フィッシングメールが届いた時、「どこに報告すればいいのか」「削除する前に何を残せばいいのか」で迷うことがあります。
迷惑SMSや企業を装うメールも含めると、報告先が複数あり、被害がある場合は先に連絡すべき相手も変わります。
この記事では、フィッシングメールの報告先を状況別に分けて、報告前に見る場所、残す情報、入力してしまった時に優先する対応をまとめます。
メール内リンクを押して確認するのではなく、公式アプリや公式サイト、公的な相談先を使って安全に進めるための流れを整理しています。
・フィッシングメールの報告先を状況別に選ぶ考え方
・報告前に残しておきたいメールやSMSの情報
・Outlook、Gmail、iPhoneで通報する時の注意点
・入力してしまった時に報告より先にやること
フィッシングメールの報告先
フィッシングメールを報告したい時は、最初に「何を報告したいのか」と「被害が出ているのか」を分けて考えると迷いにくくなります。
偽サイトの情報提供、迷惑メールや迷惑SMSの通報、警察への相談、カード会社や金融機関への連絡は、それぞれ役割が違います。
メールやSMSが届いただけなら、報告やブロックを考える段階です。
一方で、ID、パスワード、カード番号、銀行情報、認証コードなどを入力した場合は、報告先を探すより先に、被害を止める連絡を優先してください。
・まず被害状況で報告先を分ける
・偽サイト情報は協議会へ送る
・迷惑メールやSMSの情報提供先
・被害がある時の相談先
・企業を装うメールの報告先
まず被害状況で報告先を分ける
フィッシングメールの報告先は、1つだけではありません。
届いたメールを情報提供したいのか、偽サイトのURLを知らせたいのか、すでに被害があるのかで見る場所が変わります。
まずは、次の順番で切り分けてください。
- メールやSMSを開いただけか。
- リンクを押したか。
- IDやパスワードを入力したか。
- クレジットカード番号を入力したか。
- 銀行情報や認証コードを入力したか。
- 不審なアプリを入れたか。
- 電話して相手の指示を受けたか。
開いただけ、またはリンクを押しただけで入力していない場合は、メールアプリの報告機能、フィッシング対策協議会、迷惑メール相談センター、企業公式の報告窓口などが候補になります。
ただし、入力済みの場合は、報告よりも先にカード会社、金融機関、該当サービスの公式窓口で停止や変更の相談をしてください。
「どこに報告すればよいか」だけを急いで探すと、肝心の被害防止が後回しになることがあります。
特にカード番号、暗証番号、認証コード、パスワードを入力した場合は、報告は大切でも、本人のアカウントや支払いを守る対応の代わりにはなりません。
偽サイト情報は協議会へ送る
フィッシングメールや偽サイトの情報提供先としては、フィッシング対策協議会があります。
偽のホームページを見つけた場合、そのホームページのアドレスを報告する窓口が案内されています。
報告された情報は、関係する組織や法執行機関へ提供される場合があります。
(出典:フィッシング対策協議会公式サイト)
ここで大切なのは、報告のためにメール内リンクを押して確認しに行かないことです。
すでに表示されているURL、メール本文、差出人、受信日時などを残し、開かずに分かる範囲で整理してください。
報告前に残しておきたい情報は、次のようなものです。
・受信日時
・件名
・差出人名
・送信元メールアドレス
・本文
・本文に表示されているURL
・SMSの場合は画面のスクリーンショット
・リンクを押したかどうか
・入力した情報の種類
URLを報告するために危険そうなページを開く必要はありません。
怪しいURLを押さずに確認したい場合は、怪しいURLを開かずに確認する手順も参考になります。
迷惑メールやSMSの情報提供先
広告宣伝系の迷惑メールや、特定電子メール法に違反していると思われる迷惑メール、迷惑SMSは、迷惑メール相談センターへの情報提供が候補になります。
迷惑メール相談センターは、総務省より委託を受け、違反の疑いがある迷惑メールやSMSを収集しています。
対象には、なりすましメール、受信拒否後に送られた広告宣伝メール、なりすましSMSなどが含まれます。
(出典:迷惑メール相談センター公式サイト)
