総務省を名乗るメールやSMSで氏名、電話番号、住所、ID、パスワード、カード番号、銀行情報などの入力を求められた場合、リンクを押す前や入力前後の行動で対処法が異なります。
焦らず操作を止め、公式サイトや正規の窓口から安全に確認することが重要です。
本記事では、入力前の安全確認方法や入力後の具体的な対応手順、家族への伝え方や相談前に残す記録、再発防止策までを網羅的に紹介します。
・総務省を名乗るメールで操作を止めるポイント
・公式サイトから安全に内容を確認する方法
・入力済み情報別の段階的な対処順
・家族や相談先への報告と記録の取り方
目次をチェックして目的の情報へ飛んで下さい。
時間のない方は本文の下の方に簡潔な「まとめ情報」もあります。
総務省を名乗るメールで個人情報を求められた時の初動
・メール内リンクを押さずに止まる
・公式サイトから安全に確認する
・入力前と入力後で対処を分ける
・急がせる文面でも一度保留する
総務省を名乗るメールやSMSで、氏名、電話番号、住所、メールアドレス、ID、パスワード、カード番号、銀行情報、プリペイド番号などの入力を求められた場合は、まず操作を止めることが大切です。
総務省という公的機関名が書かれていても、メール本文内のリンクから情報を入力してよいとは限りません。
実在する組織をかたり、偽サイトへ誘導して個人情報を入力させる手口は、フィッシングとして注意が呼びかけられています。
ここで最初に分けたいのは、「まだ何も入力していないのか」「リンクを押しただけなのか」「すでに個人情報や支払い情報を入力したのか」です。
同じ総務省を名乗るメールでも、状況によって必要な対処は変わります。
慌てて削除したり、メール内のリンクから確認を続けたりせず、どこまで操作したかを切り分けてください。
メール内リンクを押さずに止まる
総務省を名乗るメールで個人情報を求められたら、最初にすることは、メール本文内のリンクを押さずに止まることです。
リンク先が公式サイトのように見えても、実際には偽サイトへ誘導される可能性があります。
フィッシング対策協議会は、フィッシングについて、実在する組織をかたり、メールのリンクから偽サイトへ誘導し、個人情報を入力させる手口として説明しています。(出典:フィッシング対策協議会公式サイト)
特に注意したいのは、メール本文にあるボタンやURLだけでなく、画像に仕込まれたリンクです。
「確認する」「手続きする」「支払いへ進む」などのボタンが置かれている場合、押した先でログイン画面や支払い画面に見えるページが表示されることがあります。
画面の見た目が整っていても、それだけで本物とは判断できません。
まずは、次の操作を止めてください。
・メール内のURLを押さない
・ボタンや画像リンクを押さない
・添付ファイルを開かない
・本文に書かれた電話番号に電話しない
・メールに返信しない
・リンク先で個人情報を入力しない
メールを開いただけで、何も押しておらず、添付ファイルも開いておらず、個人情報も入力していない場合は、すぐに深刻な被害へ進んだとは限りません。
ただし、そこからリンクを押したり、記載された電話番号へ連絡したりすると、次の段階へ進んでしまいます。
一度手を止めて、メールを見ながら判断しようとしないことが大切です。
総務省を名乗るメールであっても、本文の指示にそのまま従う必要はありません。
公的機関名が書かれていると不安になりますが、急いで行動させること自体が、フィッシングでよく使われる流れです。
「今すぐ確認」「未納」「期限」「重要なお知らせ」と書かれていても、まずはリンクを使わずに止まることを優先してください。
怪しいメール全般の確認手順を整理したい場合は、怪しいメールが本物か確認する安全な方法も参考になります。
公式サイトから安全に確認する
総務省を名乗るメールの内容が気になる場合は、メール本文のリンクではなく、総務省公式サイトを自分で開いて確認します。
検索やブックマークから公式サイトへ入り、同じ内容の案内や注意喚起が出ていないかを見る流れが安全です。
IPAも、メールの真偽を確かめたい場合は、公式サイトなど確かな情報源で確認することを案内しています。(出典:IPA公式サイト)
ここで大切なのは、メールに書かれたURLを「公式サイトの入口」として使わないことです。
偽メールでは、表示されている文字列が公式らしく見えても、実際のリンク先が別のサイトになっている場合があります。
また、総務省のロゴやそれらしい文章が表示されたページでも、メール内リンクから開いた画面であれば、そのまま入力に進まない方が安全です。
安全に確認する流れは次の順番です。
- メールやSMSを閉じる
- ブラウザを新しく開く
- 総務省公式サイトを自分で探して開く
- 注意喚起や発表情報を確認する
- メール内リンクではなく、公式サイト側の情報だけを見る
- 支払い情報や個人情報を求められている場合は、入力せず保留する
