MENU
詐欺メール・迷惑SMS・偽サイトで困った時の安全確認ガイド
  1. ホーム
  2. 証券会社・投資サービス系の偽メール
  3. SBI証券を名乗るメールが届いた時の安全な確認順

SBI証券を名乗るメールが届いた時の安全な確認順

証券会社・投資サービス系の偽メール
SBI証券を名乗るメールが届いた時の安全な確認順

SBI証券を名乗るメールが届くと、「本物なら対応しないといけないのでは」と不安になります。
特に、ログイン、本人確認、取引制限、重要なお知らせなどの言葉があると、急いでメール内リンクを押したくなるかもしれません。

ただし、SBI証券のメールが本物か迷う時ほど、メール本文から操作を始めないことが大切です。
公式サイトや公式アプリから確認すれば、偽メールだった場合でも危険な操作を避けやすくなります。

この記事では、SBI証券を名乗るメールが届いた時に、メール内リンクを使わず安全に確認する順番を整理します。
開いただけ、リンクを押した、ログイン情報や認証コードを入力した場合の対応も、状況別に確認できます。

この記事でわかること

・SBI証券のメールを安全に確認する順番
・メール内リンクを押さずに見るべき公式画面
・リンクを押した後や情報入力後の対処
・家族で確認する時の聞き方と再発防止

目次をチェックして目的の情報へ飛んで下さい。
時間のない方は本文の下の方に簡潔な「まとめ情報」もあります。

目次

SBI証券のメールが本物か確認する方法

・まずメール内リンクを開かない
・公式サイトや公式アプリから確認する
・重要なお知らせで同じ案内を見る
・送信者名やロゴだけで判断しない
・本物の重要メールがある場合の注意点

SBI証券を名乗るメールが届いたときは、まずメールの本文だけで本物かどうかを決めようとしないことが大切です。
「重要なお知らせ」「本人確認」「取引制限」「ログイン確認」などの言葉があると急いでしまいますが、急がされている時ほど、メール内リンクを使わない確認に切り替えてください。

この章では、SBI証券のメールが本物か不安な時に、最初に取るべき安全な確認方法を扱います。

まずメール内リンクを開かない

SBI証券を名乗るメールが届いたら、最初にやることはメール本文のリンクやボタンを押さないことです。
「ログインしてください」「本人確認を完了してください」「取引を制限します」と書かれていても、そのリンクから進まないでください。

金融庁は、証券会社などのインターネット取引サービスについて、メールやSMSのリンクを開かず、正しいURLをブックマークしてアクセスすることを案内しています。
不審な点がある場合は、証券会社などの問い合わせ窓口へ確認することも案内されています。
(出典:金融庁公式サイト

メールを開いただけで、リンクを押しておらず、添付ファイルも開いていない場合は、落ち着いて次の確認に移れます。
一方で、リンクを押した、ログイン情報を入力した、認証コードを入力した場合は、確認より先に保護対応が必要になります。

まずは、次の操作を止めてください。

  1. メール内のリンクを押さない。
  2. メール内のボタンを押さない。
  3. 添付ファイルを開かない。
  4. メールに書かれた電話番号へ連絡しない。
  5. リンク先でログイン情報や認証コードを入力しない。

メール本文に表示されているURLをコピーしてブラウザに貼り付ける方法も避けた方が安全です。
表示されている文字と実際のリンク先が違う場合や、SBI証券に似せたURLが使われている場合があります。

「SBI証券から来たように見えるから大丈夫」と考えるより、メールを入口にしないことを基本にしてください。
怪しいメールやSMS全般の安全確認は、怪しいメールやSMSが本物か安全に確認する基本手順でも整理しています。

公式サイトや公式アプリから確認する

SBI証券のメールが本物か確認したい時は、メール内リンクではなく、普段使っている入口から確認します。
ブックマーク済みの公式サイト、普段使っている公式アプリ、自分で開いた正しい公式サイトからログインしてください。

安全な確認順は、次の流れです。

  1. メール本文は閉じる。
  2. ブックマーク済みのSBI証券公式サイト、または普段使っている公式アプリを開く。
  3. 通常の方法でログインする。
  4. メッセージボックス、重要なお知らせ、当社からのお知らせを確認する。
  5. 必要に応じてログイン履歴、取引履歴、出金履歴、登録情報を確認する。