パソコンから情報提供する場合は、メール転送、情報提供フォーム、プラグインを使う方法があります。
メール転送では、対象メールを新規作成メールに添付して送る方法が案内されています。
プラグインを使う場合は、迷惑メールを選んで情報提供ボタンから送信する流れです。
迷惑メール相談センターは、届いたすべての不快なメールを個別に止める窓口というより、違反の疑いがあるメールやSMSを集める情報提供先として見ると分かりやすいです。
「通報したらすぐに相手へ警告が行く」「必ず返信が来る」と考えると、期待と違って不安になることがあります。
被害がある時の相談先
実際に金銭被害がある、不正利用が疑われる、IDやパスワードを入力した、カード情報や銀行情報を入力したという場合は、単なる情報提供だけで終わらせないでください。
警察や消費生活相談、カード会社、金融機関、該当サービスの公式窓口が関係します。
警察庁には、サイバー事案に関する通報、相談、情報提供のオンライン受付窓口があります。
通報、相談、情報提供はそれぞれ意味が分かれており、被害に遭った具体的な事実がある場合や、都道府県警察へ助言を求めたい場合に使う窓口です。
(出典:警察庁公式サイト)
契約、請求、返金、購入、支払いなどの消費者トラブルとして困っている場合は、消費者ホットライン188も候補になります。
188は、身近な消費生活センターや消費生活相談窓口につながる全国共通の電話番号です。
(出典:消費者庁公式サイト)
被害がある時は、報告先を1つに絞ろうとしすぎないことが大切です。
カード情報ならカード会社、銀行情報なら金融機関、サービスのIDならそのサービスの公式窓口、金銭トラブルなら188、犯罪被害の可能性があるなら警察というように、必要な相手が複数になることがあります。
企業を装うメールの報告先
Amazon、Apple、楽天など、特定の企業を装うメールが届いた場合は、その企業の公式ヘルプや公式フォームにも報告先が用意されていることがあります。
ただし、メール内リンクから報告フォームへ進むのではなく、公式アプリ、ブックマーク済み公式サイト、公式ヘルプから探してください。
Appleを装った疑わしいメールやSMSについては、Apple公式サポートが報告方法を案内しています。
疑わしいメールは指定された報告先へ転送し、SMSはスクリーンショットを添付して送る方法が案内されています。
また、iCloudメールで迷惑メールとして分類することは、フィルタリング改善に役立つとされています。
(出典:Apple公式サポート)
楽天を装ったメールやSMSについては、楽天のなりすましサイト・偽メール報告フォームが用意されています。
楽天を装うホームページ、メール、SMSの情報提供を受け付け、不正対策に活用すると案内されています。
楽天を装ったメールでは、メール内リンクをクリックしないよう注意されています。
(出典:楽天公式サイト)
企業を装うメールは、企業そのものが危険という意味ではありません。
本物の企業名を使って、第三者が偽のメールやSMSを送る場合があります。
本物か迷った時は、メール内のボタンやURLではなく、公式アプリや公式サイトから注文履歴、利用履歴、アカウント通知を確認してください。
公式アプリから安全に見る流れは、怪しいメールやSMSを公式アプリから確認する方法でも確認できます。
報告前に見る場所と残す情報
フィッシングメールを報告する前に、まず記録を残してください。
削除やブロックを先にすると、後で相談する時に、いつ届いたのか、何を押したのか、何を入力したのかを説明しにくくなります。
ただし、記録を残すために危険な操作を増やす必要はありません。
メール内リンクを開かず、分かる範囲で画面や本文を保存することが大切です。
・メール内リンクは開かない
・送信元と本文を記録する
・押したか入力したかを分ける
・一覧だけで本物判断しない
・個人情報を送りすぎない
メール内リンクは開かない
報告前にやってはいけないのは、メール内リンクやSMS内リンクを押して、正体を確かめようとすることです。
「報告するにはURLを見なければ」と思うかもしれませんが、表示されているURLや本文だけで残せる情報もあります。