総務省を名乗るメールの内容が、税金、未納、重要なお知らせ、手続き期限などに関係している場合でも、メール本文だけで判断しないでください。
公式サイト側に同じ案内が見つからない場合でも、「だから本物ではない」と即断するより、メール内リンクで入力しないことを優先します。
判断に迷う場合は、メールの文面ではなく、公的機関や警察、フィッシング対策に関する公式情報を見て、安全な行動を選ぶ方がよいです。
総務省をかたるフィッシングでは、フィッシング対策協議会が、個人情報やVプリカ発行コード番号などの入力を促す事例について注意喚起しています。
そのため、総務省名義で支払い情報やプリペイド番号を求められた場合は、メール内リンクから入力しない判断が重要です。(出典:フィッシング対策協議会公式サイト)
公式サイトで確認する時に、メール本文を見比べるだけでは不安が残ることもあります。
その場合も、メール内にある電話番号へかけたり、返信したりするのは避けてください。
本文に書かれた連絡先そのものが、相手側へつながる導線になっている可能性があるためです。
入力前と入力後で対処を分ける
総務省を名乗るメールへの対処は、どこまで操作したかで変わります。
「開いただけ」と「リンクを押した」と「入力した」を同じように扱うと、不必要に不安が大きくなったり、逆に必要な対応が遅れたりします。
最初に、自分の状況を次のように分けてください。
・メールやSMSを開いただけ
・リンクを押したが、何も入力していない
・氏名、住所、電話番号などを入力した
・IDやパスワードを入力した
・カード番号や暗証番号を入力した
・銀行口座や認証情報を入力した
・本人確認書類の画像を送った
・不審なアプリを入れた
・本文中の電話番号へ電話した
・支払いまで進んだ
メールやSMSを開いただけで、リンク、添付ファイル、入力、電話、アプリ追加のいずれもしていない場合は、まず画面を閉じ、必要に応じて記録を残します。
この段階で、メール内リンクから「本物か確認しよう」としないことが大切です。
削除する場合も、相談が必要になりそうなら、先にスクリーンショットや受信日時を残してから判断してください。
リンクを押してページが表示されたものの、何も入力していない場合は、ページを閉じます。
IPAは、フィッシングサイトが表示された場合でも、情報を入力していなければブラウザを閉じる対応を案内しています。(出典:IPA公式サイト)
この場合は、リンク先画面を見続けたり、画面内の戻るボタンや手続きボタンを押したりせず、閉じてください。
すでに入力した場合は、入力した情報の種類で優先順位が変わります。
氏名や電話番号だけの場合と、カード番号や銀行の認証情報を入力した場合では、急ぐべき連絡先もリスクも違います。
特に、カード番号、暗証番号、ワンタイムパスワード、銀行口座、乱数表番号などを入れた場合は、時間を置かずに公式窓口へ相談する必要があります。
リンクを押してしまった場合の状況整理は、怪しいメールのリンクを押してしまった時の確認手順でも確認できます。
急がせる文面でも一度保留する
総務省を名乗るメールに「重要なお知らせ」「未納」「税納付」「期限」「至急」「本日中」などの言葉があると、すぐに対応しなければならないように感じます。
しかし、急がせる文面は、読者に考える時間を与えず、リンクを押させたり、個人情報を入力させたりするために使われることがあります。
件名や文面が強くても、メール本文だけで本物かどうかを判断しないでください。
特に注意したいのは、次のような流れです。
・重要なお知らせとして不安にさせる
・手続き期限が近いように見せる
・未納や支払いを示して焦らせる
・確認ボタンを押すよう誘導する
・氏名や電話番号を入れさせる
・カード情報やプリペイド番号を求める
このような文面があるからといって、それだけで詐欺と断定する必要はありません。
ただし、メール内リンクから個人情報や支払い情報を入力する必要はありません。
本物か迷う時ほど、操作を止め、公式サイト側から確認することが安全です。
また、文面が丁寧であっても油断しないでください。
公的機関名、もっともらしい部署名、受付番号、期限、支払いに関する説明が並んでいると、本物の通知のように感じることがあります。
しかし、フィッシングサイトは見た目では見破りにくいとされており、文章の整い方だけで安全とは判断できません。
不安な時は、すぐに結論を出すよりも、次の順番で動くと落ち着いて対応できます。
- メール内リンクを押さない
- 入力や支払いを止める
- 受信日時と文面を記録する
- 公式サイトや確かな情報源で確認する
- 入力済みなら情報の種類ごとに相談する
総務省を名乗るメールでは、総務省そのものを疑うのではなく、総務省をかたる第三者の偽連絡に注意するという考え方が大切です。
公的機関名が使われているほど、読者は焦りやすくなります。