この流れにすれば、メール本文にあるリンクが本物かどうかを直接見分けなくても、安全側に寄せた確認ができます。
SBI証券を装った偽サイトは、本物に似せた画面を表示する場合があります。
画面の見た目だけで判断せず、どこからアクセスしたかを重視してください。

SBI証券公式FAQでは、SMSなどを通じて不安をあおり、SBI証券の本物のWEBサイトに似せた偽サイトへ誘導し、個人情報を不正に入手するフィッシングサイトについて注意喚起しています。
また、SBI証券はSMS、電子メール、WEBサイト上のフォームなどで、ユーザーネーム、ログインパスワード、取引パスワードの照会を行うことはないと案内しています。
(出典:SBI証券公式FAQ

SBI証券のメールが本物か迷う場面では、「メールに書かれたURLが正しそうか」を見続けるより、公式画面側に同じ案内があるかを見る方が安全です。
特に、ログイン、本人確認、取引制限、パスワード変更、認証コード入力などを求める内容では、メール内リンクを使わないことを徹底してください。

重要なお知らせで同じ案内を見る

SBI証券からの重要な案内は、ログイン後の正規画面で確認できる場合があります。
取引の停止や制限に関する案内がある場合も、SBI証券公式FAQでは、SBI証券WEBサイトの「重要なお知らせ」または「当社からのお知らせ」で理由を確認できると案内されています。
(出典:SBI証券公式FAQ

そのため、メールに「重要なお知らせ」「取引制限」「確認期限付き」「登録情報の確認」などと書かれていても、メール本文のボタンから進む必要はありません。
公式サイトや公式アプリから入り、同じ内容が正規画面に表示されているか確認してください。

見る場所の目安は、次の通りです。

・重要なお知らせ
・当社からのお知らせ
・メッセージボックス
・ログイン履歴
・取引履歴
・出金履歴
・登録情報
・メールアドレスや電話番号
・セキュリティ設定

特に注意したいのは、メールに「制限を解除するにはこちら」「本人確認を完了してください」「期限までに対応しないと取引できません」などの言葉がある場合です。
実際に確認が必要な案内であっても、解除手続きや登録情報の確認は公式画面から進めます。

公式画面に同じ案内が見当たらない場合、メールだけを根拠に操作を続けないでください。
必要に応じて、SBI証券の公式サイトや公式アプリから案内される問い合わせ導線で確認します。
メールに書かれている連絡先やリンク先をそのまま使うと、偽の窓口へ誘導される可能性があります。

送信者名やロゴだけで判断しない

送信者名が「SBI証券」と表示されている場合や、メールにSBI証券らしいロゴが入っている場合でも、それだけで本物とは判断しないでください。
SBI証券公式FAQでは、送信者名が「SBI証券」となっている場合や、アドレスが「@sbisec.co.jp」と見える場合でも、SBI証券をなりすました偽装メールの場合があると注意しています。

メールアドレスや送信者名は確認材料の一つにはなります。
しかし、そこで安心してメール内リンクを押してしまうと、偽サイトへ進む危険があります。
特にスマホでは、差出人の詳細や実際のリンク先が見えにくく、ロゴや件名の印象で判断しやすくなります。

見た目で迷いやすい要素には、次のようなものがあります。

・SBI証券らしい送信者名
・SBI証券に似たメールアドレス
・公式サイトに似たロゴ
・金融機関らしい文面
・「重要」「緊急」「確認期限」などの言葉
・本人確認や取引制限を急がせる案内

これらは、本物の案内でも使われることがあります。
同時に、偽メールでも使われやすい表現です。
そのため、見た目の一致ではなく、公式サイトや公式アプリ側で同じ案内を確認することを優先してください。

URLの見た目も過信しない方が安全です。
警察庁は、電子メールやSMSに記載されたリンクを安易にクリックせず、公式サイトをブックマークに登録しておくことや公式アプリの活用を案内しています。
(出典:警察庁公式サイト

本物の重要メールがある場合の注意点

SBI証券から実際に重要なメールが送られる場合もあります。
そのため、「SBI証券から重要メールが来たから全部偽物」と決めつける必要はありません。
大切なのは、本物の可能性があるメールでも、メール内リンクから操作しないことです。