疑わしいメールでは、返信したり、リンクを開いたり、入力画面へ進んだりしないことが安全側の行動です。
本物か迷う場合も、メール内リンクからログインするのではなく、公式アプリやブックマーク済みの公式サイトから確認してください。
リンクを押しただけの場合と、情報を入力した場合では対処が変わります。
押しただけで入力していないなら、追加操作を止め、表示された画面や日時を記録します。
入力した場合は、報告よりも先にパスワード変更、カード会社への連絡、金融機関への相談などが必要になります。
送信元と本文を記録する
報告や相談の前には、メールやSMSの情報を残しておくと説明しやすくなります。
記録する内容は、難しいものでなくてかまいません。
あとで自分や家族、相談先が状況を追える形にすることが目的です。
残しておきたい情報は、次の通りです。
・受信日時
・差出人名
・送信元メールアドレスまたは電話番号
・件名
・本文
・本文に表示されているURL
・添付ファイルの有無
・リンクを押したかどうか
・入力した情報の種類
・支払いの有無
・通話した相手の名乗り
・インストールしたアプリ名
SMSの場合は、画面のスクリーンショットが役立ちます。
メールの場合は、本文、差出人、件名、受信日時が分かるように残してください。
開いただけで何もしていない場合は、記録を残したうえで、メールアプリやメッセージアプリの報告機能、フィッシング対策協議会、迷惑メール相談センター、企業公式窓口などへ必要に応じて報告できます。
削除やブロックは、その後でも遅くありません。
押したか入力したかを分ける
フィッシングメールの対処で一番大切なのは、「押しただけ」と「入力した」を混同しないことです。
リンクを押しただけなら、追加操作を止めることが中心になります。
一方で、ID、パスワード、カード番号、銀行情報、認証コードを入力した場合は、緊急度が上がります。
次のように分けて考えてください。
- 開いただけ。
- リンクを押した。
- ログイン情報を入力した。
- カード情報を入力した。
- 銀行情報や認証コードを入力した。
- 不審なアプリを入れた。
- 電話して相手の指示を受けた。
開いただけなら、記録、報告、削除、ブロックの順で落ち着いて進めます。
リンクを押しただけなら、画面を閉じ、追加入力やアプリのインストールをしないでください。
ログイン情報を入力した場合は、公式サイトや公式アプリからパスワードを変更し、同じパスワードを使っているサービスも見直します。
カード番号や銀行情報を入力した場合は、メールの報告より先にカード会社や金融機関の公式窓口へ連絡してください。
認証コードを入力した場合も、第三者に本人確認を通過されるおそれがあるため、急いで該当サービスや金融機関に相談する必要があります。
一覧だけで本物判断しない
「フィッシングメール 一覧」を見れば、自分に届いたメールが本物か偽物か分かると思うかもしれません。
一覧や注意喚起は参考になりますが、それだけで個別のメールを断定するのは危険です。
同じブランド名、似た件名、似た文面でも、本物の通知と偽メールが混ざることがあります。
また、フィッシングメールは文面やURLを変えて送られるため、一覧にないから安全とも言い切れません。
一覧を見るよりも優先したいのは、別経路での確認です。
注文に関するメールなら公式アプリや公式サイトの注文履歴、カードに関する内容ならカード明細、アカウントに関する内容なら公式サイトの通知やログイン履歴を見ます。
本物か迷った時ほど、メール内リンクで判断しないでください。
メール本文ではなく、公式側に残っている履歴を見ることが、安全な確認につながります。
個人情報を送りすぎない
報告する時は、求められている範囲の情報に絞ってください。
カード番号、暗証番号、認証コード、パスワードなどの重要情報を、報告メールやフォームにそのまま書く必要はありません。
相談先に伝える時は、「何を入力したか」の種類を説明します。
たとえば、カード番号を入力した、セキュリティコードも入力した、銀行の暗証番号を入れた、認証コードを伝えた、という形です。
実際の番号やコードを送るかどうかは、公式窓口の案内に従ってください。
不安になると、できるだけ多くの情報を送った方がよいと思いがちです。