だからこそ、文面の強さではなく、安全な確認手順を優先してください。
怪しいメールか見分ける確認ポイント
・差出人名だけで判断しない
・リンク先URLを開かず確認する
・重要なお知らせの文面に注意する
・SMSで届いた場合も同じ流れで見る
・支払い情報を求める文面に注意する
総務省を名乗るメールが怪しいかどうかは、差出人名や件名だけでは判断できません。
送信元表示、URL、本文、入力要求、支払い要求、SMSかメールかといった複数の要素を分けて見る必要があります。
ただし、どれか一つに当てはまったからといって、その場で断定するのではなく、メール内リンクを使わずに確認することが基本です。
ここでは、総務省を名乗るメールやSMSで特に注意したい確認ポイントをまとめます。
判断の目的は、メールを鑑定することではなく、危険な操作を避けることです。
本物かどうか迷った時も、リンクや返信ではなく、公式サイトや確かな情報源へ切り替えてください。
差出人名だけで判断しない
メールの差出人名に「総務省」と表示されていても、それだけで本物とは判断できません。
メールの表示名は、受信画面では本物らしく見えることがあります。
IPAは、見かけ上のメール送信元情報から本物か偽物かを判断することは困難だと案内しています。(出典:IPA公式サイト)
差出人名で迷いやすいのは、次のようなケースです。
・総務省と表示されている
・公的機関らしい部署名が書かれている
・本文の署名が丁寧に作られている
・ロゴや住所らしい情報が入っている
・自動配信メールのように見える
これらは判断材料にはなりますが、安全の決め手にはなりません。
特に、メール本文内で個人情報や支払い情報の入力を求められている場合は、差出人名よりも「どこから入力させようとしているか」を見てください。
メール内リンク先で入力を求められているなら、その時点で操作を止めた方が安全です。
また、差出人名が怪しいからすぐ削除する、という対応だけでは不十分な場合があります。
すでにリンクを押した、入力した、電話した、支払いをした場合は、メールの記録が相談に役立ちます。
削除の前に、受信日時、差出人名、件名、本文、押したリンク、入力した内容を残しておくと、後から状況を説明しやすくなります。
差出人名を見る時は、「本物か偽物かをこの場で決める」よりも、「メール内リンクで進まない理由を見つける」くらいの感覚で十分です。
本物のように見えても、確認は公式サイト側で行います。
怪しく見えても、焦って返信したり電話したりせず、記録してから安全な確認導線に切り替えてください。
リンク先URLを開かず確認する
総務省を名乗るメールで最も注意したいのは、本文内のリンクです。
フィッシングでは、メール内のURLや画像リンクから偽サイトへ誘導し、そこで個人情報を入力させる手口があります。
IPAは、フィッシングメール内のURLや画像リンクから偽サイトへ誘導されることを注意点として案内しています。(出典:IPA公式サイト)
リンク先を開かずに確認する時は、次の点を見ます。
・リンクを押さなくても内容が分かるか
・本文が入力や支払いを急がせていないか
・個人情報を入れないと進めない作りになっていないか
・URLが短縮されていたり、不自然に長かったりしないか
・メール本文の表示URLと実際の遷移先が違う可能性を考える
ただし、URLを目で見て判断しようとしすぎるのも危険です。
本物に似せたURLや、文字の一部だけを変えたURLは、慣れていないと見分けにくいことがあります。
フィッシング対策協議会も、フィッシングサイトは見破りにくいという前提で注意を呼びかけています。
リンクを押してしまった場合でも、何も入力していないなら、画面を閉じることが中心です。
その後、同じリンクをもう一度開いて確認する必要はありません。
不安な時ほど、公式サイトを自分で開く、ブックマーク済みの公式URLを使う、確かな情報源で見るという流れに戻してください。
リンク先でログイン画面や支払い画面が出た場合は、特に注意が必要です。
総務省を名乗っていても、メール内リンクからID、パスワード、カード番号、銀行情報、ワンタイムパスワードを入力してはいけません。
入力しないまま閉じ、入力済みかどうかを落ち着いて確認してください。
重要なお知らせの文面に注意する
「重要なお知らせ」という件名や文面は、本物の連絡でも使われることがあります。
そのため、この言葉だけで危険と断定する必要はありません。
一方で、フィッシングメールでも読者を焦らせるために使われやすい表現です。
総務省を名乗るメールで、次のような要素が組み合わさっている場合は、特に慎重に扱います。
・重要なお知らせと書かれている
・未納や税納付を示している
・期限内に手続きしないと不利益があるように見せている
・リンク先で個人情報を求めている
・支払い情報やプリペイド番号を求めている