SBI証券公式FAQでは、「〖重要〗ご登録メールアドレスの有効性確認と当社のメール配信方針について」というメールについて、SBI証券から送っているものと案内しています。
このメールにはリンクを用意していないとも案内されています。
類似するメールにリンクがある場合は、SBI証券から送っているメールではないため、リンクを開かないよう注意されています。

また、「〖重要〗パスワード強制リセットのお知らせ」や、不正アクセスに関するお知らせが届く場合もあります。
ただし、件名が似ているだけで本物と決めるのは危険です。
本物の重要メールがあるからこそ、メール文面ではなく公式画面側で確認する必要があります。

判断の基本は、次の通りです。

・メール内リンクからログインしない
・メールの件名だけで本物と決めない
・送信者名やロゴだけで判断しない
・公式サイトや公式アプリから同じ案内を見る
・パスワード変更や本人確認は正規画面から進める

SBI証券を名乗るメールが本物か迷う時は、「本物か偽物かをその場で当てる」よりも、「偽メールだったとしても危険な操作をしない」ことを優先してください。
この考え方なら、本物メールだった場合にも、正規画面から落ち着いて対応できます。

リンクを押した後の状況別対処

・開いただけなら追加操作を止める
・リンクを押したら入力有無を確認する
・ログイン情報を入力した場合の対応
・認証コードを入力した場合の対応
・カードや銀行情報を入力した場合

SBI証券を名乗るメールのリンクを押してしまった場合でも、すぐに同じ対応になるわけではありません。
開いただけなのか、リンクを押したのか、ログイン情報を入力したのか、認証コードまで入力したのかで、必要な対応が変わります。

この章では、行動段階ごとに何を優先するべきかを扱います。

開いただけなら追加操作を止める

メールを開いただけで、リンクを押しておらず、添付ファイルも開いておらず、何も入力していない場合は、まず追加操作を止めてください。
メールを開いたこと自体より、その後にリンクを押す、情報を入力する、添付ファイルを開く、電話をかけるといった行動が問題になりやすいです。

この段階で確認することは、次の4つです。

  1. メール内リンクを押したか。
  2. 添付ファイルを開いたか。
  3. ログイン情報や認証コードを入力したか。
  4. メールに書かれた電話番号へ連絡したか。

どれもしていない場合は、メールを閉じ、SBI証券の公式サイトや公式アプリから同じ案内があるか確認します。
不安だからといって、メールを何度も開き直したり、リンク先を試したりする必要はありません。

メールを削除するか迷う場合は、すぐに完全削除しない方がよい場面もあります。
後でSBI証券の公式窓口や警察へ相談する可能性があるなら、件名、受信日時、差出人、本文が分かる状態で残しておくと説明しやすくなります。
ただし、残しておく場合でもリンクや添付ファイルは開かないでください。

開いただけ、押した、入力した時の整理は、メールやSMSを開いた後の状況別対処でも確認できます。

リンクを押したら入力有無を確認する

リンクを押してしまった場合は、まずそのページを閉じてください。
戻るボタンで再確認したり、画面の案内に従って操作を続けたりしないでください。

次に見るべきなのは、リンク先で何をしたかです。
確認する順番は、次の通りです。

  1. ユーザーネームを入力したか。
  2. ログインパスワードを入力したか。
  3. 取引パスワードを入力したか。
  4. 認証コードやワンタイムパスワードを入力したか。
  5. 氏名、住所、電話番号などを入力したか。
  6. 銀行情報やカード番号を入力したか。
  7. アプリのインストールや電話連絡をしたか。

何も入力していない場合は、リンク先ページを閉じ、正規の入口からSBI証券へアクセスします。
そのうえで、重要なお知らせ、ログイン履歴、取引履歴、出金履歴を確認してください。

リンクを押しただけでも、不安が強い場合は、ログイン履歴を見ておくと状況を整理しやすくなります。
SBI証券では、ログイン日時やチャネルを確認できるログイン履歴サービスが案内されています。
身に覚えのないログインがないか、普段と違う時間帯や利用環境がないかを見ます。

不審なアプリのインストールを求められた場合は、入れないでください。
すでに入れてしまった場合は、通信を切る、アプリを削除する、OSやアプリを更新する、ログイン履歴や取引履歴を確認するなどの対応が必要です。
相手の指示で画面共有や遠隔操作に進んだ場合は、相手が操作できない状態にすることを優先してください。