しかし、重要情報を別の場所へ書き写すほど、管理する情報が増えます。
報告の目的は、不審なメールやSMSの情報を伝えることであり、自分の秘密情報を広く共有することではありません。
アプリや端末での通報方法
メールアプリやスマホには、迷惑メールやフィッシングを報告する機能が用意されている場合があります。
ただし、画面表示やボタン名は、アプリ、OS、アカウント、通信事業者、職場や学校の管理環境によって変わることがあります。
ここでは、代表的な例としてOutlook、Gmail、iPhoneのメッセージアプリを扱います。
操作が見つからない場合は、同じ意味の「報告」「迷惑メール」「フィッシング」「迷惑メッセージ」などの項目を探してください。
・Outlookで報告する場合
・Gmailで報告する場合
・iPhoneで迷惑SMSを報告する場合
・報告とブロックは別の操作
・報告してもすぐ止まらない理由
Outlookで報告する場合
Outlookでは、対応している環境でメッセージを選び、「レポート」から迷惑メールやフィッシングとして報告する方法が案内されています。
Outlook.comでは、対象のメッセージを選び、閲覧ウィンドウ上部のレポートからフィッシングの報告を選ぶ流れです。
(出典:Microsoft公式サポート)
職場や学校のOutlookでは、管理者の設定によって報告先や表示が変わる場合があります。
Microsoft側、組織の管理者、またはその両方へ送られる環境もあります。
そのため、画面に同じ項目が出ない時は、組織の案内やMicrosoftの公式ヘルプを見てください。
Outlookでフィッシングとして報告することは、不審なメッセージを知らせる操作です。
ただし、報告しただけで同じ送信者からのメールが必ず止まるわけではありません。
必要に応じて、受信拒否やブロックも別に考えます。
Gmailで報告する場合
Gmailでは、迷惑メールやフィッシングを報告する考え方が公式ヘルプで案内されています。
信頼できる送信者からのメールだと判断できない場合は、返信したりリンクを開いたりせず、フィッシングとして報告することが案内されています。
(出典:Google公式ヘルプ)
Gmailで報告する時も、メール内リンクからログインしないことが大切です。
Googleアカウントや登録サービスに関する通知のように見えても、メール本文のボタンから進まず、公式サイトや公式アプリから状態を見てください。
Gmailの報告機能は、受信箱内で不審なメールを扱うための操作です。
すでにパスワードやカード情報を入力してしまった場合は、Gmailでの報告だけでは足りません。
該当サービスのパスワード変更、カード会社への連絡、金融機関への相談などを優先してください。
iPhoneで迷惑SMSを報告する場合
iPhoneのメッセージアプリでは、迷惑メッセージを報告できる場合があります。
未開封のメッセージは左にスワイプして削除ボタンをタップし、「削除して迷惑メッセージを報告」を選ぶ方法が案内されています。
開封した場合は、不明な差出人からのメッセージ下部に表示される「迷惑メッセージを報告」から進む方法があります。
(出典:Apple公式サポート)
ただし、返信後は迷惑メッセージを報告できないと案内されています。
また、SMS、MMS、RCSで受信した迷惑メッセージを報告した場合、国や地域、通信事業者によって、情報が通信事業者や関連会社と共有されることがあります。
iPhoneで報告できる表示が出ない場合でも、あわてて本文内リンクを押す必要はありません。
画面のスクリーンショットを残し、フィッシング対策協議会、迷惑メール相談センター、企業公式窓口などへの情報提供を検討してください。
迷惑SMSを減らす設定は、報告とは別の予防策です。
iPhone側でできる設定を見直したい場合は、iPhoneで迷惑SMSを減らす設定と確認手順も参考になります。
報告とブロックは別の操作
報告とブロックは、似ているようで役割が違います。
報告は、不審なメールやSMSの情報をサービス側や関係機関へ伝える操作です。
ブロックは、同じ送信者や電話番号からの受信を減らすための操作です。