・本人確認を理由にIDやパスワードを求めている
件名が強いほど、読者は「早く対応しないといけない」と感じます。
しかし、フィッシングでは、その焦りを利用してリンクを押させる流れが使われます。
大切なのは、文面が本物らしいかどうかよりも、メール内リンク先で何を求められているかです。
「重要なお知らせ」と書かれていても、公式サイト側から確認できる内容であれば、メール内リンクを使わなくても状況を把握できます。
逆に、メール内リンクからでないと確認できない、入力しないと詳細が見られない、支払い情報を入れないと進めないという作りであれば、安全側に止まってください。
総務省を名乗るメールでは、本文に公的機関らしい表現が並ぶことがあります。
それでも、本人確認、未納、税納付、支払い、重要なお知らせといった言葉だけで判断しないことが重要です。
リンク、入力要求、支払い要求、公式サイトでの確認を分けて見ることで、誤った操作を避けやすくなります。
SMSで届いた場合も同じ流れで見る
総務省を名乗る連絡は、メールだけでなくSMSとして届く可能性もあります。
SMSはスマホ画面上で短く表示されるため、差出人やリンク先を十分に確認しないまま押してしまいやすい点に注意が必要です。
警察庁も、フィッシングについて、偽のメールやSMSで偽サイトに誘導する手口として説明しています。(出典:警察庁公式サイト)
SMSで届いた場合も、基本はメールと同じです。
・SMS内リンクを押さない
・電話番号や送信元名だけで判断しない
・表示された短い文面だけで本物と決めない
・リンク先で個人情報を入力しない
・公式サイトや確かな情報源から確認する
SMSでは、文章が短いため「重要」「未納」「確認」「手続き」などの単語だけで焦ってしまうことがあります。
しかし、短い文面ほど判断材料が少ないため、リンクを押して補おうとしないでください。
SMS内リンクは、偽サイトや不審アプリの導線になることがあります。
Androidスマートフォンでは、リンク先から不正アプリのインストールへ誘導されるケースにも注意が必要です。
フィッシング対策協議会は、総務省をかたる事例の中で、不正アプリのインストールへ誘導される場合があることも注意しています。
アプリの追加を求められたら、入力前でも操作を止める必要があります。
SMSを受け取った場合は、削除前にスクリーンショットを残すと相談しやすくなります。
フィッシング対策協議会は、SMSの場合、スクリーンショットを取得して報告に使う方法を案内しています。
家族に相談する場合も、SMS本文をそのまま転送するより、スクリーンショットを送ってもらう方が状況を把握しやすいことがあります。
支払い情報を求める文面に注意する
総務省を名乗るメールで、個人情報だけでなく支払い情報を求められた場合は、より慎重に扱ってください。
フィッシング対策協議会は、総務省をかたるフィッシングで、メールアドレス、電話番号、名前、Vプリカ発行コード番号、額面などを入力しないよう注意を示しています。
つまり、支払いに関係する番号やプリペイド番号を求める文面は、特に警戒すべきポイントです。
注意したい入力要求には、次のようなものがあります。
・クレジットカード番号
・カードの暗証番号
・ワンタイムパスワード
・銀行口座番号
・インターネットバンキングのIDやパスワード
・プリペイド番号
・Vプリカ発行コード番号
・支払い金額や額面に関する情報
公的機関名が書かれていると、税金や手続きの支払いのように見えることがあります。
しかし、メール内リンク先で支払い情報やプリペイド番号を入力する必要はありません。
入力する前に止まり、公式サイトや確かな情報源で同様の案内があるかを見てください。
特に、プリペイド番号や発行コードは、一度相手に伝えると取り戻しが難しくなることがあります。
また、カード番号やワンタイムパスワードは、不正利用や本人確認突破に使われるおそれがあります。
「少額だから大丈夫」「確認のためだけ」と考えず、支払いに関係する情報を求められた時点で操作を止めてください。
支払い情報をすでに入力した場合は、次の大見出しで扱うように、カード会社や金融機関の公式窓口への相談を優先します。
メール内の問い合わせ先や支払い画面で案内された連絡先ではなく、自分で公式サイトやカード裏面など確かな方法で確認できる窓口を使うことが大切です。
個人情報を入力してしまった時の確認順
・氏名や電話番号を入力した場合
・IDやパスワードを入力した場合
・カード番号を入力した場合
・銀行情報や認証情報を入力した場合
・本人確認書類を送った場合
・電話やアプリ追加まで進んだ場合
すでに総務省を名乗るメールやSMSのリンク先で個人情報を入力してしまった場合は、入力した情報の種類ごとに対処を分けます。
氏名や電話番号だけの場合と、カード番号、銀行情報、認証コード、本人確認書類を送った場合では、優先すべき行動が違います。
