラウザ、アカウント設定によって変わることがあります。
細かい表示名にこだわるより、正規の設定画面から入ることを優先してください。

多要素認証も一緒に設定する

パスワードを変更したら、多要素認証も一緒に設定してください。
多要素認証は、パスワードに加えて、認証アプリ、SMS、端末、生体認証など別の要素で本人確認する仕組みです。

パスワードが知られた場合でも、パスワードだけではログインされにくくなります。
そのため、メール、金融、決済、SNSなど、重要なサービスでは特に有効です。

ただし、多要素認証を設定していても、確認コードを偽サイトに入力してしまうと危険があります。
「確認コードを入力してください」と出た時も、その画面が公式アプリや公式サイトから開いたものかを確認してください。

警察庁は、フィッシングで盗まれる情報として、IDやパスワードだけでなく、クレジットカード番号や暗証番号などにも注意を促しています。
(出典:警察庁公式サイト

再発を防ぐために残すこと

パスワードの変更と同じくらい大切なのが、状況を記録しておくことです。
後から公式窓口や家族に相談する時、何を入力したか、いつ届いたか、どの画面を見たかが分かると、対応が進めやすくなります。
また、次に同じようなメールやSMSが届いた時のために、家族で確認ルールを決めておくと安心です。

・相談前に記録しておく情報
・やってはいけない行動
・不安な時の相談先
・家族で決めておく確認ルール

相談前に記録しておく情報

公式窓口や家族に相談する前に、分かる範囲で情報を残してください。
メールやSMSをすぐ削除すると、後から状況を説明しにくくなります。

残しておくとよいものは次の通りです。

・届いたメールやSMSのスクリーンショット
・送信元として表示されていた名前や番号
・受信日時
・押したリンク
・表示された画面
・入力した情報の種類
・ログイン通知
・パスワード変更通知
・カードや決済の利用明細
・注文履歴や取引履歴

パスワードそのものをメモとして残す必要はありません。
必要なのは、何のサービスで、どの種類の情報を入力した可能性があるかです。

やってはいけない行動

不安な時ほど、急いで画面の指示に従ってしまいがちです。
しかし、次の行動は避けてください。

・不審なメールやSMS内のリンクからログインし直す
・同じパスワードを少し変えただけで複数サービスに使う
・警告画面に出た電話番号へ電話する
・確認コードを他人に伝える
・確認コードを偽サイトらしき画面に入力する
・パスワードをメール本文やメモアプリにそのまま保存する
・届いたメールやSMSを状況確認前に削除する

特に、確認コードは「今ログインしようとしている人」に向けて届くことがあります。
自分で公式アプリや公式サイトから操作していないのに確認コードが届いた場合は、安易に入力しないでください。

不安な時の相談先

自分だけで判断しにくい場合は、該当サービスの公式窓口、カード会社や銀行の公式窓口、警察相談専用電話、消費生活センターなどに相談してください。
連絡先は、メールやSMSに書かれたものではなく、公式サイト、公式アプリ、カード裏面など正規の導線で確認します。

相談する時は、次の情報を整理しておくと説明しやすくなります。

・いつ届いたメールやSMSか
・どのサービスを名乗っていたか
・リンクを押したか
・何を入力したか
・カードや銀行情報も入力したか
・確認コードを入力したか
・不審な利用や通知があるか

相談することは、恥ずかしいことではありません。
早い段階で状況を共有するほど、止められる手続きや確認できる項目が増えます。

家族で決めておく確認ルール

一度対応が落ち着いたら、家族で次に同じことが起きた時のルールを決めておくと安心です。
特に離れて暮らす親や高齢の家族がいる場合は、難しい説明よりも、短く守れる約束にしておく方が続きます。

たとえば、次のようなルールです。

・お金、カード、銀行、パスワードの話が出たら一人で進めない
・メールやSMSのリンクからログインしない
・迷ったらスクリーンショットを家族に送る
・確認コードは家族や他人に教えない
・急がせる画面が出たら一度止める
・公式アプリや公式サイトから一緒に確認する

家族が手伝う時は、「どうして押したの」と責めるより、「次から一緒に止められるようにしよう」と伝える方が効果的です。
パスワードの使い回しをやめることは、本人だけでなく、家族や知人を巻き込む被害を防ぐことにもつながります。

記事のまとめ

・メールやSMSを開いただけか入力したかで対応は変わる
・不審なリンクから再ログインせず公式導線で確認する
・IDとパスワードを入力したら同じ使い回し先も見直す
・ログインできない場合はアカウント復旧を優先する
・カード番号を入力した時はカード会社へ相談する
・銀行情報や認証情報を入力した時は金融機関へ相談する
・確認コードを入力した場合はログイン履歴も確認する
・メールアカウントは再設定に使われるため優先度が高い
・金融、決済、通販、SNSの順に変更対象を整理する
・新しいパスワードは長く複雑で使い回さないものにする
・覚えられない時は保存機能や管理機能も選択肢になる
・管理機能を使う時は端末ロックや多要素認証も見直す
・警告が出た時は正規の設定画面から確認する
・家族が手伝う時は責めずに入力内容から聞き取る
・相談前にスクショ、日時、入力内容、通知を残しておく
・確認コードやパスワードを他人に伝えない

怪しいメール・SMSが届いた方へ

メールやSMS内のリンクを押す前に、文面を貼り付けて危険な特徴を確認できます。

※チェックはブラウザ内だけで行われ、入力内容は外部に送信されません。

押す前チェックを使う
スマホ設定・予防策
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

ネット詐欺対策ナビ編集部のアバター ネット詐欺対策ナビ編集部

関連記事

目次