ログイン情報を入力した場合の対応

リンク先でSBI証券のユーザーネーム、ログインパスワード、取引パスワードを入力した場合は、メールの真偽確認よりもアカウント保護を優先します。
本物かどうかを考え続けている間に、不正なログインや取引へ進まれる可能性があります。

まず、メール内リンクやリンク先画面は使わず、安全な端末から正規の入口でSBI証券へアクセスしてください。
そのうえで、次の対応を進めます。

  1. ログインパスワードを変更する。
  2. 取引パスワードを変更する。
  3. ログイン履歴を確認する。
  4. 取引履歴を確認する。
  5. 出金履歴を確認する。
  6. 出金先銀行口座や登録情報の変更有無を見る。
  7. 不審な点があればSBI証券の公式窓口へ連絡する。

SBI証券公式FAQでは、フィッシングメールのサイト、不正な入力フォーム、ポップアップ画面にユーザーネーム、ログインパスワード、取引パスワードなどを入力してしまった場合、速やかに変更するよう案内しています。
身に覚えのない取引や出金を確認した場合は、カスタマーサービスセンターへ連絡するよう案内されています。
(出典:SBI証券公式FAQ

同じパスワードを他のサービスでも使っている場合は、SBI証券だけでなく、同じパスワードを使っていたサービス側も変更してください。
使い回しがあると、別のサービスにも被害が広がる可能性があります。

「ログインできるから問題ない」とは限りません。
ログインできる場合でも、取引履歴、出金履歴、登録情報、メールアドレス、電話番号、出金先銀行口座に不審な変更がないか確認してください。
ログイン情報を入力した後は、ログインできるかどうかだけでなく、口座内で何が起きているかを見ることが大切です。

認証コードを入力した場合の対応

認証コードやワンタイムパスワードを入力した場合は、特に急いで対応してください。
日本証券業協会は、偽サイトにIDやパスワードを入力させた後、偽のワンタイムパスワード入力画面へ誘導し、入力されたワンタイムパスワードを直ちに悪用する手口を注意喚起しています。
(出典:日本証券業協会公式サイト

認証コードは、単なる確認番号ではありません。
第三者が同時に操作を進めている場合、入力したコードがログイン、認証、設定変更などに使われる可能性があります。
そのため、認証コードを入力した後は、パスワード変更だけで終わらせない方が安全です。

確認する項目は、次の通りです。

・ログイン履歴
・取引履歴
・注文履歴
・約定履歴
・出金履歴
・出金先銀行口座
・登録メールアドレス
・登録電話番号
・住所などの登録情報
・セキュリティ設定

身に覚えのないログイン、取引、出金、登録情報の変更がある場合は、公式窓口へ連絡してください。
SBI証券公式FAQでは、身に覚えのないログイン履歴、取引、出金を発見した場合、ログインパスワード、取引パスワードの変更、ログイン一時利用停止を設定し、SBI証券カスタマーサービスセンターへ連絡するよう案内しています。

認証コードを入力した場合は、「入力したけれど何も起きていないように見える」と感じても、履歴を確認してから判断してください。
画面上は変化がなくても、別の端末や別の画面で操作が進んでいる場合があります。

カードや銀行情報を入力した場合

SBI証券を名乗るメールのリンク先で、クレジットカード番号、銀行口座情報、暗証番号、認証情報などを入力した場合は、SBI証券だけでなく、該当するカード会社や金融機関にも相談が必要です。
証券口座のログイン情報と、カードや銀行情報では、守るべき対象と連絡先が分かれます。

カード番号を入力した場合は、カード会社の公式窓口で利用停止や再発行の相談をしてください。
不審な利用がないか、利用明細も確認します。
カード会社への連絡は、メール内やリンク先に書かれた番号ではなく、カード会社の公式サイト、公式アプリ、カード裏面など、正規の確認方法を使ってください。

銀行口座情報、暗証番号、認証情報を入力した場合は、該当する金融機関の公式窓口へ相談します。
暗証番号や認証情報を入力している場合は、単なる個人情報入力よりも優先度が上がります。
不審な出金、振込、登録情報変更がないか確認してください。

氏名、住所、電話番号などの個人情報だけを入力した場合も、油断はできません。
直接の金銭被害がすぐに見えなくても、別のなりすまし連絡や追加の詐欺に使われる可能性があります。
今後、SBI証券や金融機関を名乗る電話、SMS、メールが増えた場合は、相手の案内どおりに操作せず、公式窓口で確認してください。