たとえばOutlookでは、メッセージをフィッシングとして報告しても、追加のメッセージ送信はブロックされないと説明されています。
送信者を止めたい場合は、受信拒否やブロックの操作が別に必要です。
iPhoneでは、報告と削除が同じ画面で出る場合があります。
ただし、すべてのSMSで同じ表示になるとは限りません。
端末、通信事業者、メッセージ種別によって違うため、「報告したからブロックも完了」と決めつけない方が安全です。
迷惑メールが何度も届く場合は、報告、削除、ブロック、フィルタ設定を分けて考えてください。
報告は情報提供、ブロックは自分の端末やアカウント側の受信対策です。
報告してもすぐ止まらない理由
迷惑メールやフィッシングメールを報告しても、すぐに同じようなメールが止まらないことがあります。
それは、報告が意味ないということではありません。
報告は、フィルタリング改善、不正対策、偽サイト対処、関係機関への情報共有、被害抑制に役立つ場合があります。
一方で、送信者が次々に差出人名や送信元を変えることもあるため、1回の報告だけで受信が完全に止まるとは限りません。
フィッシング対策協議会では、報告が多い状況では個別の報告受領メール返信を割愛する場合があると案内されています。
楽天モバイルの迷惑メール・SMS申告でも、個々の申告に対する連絡や個別照会には応じない旨が案内されています。
返信が来ないから効果がない、と考えすぎる必要はありません。
ただし、自分の端末で受信を減らしたい場合は、報告とは別に、ブロックや迷惑メール設定も組み合わせます。
すでに情報を入力してしまった場合は、報告の効果を待つのではなく、アカウントや支払いを守る対応をすぐに進めてください。
入力してしまった時の優先対応
フィッシングメールの報告先を探している時でも、すでに情報を入力した場合は優先順位が変わります。
報告は後からでもできますが、パスワード変更、カード停止、金融機関への相談、アプリ削除などは早めに動く必要があります。
ここでは、入力した情報や進んだ行動ごとに、先にやることを分けます。
どの段階か分からない場合は、入力した可能性がある情報をメモし、公式窓口や公的な相談先に説明できるようにしてください。
・IDやパスワードを入力した時
・カード情報を入力した時
・銀行情報や認証コードを入れた時
・不審なアプリや電話に進んだ時
・家族が代わりに確認する時
IDやパスワードを入力した時
IDやパスワードを入力した場合は、まず該当サービスの公式サイトや公式アプリからパスワードを変更してください。
メール内リンクから再度ログインするのではなく、ブックマーク済みの公式サイトや公式アプリを使います。
同じパスワードを他のサービスでも使っている場合は、そのサービスも見直してください。
1つのパスワードが知られると、別のサービスでもログインを試されるおそれがあります。
確認したい項目は、次の通りです。
・パスワードを変更したか
・同じパスワードを使っているサービスがないか
・登録メールアドレスが変えられていないか
・電話番号が変えられていないか
・配送先や決済方法が追加されていないか
・ログイン履歴に見覚えのない記録がないか
可能であれば、多要素認証の設定も見直してください。
ただし、多要素認証を設定すれば完全に安心という意味ではありません。
まずは漏れた可能性があるパスワードを変え、同じ文字列の使い回しをやめることが先です。
偽サイトでIDやパスワードを入力した場合の詳しい確認順は、偽サイトにIDやパスワードを入力した時の対処法で整理しています。
カード情報を入力した時
クレジットカード番号、有効期限、セキュリティコード、本人認証に関わる情報を入力した場合は、カード会社の公式窓口へ連絡してください。
利用停止、再発行、不正利用確認について相談する段階です。
この時、フィッシングメールの報告だけで済ませないことが大切です。
報告は不審なメールの情報提供として役立つ場合がありますが、カードの不正利用を止める手続きとは別です。
カード会社へ相談する前に、次の情報を手元に整理しておくと説明しやすくなります。
・入力した日時
・届いたメールやSMSの内容
・入力した情報の種類
・カード明細や利用通知で見覚えのない決済があるか
・相手に電話したか
・認証コードを入力または伝えたか