まずは「何を入力したか」を書き出し、重要度の高いものから対応してください。
この章では、入力内容ごとに確認する順番を整理します。
どの場合も、メール内リンクに戻って操作を続けたり、本文に書かれた電話番号へ連絡したりするのは避けます。
公式サイト、公式アプリ、カード会社、金融機関、警察など、内容に合った相談先へ切り替えることが大切です。
氏名や電話番号を入力した場合
氏名、住所、電話番号、生年月日、メールアドレスなどを入力した場合は、すぐにカード不正利用や不正送金へ進むとは限りません。
ただし、入力した情報が今後のなりすまし連絡や追加詐欺の材料になるおそれがあります。
警察庁は、フィッシングで入力を求められる情報例として、住所、氏名、電話番号、生年月日などを挙げています。
まず、入力した内容を整理してください。
・氏名
・住所
・電話番号
・生年月日
・メールアドレス
・勤務先や家族情報
・問い合わせ番号のように見える情報
この段階では、これ以上メール内リンクを開かないことが大切です。
入力した内容を取り消そうとして、もう一度偽サイトに入る必要はありません。
「修正」「削除」「退会」などのボタンが表示されていても、追加で入力させるための導線になっている可能性があります。
氏名や電話番号を入れた後は、しばらく不審な電話、SMS、メールに注意してください。
相手が入力済みの情報を使って、本人確認のような話し方をしてくることも考えられます。
「先ほどの総務省手続きの件です」「確認のため認証番号を教えてください」などと言われても、追加情報を伝えないでください。
家族に相談する場合は、「名前と電話番号を入れた」「住所まで入れた」「カード番号は入れていない」など、入力した情報と入力していない情報を分けて伝えます。
この区別ができると、カード会社や金融機関へ急ぐべきか、まず記録と様子見を優先するか判断しやすくなります。
IDやパスワードを入力した場合
IDやパスワードを入力した場合は、早めに正規サイトからパスワードを変更します。
ここで重要なのは、メール内リンクから開いた画面ではなく、公式サイトや公式アプリを自分で開くことです。
IPAは、フィッシングサイトにIDやパスワードを入力してしまった場合、速やかに正規サイトからパスワードを変更する対応を案内しています。(出典:IPA公式サイト)
対応の順番は次の通りです。
- メール内リンクを閉じる
- 正規サイトや公式アプリを自分で開く
- 該当アカウントのパスワードを変更する
- 同じパスワードを使っている他サービスを確認する
- 使い回しがあれば、それぞれ変更する
- 多要素認証を設定できる場合は設定する
- ログイン履歴や利用履歴を確認する
IDやパスワードを入力した場合、被害はそのサービスだけに限らないことがあります。
同じパスワードをメール、通販、SNS、銀行、決済サービスなどで使い回していると、別のサービスにもログインされるリスクがあります。
そのため、入力したサービスだけでなく、同じ組み合わせを使っている場所を見直す必要があります。
ワンタイムパスワードや認証コードを入力した場合は、さらに注意が必要です。
認証コードは、その場で本人確認を突破するために使われる可能性があります。
「IDとパスワードだけ」なのか、「認証コードまで入れた」のかを分けて記録してください。
パスワード変更後も、すぐ安心しきらないでください。
ログイン履歴、登録メールアドレス、電話番号、支払い方法、配送先などが変更されていないか確認します。
身に覚えのない変更がある場合は、該当サービスの公式サポートへ相談してください。
カード番号を入力した場合
クレジットカード番号を入力した場合は、できるだけ早くカード会社の公式窓口へ相談してください。
カード番号だけでなく、有効期限、セキュリティコード、暗証番号、ワンタイムパスワードを入力した場合は、より急いで対応する必要があります。
警察庁は、フィッシングで入力を求められる情報例として、クレジットカード番号、暗証番号、ワンタイムパスワードなどを挙げています。
最初に確認することは次の通りです。
・カード番号を入力したか
・有効期限を入力したか
・セキュリティコードを入力したか
・暗証番号を入力したか
・ワンタイムパスワードを入力したか
・カード名義や住所も入力したか
・すでに身に覚えのない利用がないか
カード情報を入力した後に、メール内リンク先で「処理中」「確認中」「失敗しました」などと表示されることがあります。
その表示を信じて再入力しないでください。
何度も入力すると、相手に渡る情報が増える可能性があります。
カード会社へ相談する時は、利用停止、再発行、利用明細の確認、不正利用の有無を相談します。
カード会社の連絡先は、メール本文に書かれたものではなく、カード会社の公式サイトやカード裏面など、確かな方法で確認してください。