カード情報を入力してしまった時の確認順は、クレジットカード番号を入力してしまった時の確認順でも整理しています。

ログイン通知や取引制限メールの見方

・身に覚えのないログイン通知を確認する
・資産管理アプリ連携の可能性も見る
・取引制限は公式画面で確認する
・不審な取引や出金を確認する
・公式窓口へ連絡する判断基準

SBI証券を名乗るメールには、ログイン通知、認証コード、取引制限、本人確認、登録情報確認など、急いで確認したくなる内容が含まれることがあります。
ただし、こうした言葉があるだけで本物とも偽物とも決められません。

この章では、ログイン通知や取引制限の案内が届いた時に、どこを見ればよいかを扱います。

身に覚えのないログイン通知を確認する

SBI証券からログイン通知や認証コードのようなメールが届くと、「誰かにログインされたのでは」と不安になります。
この場合も、メール内リンクから確認しないでください。
公式サイトや公式アプリからログインし、ログイン履歴を確認します。

見るべき点は、次の通りです。

・ログイン日時
・利用チャネル
・自分が使った覚えのある時間か
・普段使っている端末や利用状況と合っているか
・同じ時間帯に認証コードや通知が届いていないか

ログイン履歴だけで判断しにくい場合は、取引履歴や出金履歴も合わせて確認します。
ログイン通知があっても、実際に取引や出金まで進んでいない場合と、何らかの操作が行われている場合では対応の重さが変わります。

不審なログインがある場合は、ログインパスワード、取引パスワードの変更を急いでください。
あわせて、ログイン一時利用停止や公式窓口への連絡も検討します。
特に、認証コードを入力した覚えがある場合や、登録情報が変わっている場合は、早めの相談が必要です。

身に覚えがない通知が届いた時ほど、メールの中にある「確認する」「解除する」「対応する」ボタンを押したくなります。
しかし、そのボタンが偽サイトへの入口である可能性もあります。
通知の内容は、必ず公式画面側で見てください。

資産管理アプリ連携の可能性も見る

身に覚えのないログイン通知や認証コードが届いても、すぐに不正ログインと決めつけられない場合があります。
SBI証券公式FAQでは、資産管理アプリや家計簿アプリなどの定期的なデータ取得により、ログイン通知が行われる場合があると案内しています。

資産管理アプリ、家計簿アプリ、他社の資産管理サービスにSBI証券口座を連携している場合は、そのサービスが自動的にデータ取得を行っている可能性があります。
この場合、通知が届くこと自体は、必ずしも第三者による不正操作とは限りません。

確認する時は、次の順番で見ます。

  1. 自分が資産管理アプリや家計簿アプリを使っているか。
  2. SBI証券口座をそのサービスへ登録しているか。
  3. 通知が届いた時間帯に自動連携が行われそうか。
  4. ログイン履歴に不審な点があるか。
  5. 取引履歴や出金履歴に異常があるか。

資産管理アプリの連携に心当たりがあり、取引や出金にも異常がなければ、まずは連携状況を見直します。
一方で、連携に心当たりがない、通知が何度も届く、認証コードを入力していないのに通知が続く、取引や出金に不審点がある場合は、安全側に対応してください。

ログイン通知の原因が自動連携かどうかを見ても、不安が残る場合は、パスワード変更や公式窓口への相談を検討します。
判断に迷う場面では、「何もなければよい」ではなく、「不審な履歴がないことを確認する」方向で動くと安心です。

取引制限は公式画面で確認する

「取引を制限しました」「本人確認が必要です」「登録情報を確認してください」といったメールが届いた場合は、焦ってメール内リンクを押さないでください。
実際に制限があるかどうかは、SBI証券の公式画面で確認します。

SBI証券公式FAQでは、取引の停止または制限のメッセージが表示された場合、理由はSBI証券WEBサイトの「重要なお知らせ」または「当社からのお知らせ」で確認できると案内されています。
そのため、メールのリンクからではなく、公式サイトや公式アプリからログインし、正規画面に同じ案内があるかを見ます。

取引制限に関するメールで注意したい表現には、次のようなものがあります。

・期限までに対応しないと取引できない
・本人確認を完了しないと制限される
・登録情報の確認が必要
・制限解除はこちら
・パスワード再設定が必要
・不正アクセス対応が必要