カード番号を入力してしまった時は、自分で様子を見るより、公式窓口で利用停止や再発行を相談する方が安全です。
身に覚えのない利用がある場合は、その画面や通知も残してください。
銀行情報や認証コードを入れた時
銀行口座情報、暗証番号、インターネットバンキング情報、ワンタイムパスワード、認証コードを入力した場合は、金融機関の公式窓口へ急いで連絡してください。
残高や入出金履歴を見て、見覚えのない取引がないか確認します。
認証コードは、本人確認や取引承認に使われることがあります。
そのため、コードを入力したり相手に伝えたりした場合は、特に急いで相談してください。
金融機関へ説明する時は、次の内容を整理します。
・入力した情報の種類
・入力した日時
・届いたメールやSMSの内容
・表示された画面
・認証コードを入力したか
・相手に電話で伝えたことがあるか
・入出金履歴に見覚えのない動きがあるか
銀行情報や認証情報は、被害につながるまでの時間が短い場合があります。
フィッシングメールをどこに報告するかよりも、口座や取引を守る連絡を優先してください。
不審なアプリや電話に進んだ時
フィッシングメールやSMSのリンク先でアプリを入れるよう案内され、そのままインストールした場合は、追加操作を止めてください。
通信を切る、アプリを削除する、パスワードを別の端末から変更する、必要に応じて公式窓口や専門相談先へ相談する流れになります。
不審なアプリを入れた場合は、メールを報告するだけでは足りないことがあります。
スマホ内の情報や操作に関わる可能性があるため、アプリ名、インストールした日時、求められた権限、相手から受けた指示を記録してください。
メールやSMSに書かれた電話番号へ電話した場合も、状況を残しておきます。
次の情報をメモしてください。
・電話した日時
・相手が名乗った名前や会社名
・指示された操作
・入れたアプリ
・伝えた個人情報
・支払いを求められたか
・電子マネーや振込の話が出たか
・認証コードを伝えたか
電話を続けたり、折り返しを繰り返したりする必要はありません。
遠隔操作アプリ、支払い、送金、認証コードの伝達に進んだ場合は、警察や消費生活センターへの相談も考えてください。
家族が代わりに確認する時
親や高齢の家族がフィッシングメールを受け取った時は、まず責めないことが大切です。
本人が責められると思うと、何を押したか、何を入力したかを言い出しにくくなります。
最初に聞くことは、細かい説明ではなく、行動の切り分けです。
- メールやSMSを開いただけか。
- リンクを押したか。
- 何か入力したか。
- カード番号や銀行情報を入れたか。
- 認証コードを入れたか、電話で伝えたか。
- アプリを入れたか。
- 電話したか。
- 支払いや送金をしたか。
可能であれば、メール画面やSMS画面のスクリーンショットを送ってもらいます。
本人が一人で追加操作を進めないようにし、家族と一緒に公式アプリ、公式サイト、カード明細、銀行履歴を確認してください。
家族が代わりに相談する場合も、受信日時、送信元、本文、押したリンク、入力した情報、通話履歴、利用明細があると説明しやすくなります。
「なんで押したの」と責めるより、「何をしたか順番に一緒に確認しよう」と伝える方が、必要な情報を集めやすくなります。
記事のまとめ
・フィッシングメールの報告先は被害状況で変わる
・偽サイト情報はフィッシング対策協議会が候補になる
・迷惑メールや迷惑SMSは専用の情報提供先がある
・被害がある時は警察や188への相談も検討する
・カード情報入力後は報告よりカード会社への連絡を優先する
・銀行情報や認証コード入力後は金融機関へ急いで相談する
・企業を装うメールは公式ヘルプから報告先を探す
・メール内リンクを押して本物か確認しようとしない
・報告前に受信日時、差出人、本文、URLを残しておく
・押しただけか入力したかで必要な対応は大きく変わる
・フィッシングメール一覧だけで本物か偽物かを決めない
・報告とブロックは目的が違うため別の操作として考える
・通報してもすぐ止まらない場合があるが情報提供には意味がある
・iPhoneの迷惑SMS報告は表示や条件が環境で変わる場合がある
・家族が確認する時は責めずに何をしたか順番に聞く