メール内の問い合わせ先に電話すると、さらに情報を聞き出されるおそれがあります。
不正利用がまだ見つかっていなくても、カード番号や認証情報を入力した時点で相談する価値があります。
利用明細は、数日後に反映される場合もあるため、一度確認して終わりにしない方が安全です。
必要に応じて、数日後にも明細を見直してください。
カード番号を入力した場合の詳しい確認順は、クレジットカード番号を入力してしまった時の確認順も参考になります。
銀行情報や認証情報を入力した場合
銀行口座番号、インターネットバンキングのID、ログインパスワード、暗証番号、ワンタイムパスワード、乱数表番号などを入力した場合は、金融機関の公式窓口への相談を優先してください。
警察庁は、フィッシングで入力を求められる情報例として、金融機関の口座番号、暗証番号、ワンタイムパスワード、乱数表番号などを挙げています。
これらは、不正送金や不正ログインにつながるおそれがあります。
まず、入力した情報を具体的に分けてください。
・銀行名
・支店名や口座番号
・ログインID
・ログインパスワード
・暗証番号
・ワンタイムパスワード
・乱数表番号
・認証アプリの承認操作
・本人確認書類の画像
銀行情報を入力した場合は、パスワード変更だけでは足りないことがあります。
すでに相手がログインできる状態になっている可能性があるため、金融機関へ連絡し、利用制限、取引確認、不正送金の有無を相談します。
ワンタイムパスワードや乱数表番号を入力した場合は、特に早めの連絡が必要です。
メール内リンク先で「手続き完了」「認証失敗」「再入力してください」などと表示された場合でも、その画面で再操作しないでください。
認証が失敗したように見せて、複数回入力させる手口も考えられます。
画面を閉じ、公式サイトや金融機関の公式アプリを自分で開くか、公式に確認できる窓口へ連絡します。
送金や支払いまで進んだ可能性がある場合は、時系列を記録します。
いつメールを受け取ったか、いつリンクを押したか、何を入力したか、送金や支払いの画面を見たか、金額が表示されたかをメモしてください。
IPAは、詐欺被害への対応で、状況把握、時系列記録、証跡の収集が重要であるとしています。
本人確認書類を送った場合
運転免許証、マイナンバーカード、乱数表、本人確認書類の画像などを送ってしまった場合は、氏名や電話番号だけを入力した場合より重く扱います。
警察庁は、フィッシングで入力を求められる情報例として、運転免許証、マイナンバーカード、乱数表等の画像情報を挙げています。
本人確認書類は、契約、口座、アカウント作成などに悪用されるおそれがあるためです。
送ってしまった場合は、まず何の画像を送ったかを整理してください。
・運転免許証の表面
・運転免許証の裏面
・マイナンバーカードの表面
・マイナンバーカードの裏面
・健康保険証などの本人確認書類
・銀行の乱数表
・本人確認用の顔写真
・書類と顔を一緒に撮った画像
本人確認書類を送った場合、メール内リンク先で削除依頼や取消手続きをしようとしないでください。
その操作で、さらに別の情報を求められる可能性があります。
まず、送信した日時、送った書類の種類、相手から求められた文面、送信画面のスクリーンショットを残します。
カード情報や銀行情報も一緒に入力している場合は、そちらの相談を優先します。
カード番号を入れたならカード会社、銀行情報を入れたなら金融機関へ連絡してください。
本人確認書類だけを送った場合でも、不安がある時は警察や関係するサービスの公式窓口へ相談する準備をします。
本人確認書類を送ったことは、家族にも相談しにくい内容かもしれません。
しかし、後から状況を整理するためには、早めに共有した方が対処しやすくなります。
「何を送ったか」「裏面まで送ったか」「カードや銀行情報も入力したか」を分けて伝えると、相談先を決めやすくなります。
電話やアプリ追加まで進んだ場合
総務省を名乗るメール本文に書かれた電話番号へ電話してしまった場合は、追加情報を伝えないことが大切です。
IPAは、不審メールでは本文中の電話番号に電話しないことを案内しています。
すでに電話してしまった場合も、相手の指示で認証コード、暗証番号、カード情報、銀行情報を伝えないでください。
電話してしまった時は、次の内容を記録します。
・電話した日時
・相手が名乗った名称
・聞かれた情報
・伝えてしまった情報
・支払いを求められたか
・アプリのインストールを求められたか
・遠隔操作の案内があったか
不審なアプリを入れてしまった場合は、通信を切る、アプリを削除する、必要に応じて専門窓口へ相談する流れを取ります。
フィッシング対策協議会は、総務省をかたるフィッシングで、不正アプリのインストールへ誘導される場合があることを注意しています。
また、不正アプリをインストールした可能性がある場合、アンインストールやGoogle Play プロテクトでのチェックを案内しています。