これらの言葉があるからといって、すぐに偽メールと断定する必要はありません。
同時に、本物とも決められません。
本物の案内がある場合でも、確認と手続きは公式画面から進めてください。

ログイン制限に関する表示が実際に公式画面に出ている場合は、その表示内容に従って公式画面内で確認します。
SBI証券公式FAQでは、ログイン制限が表示される場合や、FIDO、スマホ認証、電話番号認証サービスの設定で解除される場合があることも案内されています。
ただし、解除手続きもメール内リンクからではなく、正規の画面で確認してください。

不審な取引や出金を確認する

SBI証券を名乗るメールでログイン情報や認証コードを入力した後は、ログイン履歴だけでなく、取引や出金の状況も確認してください。
ログインだけで終わっている場合と、実際に取引や出金まで進んでいる場合では、対応の緊急度が変わります。

確認する項目は、次の通りです。

・ログイン履歴
・注文履歴
・約定履歴
・保有資産
・出金履歴
・出金先銀行口座
・登録メールアドレス
・登録電話番号
・住所などの登録情報
・セキュリティ設定

見慣れないログインがあっても、資産管理アプリの連携などが原因の場合があります。
一方で、身に覚えのない注文、約定、出金、出金先銀行口座の変更、登録情報の変更がある場合は、より注意が必要です。

特に、取引パスワードや認証コードを入力した場合は、第三者が口座内で操作を進めた可能性を考えて確認します。
取引履歴や出金履歴に異常がないかを見たうえで、不審点があればSBI証券の公式窓口へ連絡してください。

不審な取引や出金を見つけた場合は、画面を閉じる前に記録を残します。
ログイン履歴、取引履歴、出金履歴、登録情報の変更画面などは、相談時に状況を説明する材料になります。
ただし、記録のためにメール内リンクへ戻る必要はありません。
正規画面で確認できる範囲を残してください。

公式窓口へ連絡する判断基準

SBI証券のメールが本物か迷うだけで、何も入力していない場合は、まず公式画面で同じ案内があるかを見ます。
一方で、すでにログイン情報や認証コードを入力した場合、不審なログインや取引がある場合は、公式窓口への連絡を優先した方がよい場面があります。

公式窓口へ連絡する目安は、次の通りです。

・ユーザーネームやパスワードを入力した
・取引パスワードを入力した
・認証コードやワンタイムパスワードを入力した
・身に覚えのないログイン履歴がある
・身に覚えのない取引がある
・身に覚えのない出金がある
・出金先銀行口座や登録情報が変わっている
・不審なアプリや遠隔操作に進んだ
・メールに書かれた電話番号へ連絡して追加情報を伝えた

連絡する時は、メールに書かれた電話番号やリンク先の窓口を使わないでください。
SBI証券の公式サイトや公式アプリから案内される問い合わせ導線を使います。
金融庁も、不審なウェブサイトに情報を入力したおそれや不審な取引の心配がある場合、各証券会社の問い合わせ窓口に連絡し、速やかにパスワードなどを変更するよう案内しています。

相談前に、何を伝えるかを整理しておくと話が早くなります。
受信日時、メール件名、差出人、押したリンク、入力した情報、ログイン履歴、取引履歴、出金履歴、不審な画面のスクリーンショットを準備してください。
被害が疑われる場合は、警察署やサイバー犯罪相談窓口への相談も検討します。

家族で確認する時と再発防止

・親や家族に最初に聞くこと
・相談前に残しておく情報
・警察や公的窓口へ相談する場合
・パスキーや多要素認証を見直す
・同じ被害を防ぐためのルールを決める

SBI証券を名乗るメールは、本人だけでなく、家族が代わりに確認する場面もあります。
特に、親や高齢の家族が「SBI証券からメールが来た」「ログインしたかもしれない」と不安になっている時は、責めずに状況を聞くことが大切です。

この章では、家族が確認する時の聞き方、相談前に残す情報、再発防止の考え方を扱います。

親や家族に最初に聞くこと

親や家族がSBI証券を名乗るメールに反応してしまった時は、最初に責めないでください。
「なんで押したの」「そんなメールに引っかからないで」と言うと、本人が詳しい状況を話しにくくなります。
必要なのは、叱ることではなく、どこまで進んだかを正確に知ることです。