遠隔操作のような案内があった場合は、さらに慎重に扱います。
画面共有や遠隔操作アプリを通じて、相手がスマホやパソコン内の情報を見る可能性があります。
IPAは、偽メッセージで操作不能になった場合の初期対応として、ネットワーク切断を案内しています。
アプリ追加や電話まで進んだ場合は、「リンクを押しただけ」とは状況が異なります。
入力した情報、入れたアプリ、通話内容、支払いの有無をまとめて、相談しやすい状態にしてください。
不審アプリを削除しただけで終わらせず、カードや銀行情報も入力していないかを必ず振り返ります。
相談前に残す記録と再発防止
・届いたメールやSMSを記録する
・相談先を内容ごとに分ける
・家族には責めずに確認する
・今後は公式導線を決めておく
総務省を名乗るメールやSMSで不安になった時は、相談前に記録を残すことで、その後の対応が進めやすくなります。
焦って削除すると、件名、差出人、本文、リンク、入力した情報が分からなくなり、カード会社、金融機関、警察、家族へ状況を伝えにくくなります。
削除する前に、必要な情報を残してください。
この章では、相談前に残すもの、相談先の分け方、家族への聞き方、再発防止策を扱います。
総務省を名乗るメールは、本物か偽物かをその場で断定するより、危険な操作を避け、入力済みの場合は早めに正しい相談先へつなげることが大切です。
届いたメールやSMSを記録する
相談前には、届いたメールやSMSの情報を残してください。
フィッシング対策協議会は、フィッシングと思われるメールやSMSを報告する際、リンクをクリックしないこと、メールのタイトル、差出人名、送信日時、概要、SMSのスクリーンショットを送ることを案内しています。(出典:フィッシング対策協議会公式サイト)
残しておきたい情報は次の通りです。
・受信日時
・差出人名
・件名
・本文
・メールやSMS内のリンク
・添付ファイルの有無
・リンクを押したかどうか
・入力した情報
・電話したかどうか
・支払いをしたかどうか
・不審なアプリを入れたかどうか
・表示された画面のスクリーンショット
記録する時も、リンクを押して確認しに行く必要はありません。
すでに表示されているメールやSMSの画面をスクリーンショットで残し、本文や件名をメモします。
SMSの場合は、本文が短くても、送信元表示、本文、リンク、受信日時が分かる状態で残すと相談しやすくなります。
入力済みの場合は、「何を入力したか」を具体的に書き出します。
氏名だけなのか、電話番号まで入れたのか、カード番号や認証コードまで入れたのかで、対応の優先度が変わります。
入力したか覚えていない場合は、覚えている範囲で構いません。
ただし、不安だからといって偽サイトへ戻って確認しないでください。
相談に役立つ記録の残し方は、詐欺メールやSMSを受け取った時に相談へ残す記録でも確認できます。
相談先を内容ごとに分ける
相談先は、入力した情報や進んだ行動によって分けます。
総務省を名乗るメールだからといって、すべてを同じ窓口へ相談すればよいわけではありません。
カード情報ならカード会社、銀行情報なら金融機関、IDやパスワードなら該当サービス、犯罪被害が疑われる場合は警察というように、内容ごとに考えると動きやすくなります。
目安は次の通りです。
・カード番号を入力した場合:カード会社の公式窓口
・銀行情報を入力した場合:金融機関の公式窓口
・IDやパスワードを入力した場合:該当サービスの公式サポート
・メールやSMSの情報提供:フィッシング対策協議会
・被害や犯罪の疑い:警察
・不審アプリや遠隔操作の疑い:端末や状況に応じた専門窓口や警察
カード会社や金融機関へ連絡する場合は、メール本文に書かれた電話番号ではなく、公式サイトやカード裏面など確かな方法で確認した窓口を使います。
メール内の電話番号が偽の連絡先である可能性を考える必要があります。
これは、総務省を名乗るメールに限らず、フィッシング全般で大切な考え方です。
相談する時は、感情的に説明するより、時系列で伝えると伝わりやすくなります。
「いつ届いたか」「何を押したか」「何を入力したか」「支払いをしたか」「今どんな不安があるか」を順番に話してください。
IPAも、詐欺被害への対応で、状況把握、時系列記録、証跡の収集が重要であるとしています。
送金や支払いまで進んだ場合は、早めの相談が必要です。
IPAは、偽の口座へ送金してしまった場合、送金に利用した銀行へ早期に送金キャンセルや組み戻し手続きを依頼することが有効としています。
ただし、必ず資金が戻るとは限らないため、早めに動くことと、記録を残すことを両方進めてください。
家族には責めずに確認する
親や高齢の家族が、総務省を名乗るメールやSMSを開いた、リンクを押した、個人情報を入力したという場合は、責めずに確認することが大切です。
本人が不安になっている時に責めると、入力した内容や支払いの有無を言い出しにくくなります。
必要なのは、失敗を責めることではなく、次の対処を決めるための情報を集めることです。
家族が最初に聞くことは、次の順番が分かりやすいです。
- メールかSMSか
- いつ届いたか
- 開いただけか
- リンクを押したか
- 何か入力したか
- カード番号や銀行情報を入れたか
- 認証コードを入れたか
- 電話したか
- アプリを入れたか
- 支払いをしたか
聞き方は、できるだけ短くします。
「なんで押したの」と聞くより、「何を押したかだけ一緒に見よう」と伝える方が、本人も話しやすくなります。
「今から止められることを順番に見よう」と伝えると、責められている感覚を減らせます。
離れて暮らしている場合は、メールやSMSのスクリーンショットを送ってもらいます。
本文をコピーして送ってもらうより、差出人表示、受信日時、本文、リンクが見える画面を撮ってもらう方が、状況を把握しやすいです。
ただし、スクリーンショットを撮るためにリンクを押してもらう必要はありません。
本人がカード番号や銀行情報を入力している場合は、家族だけで判断せず、カード会社や金融機関の公式窓口へつなげます。
本人確認が必要な場合もあるため、家族が代わりに全部進めるより、本人の近くで一緒に話す形が現実的です。
電話やアプリ追加まで進んでいる場合は、追加操作を止め、通話やアプリの情報を記録してください。
家族間では、今後の合言葉を決めておくと予防になります。
たとえば、「総務省や銀行、カード会社を名乗るメールで入力を求められたら、先に家族へスクショを送る」と決めておく方法です。
本人だけで判断しない流れを作ることで、次に同じようなメールが来た時に止まりやすくなります。
今後は公式導線を決めておく
再発防止では、メールやSMSが届いた時に毎回迷わないよう、公式導線を決めておくことが有効です。
IPAは、正しいと確認できているURLをブラウザのお気に入りに登録し、お気に入りからアクセスする方法を紹介しています。
メール内リンクではなく、ブックマーク済みの公式サイトや公式アプリから確認する習慣を作ることで、偽サイトへ進むリスクを下げられます。
今後のために決めておきたいことは次の通りです。
・総務省など公的機関の確認は公式サイトから行う
・メール内リンクから個人情報を入力しない
・支払い情報はメール内リンク先で入力しない
・カード会社や金融機関は公式サイトや公式アプリから確認する
・家族に相談する前に入力しない
・迷ったらスクリーンショットを残して相談する
迷惑メールフィルターの設定も見直してください。
フィッシング対策協議会は、フィッシングメール対策として迷惑メールフィルターが有効であり、大量に届いている場合は設定がオンになっているか確認するよう案内しています。
完全に防げるわけではありませんが、届く量を減らすことで、誤って押す機会を減らせます。
IDやパスワードの使い回しも見直しが必要です。
フィッシングでは、ID、パスワード、ワンタイムパスワードが狙われることがあります。
同じパスワードを複数サービスで使っていると、一つの入力ミスが別のサービスの乗っ取りにつながる可能性があります。
多要素認証を使えるサービスでは、設定しておくと安全性を高められます。
ただし、多要素認証を入れていれば何をしても安全という意味ではありません。
認証コードを入力してしまうと悪用されるおそれがあるため、認証コードはメールやSMSのリンク先で入力しないことが大切です。
総務省を名乗るメールで不安になった経験がある場合は、次に似たメールが届いた時のルールを先に決めておきましょう。
「リンクは押さない」「公式サイトから見る」「入力前に家族へ相談する」「支払い情報は入れない」という短いルールだけでも、焦った時の行動を止めやすくなります。
記事のまとめ
・総務省を名乗るメールはリンクや添付を押さずに操作を止める
・メール内リンクやボタンで個人情報や支払い情報を入力しない
・公式サイトや公式アプリから内容を確認する手順を優先する
・氏名や電話番号だけ入力した場合は、スクリーンショットや受信日時を記録して様子を見る
・IDやパスワードを入力した場合は、公式サイトで速やかにパスワード変更と多要素認証設定を行う
・カード番号を入力した場合は、公式窓口へ連絡して利用停止や再発行を相談する
・銀行情報や認証情報を入力した場合は、金融機関の公式窓口へ連絡し取引確認や不正送金防止を行う
・本人確認書類を送った場合は、送信日時や送付内容を整理して必要に応じて相談窓口へ報告する
・電話やアプリ追加まで進んだ場合は、追加情報を伝えず操作を止めて記録を残す
・SMSでも同様にリンクを押さず、公式情報で確認することを徹底する
・家族への確認は責めずに入力状況や操作内容を整理して伝える
・再発防止のため、公式サイトからの確認導線や家族内ルールを決めておく