最初に聞くことは、次の順番が分かりやすいです。

  1. メールを開いただけか。
  2. リンクを押したか。
  3. ログイン画面のようなものが出たか。
  4. ユーザーネームやパスワードを入力したか。
  5. 取引パスワードを入力したか。
  6. 認証コードを入力したか。
  7. カード番号や銀行情報を入力したか。
  8. アプリを入れたか。
  9. 電話をかけたか。
  10. 相手に画面を見せたり操作させたりしたか。

この順番で聞くと、必要な対応を切り分けやすくなります。
開いただけなら追加操作を止めることが中心です。
リンクを押したなら入力の有無を確認します。
ログイン情報や認証コードを入力しているなら、パスワード変更、履歴確認、公式窓口への相談を優先します。

離れて暮らしている家族の場合は、メール本文、差出人、リンク先画面、認証コード通知、ログイン通知などのスクリーンショットを送ってもらうと状況を把握しやすくなります。
ただし、スクリーンショットを撮るためにもう一度リンクを押してもらう必要はありません。
今残っている画面やメールの範囲で十分です。

親がIDやパスワードを入力してしまった場合の家族側の確認は、親がIDやパスワードを入力した時に家族が確認することでも詳しく整理しています。

相談前に残しておく情報

SBI証券の公式窓口や警察へ相談する可能性がある場合は、情報を整理しておくと状況を伝えやすくなります。
不安だからといって、メールをすぐ完全削除すると、後から説明しにくくなることがあります。

残しておきたい情報は、次の通りです。

・メールの件名
・受信日時
・送信者名
・送信元アドレス
・メール本文
・表示されていたリンク先
・リンクを押した日時
・入力した情報の種類
・表示された画面
・認証コード通知の有無
・ログイン通知の有無
・ログイン履歴
・取引履歴
・出金履歴
・登録情報の変更有無

スクリーンショットを残す場合は、メール本文、差出人表示、リンク先画面、入力後の表示、エラー表示、認証コード通知、不審な取引や出金の履歴を保存します。
ただし、記録のために危険な画面へ戻る必要はありません。
正規画面で確認できる範囲と、手元に残っているメール画面を保存してください。

電話してしまった場合は、相手の電話番号、通話した日時、話した内容、伝えた情報、相手から指示された操作をメモします。
相手に折り返したり、追加で情報を伝えたりしないでください。
画面共有や遠隔操作に進んだ場合は、通信を切る、アプリを削除する、公式窓口や警察へ相談するなど、被害拡大を止める行動を優先します。

記録は、相談のための材料です。
不安を大きくするためではありません。
何をしたか、何を入力したか、どこまで進んだかを整理できれば、次に取るべき対応が見えやすくなります。

警察や公的窓口へ相談する場合

不正アクセス、身に覚えのない取引、出金、登録情報の変更などがある場合は、SBI証券の公式窓口への連絡とあわせて、警察への相談も検討してください。
警察庁は、不正アクセス被害に遭った場合、保存したログイン履歴などを持参して、最寄りの警察署またはサイバー犯罪相談窓口に通報、相談するよう案内しています。
(出典:警察庁公式サイト

相談する時は、感覚的に「怪しいメールが来た」と伝えるだけでなく、時系列で整理すると伝わりやすくなります。
たとえば、次のようにまとめます。

  1. いつメールを受け取ったか。
  2. どのような件名だったか。
  3. リンクを押したか。
  4. 何を入力したか。
  5. 認証コードを入力したか。
  6. 不審なログイン履歴があるか。
  7. 不審な取引や出金があるか。
  8. すでにパスワード変更をしたか。
  9. SBI証券の公式窓口へ連絡したか。

フィッシングメールやフィッシングサイトの情報提供先として、フィッシング対策協議会もあります。
ただし、情報を入力してしまった場合の相談や、口座の保護対応は、利用しているサービスの公式窓口や必要な公的窓口へ進むことが大切です。

公的窓口や警察へ相談する場合でも、メールに書かれていた連絡先へは戻らないでください。
相談先は、公式サイトや公的機関の案内から確認します。
本文中に見覚えのない電話番号があっても、その番号が安全な窓口とは限りません。

パスキーや多要素認証を見直す

SBI証券のメールで不安になった後は、同じことが起きた時に備えてセキュリティ設定を見直してください。
ただし、どれか一つを設定すれば完全に防げるわけではありません。
複数の対策を重ねることが大切です。

見直したい項目は、次の通りです。

・ログイン通知メールサービス
・ログイン履歴サービス
・多要素認証
・パスキー認証
・パスワードの使い回し
・取引パスワードの管理
・OSやアプリの更新
・公共Wi-Fi利用時のログイン習慣
・公式サイトのブックマーク

SBI証券公式FAQでは、パスキー認証について、パスワード入力が不要になるためフィッシング詐欺に気づきやすく、フィッシングサイトなど偽サイトではパスキーは使えないと案内しています。
パスキーは、フィッシングに強い認証方法として検討しやすい対策の一つです。

ただし、パスキー設定を案内する偽メールや偽サイトにも注意が必要です。
パスキーや多要素認証の設定も、メール内リンクから進めないでください。
SBI証券の公式サイトや公式アプリから通常の方法でログインし、正規画面で設定します。

パスワードについては、使い回しを避けます。
SBI証券で使っていたパスワードを他サービスでも使っていた場合は、同じパスワードを使っていたサービス側も変更してください。
長く、推測されにくく、他と重複しないパスワードにすることが基本です。

端末側の管理も大切です。
OS、ブラウザ、アプリを最新の状態に保ち、不特定多数が利用できる端末でログインや取引をしないようにします。
公共Wi-Fiでのログインにも注意し、普段から安全な環境で口座を確認する習慣を作ってください。

同じ被害を防ぐためのルールを決める

SBI証券を名乗るメールに不安を感じた後は、次に同じようなメールが来た時のルールを決めておくと安心です。
特に家族で使う場合や、親が一人でスマホを操作している場合は、事前の約束が役立ちます。

家族で決めておきたいルールは、次のようなものです。

・SBI証券のメールが来ても、メール内リンクは押さない
・「重要」「制限」「本人確認」と書かれていても、まず家族に相談する
・公式サイトや公式アプリから確認する
・認証コードは、家族に相談するまで入力しない
・カード番号や銀行情報は、メールのリンク先では入力しない
・電話をかける前に、公式サイト側の窓口か確認する
・画面共有や遠隔操作を求められたら中止する
・困ったらメール本文と画面のスクリーンショットを送る

大切なのは、「失敗したら怒られる」という空気にしないことです。
責められると思うと、本人が隠してしまい、対応が遅れることがあります。
「押す前に送って」「入力した後でもすぐ言って」と伝えておく方が、被害拡大を防ぎやすくなります。

SBI証券を名乗るメールが本物か迷った時の基本は、最後まで同じです。
メール内リンクを使わず、公式サイトや公式アプリから確認します。
開いただけ、リンクを押した、ログイン情報を入力した、認証コードを入力した、カードや銀行情報を入力したという行動段階で対応を分けます。

不安な時ほど、急がずに順番を守ってください。
メールの文面を見て本物か偽物かを当てるより、偽メールだった場合でも危険な操作をしない確認方法を選ぶことが、自分の口座と家族を守る近道です。

記事のまとめ

・SBI証券を名乗るメールは本文リンクから操作しない
・本物か迷う時は公式サイトや公式アプリから確認する
・重要なお知らせはログイン後の正規画面で確認する
・送信者名やロゴが本物らしくても判断材料にしすぎない
・本物の重要メールがある場合もメール内リンクは使わない
・開いただけならリンクや添付を触らず追加操作を止める
・リンクを押した後は何を入力したかを最初に確認する
・ログイン情報を入力したらパスワード変更を急ぐ
・認証コードを入力した場合は取引や出金履歴まで確認する
・カード番号や銀行情報を入れたら該当窓口へ相談する
・ログイン通知は資産管理アプリ連携の可能性も見る
・取引制限や本人確認は公式画面で同じ案内を確認する
・不審な取引や出金があれば公式窓口への連絡を優先する
・相談前にはメール内容や入力情報や履歴を残しておく
・家族が確認する時は責めずに行動段階を順番に聞く
・再発防止はパスキーや多要素認証などを組み合わせる

怪しいメール・SMSが届いた方へ

メールやSMS内のリンクを押す前に、文面を貼り付けて危険な特徴を確認できます。

※チェックはブラウザ内だけで行われ、入力内容は外部に送信されません。

押す前チェックを使う
証券会社・投資サービス系の偽メール
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

ネット詐欺対策ナビ編集部のアバター ネット詐欺対策ナビ編集部

関連記事

目次