怪しいメールが届くと、差出人名やメールアドレス、文面を見て本物かどうか判断したくなります。
しかし、本物に見える表示や自然な文章が使われることもあるため、メールの中だけで確かめるのは安全とは言えません。
大切なのは、メール内リンクを押さず、公式アプリやブックマーク済み公式サイト、利用履歴、注文履歴、カード明細などから確認することです。
リンクを押しただけの場合と、IDやパスワード、カード情報、銀行情報を入力した場合では対処も変わります。
この記事では、怪しいメールが本物か確認する安全な方法と、押した後や入力した後に取るべき対処手順を整理します。
・怪しいメールを本物か確認する安全な流れ
・差出人名やメールアドレスだけで判断しない理由
・リンクを押した後や情報を入力した後の対処
・不安が残る時の相談準備と予防策
怪しいメールを本物か確認する方法
怪しいメールが届いた時は、差出人名や文面を見てすぐに判断するより、メール内で行動しないことを先に決めると安全です。
本物に見えるメールでも、リンク先でログインや入力を求める形になっている場合があります。
まずはメールの中ではなく、公式アプリやブックマーク済み公式サイト、利用履歴や明細から確認してください。
・まずメール内リンクを押さない
・公式アプリや公式サイトで確認する
・利用履歴や明細と照合する
・メールだけの要求は慎重に扱う
まずメール内リンクを押さない
怪しいメールが届いたら、最初にすることは「本物かどうかをメール内で確かめること」ではありません。
リンク、添付ファイル、返信、電話、アプリのインストールをいったん止めることです。
特に、次のような案内があるメールでは、急いで操作しないようにしてください。
・今すぐログインしてください
・支払い方法を更新してください
・本人確認を完了してください
・アカウントを停止します
・不正利用を確認してください
・添付ファイルを開いてください
・この電話番号に連絡してください
・専用アプリを入れてください
こうした文面があるからといって、それだけで詐欺と断定する必要はありません。
ただし、メール内のリンクや連絡先を使って確認すると、偽サイトや偽の窓口に誘導される可能性があります。
安全に確認するには、メールを閉じて、普段から使っている公式アプリやブックマーク済み公式サイトを開きます。
警察庁も、フィッシング対策としてメールやSMSのリンクを安易にクリックせず、公式サイトのブックマークや公式アプリを利用するよう案内しています。
(出典:警察庁公式サイト)
メールを開いただけで不安な場合も、リンクや添付ファイルを開いたか、情報を入力したかで対応が変わります。
開いただけの状況を落ち着いて切り分けたい場合は、詐欺メールを開いただけの場合の対処法も参考になります。
公式アプリや公式サイトで確認する
本物か迷うメールは、メールの中ではなく、公式アプリやブックマーク済み公式サイトから確認します。
検索結果やメール内リンクからではなく、普段から使っている入り口を使うことが大切です。
確認の流れは次の順番です。
- メールを閉じる
- 公式アプリを開く
- アプリ内のお知らせや通知欄を見る
- 注文履歴、配送状況、請求情報、利用履歴を確認する
- 同じ要件が見当たらない場合は、メール内リンクを使わず公式窓口で確認する
たとえば、Googleからのセキュリティ通知に見えるメールが不安な時は、メール内リンクからではなく、Googleアカウントの通知ページや最近のセキュリティアクティビティを直接確認する方法があります。
(出典:Google Gmail ヘルプ)
AppleやApp Storeを装うメールでも、購入内容や請求の確認をメール内リンクから進めないことが大切です。
Apple公式サポートでは、疑わしいメールの報告や、個人情報を入力したと思う場合の対応が案内されています。
(出典:Apple サポート)
大切なのは、メールの文面を信じるか疑うかだけで判断しないことです。
公式側に同じ通知や履歴があるかを見ることで、落ち着いて判断しやすくなります。
利用履歴や明細と照合する
怪しいメールの内容が、支払い、配送、本人確認、アカウント停止、不正利用に関するものなら、メール本文ではなく履歴で照合します。
メールだけを見て判断すると、急がされる文面に引っ張られやすくなります。
確認に使いやすい場所は次の通りです。
・公式アプリ内のお知らせ
・注文履歴
・配送状況
・請求履歴
・カード明細
・アカウントのセキュリティ通知
・ログイン履歴
・利用履歴
「支払い方法に問題があります」というメールなら、公式アプリや公式サイトの請求情報を見ます。
「荷物を持ち帰りました」という内容なら、配送会社の公式サイトや公式アプリの配送状況を確認します。
「不正利用を検知しました」という内容なら、カード会社の公式アプリやカード明細で利用状況を見ます。
この時、メール内のボタンから明細を開かないでください。
本物の通知に見えても、偽サイトへ誘導される可能性があります。
メールの要件と公式側の履歴が一致しない場合は、入力やログインを急がないでください。
必要な時は、カード裏面、公式アプリ、公式サイトに掲載された窓口から相談する流れにします。
メールだけの要求は慎重に扱う
本物の重要な通知であれば、メール以外にも公式アプリ内のお知らせ、注文履歴、請求履歴、アカウント通知などに同じ要件が出ている場合があります。
一方で、メールだけで「今すぐ入力してください」と求められる場合は、慎重に扱う必要があります。
特に注意したいのは、次のような要求です。
・IDやパスワードの入力
・クレジットカード番号の入力
・銀行口座や暗証番号の入力
・認証コードの入力
・住所、氏名、電話番号の入力
・アプリのインストール
・電話での折り返し
このような要求がある場合でも、企業名やサービス名そのものが危険という意味ではありません。
実在する企業やサービスを装ったメールが届くことがあるため、確認の入り口を間違えないことが重要です。
メールだけに表示されている期限や警告に急かされる必要はありません。
メールを閉じて、公式アプリや公式サイトの中で同じ案内が出ているかを確認してください。
差出人や文面だけで判断しない
怪しいメールを本物か確認したい時、差出人名、メールアドレス、URL、文面は気になる部分です。
ただし、それらは判断材料の一部であって、最終判断の決め手にはしない方が安全です。
本物らしく見える表示や文面が使われることもあるため、見た目の確認は補助に留め、公式側の履歴確認につなげてください。
・差出人名は偽装されることがある
・メールアドレス一覧は補助に留める
・URLの見た目だけで安全とは言えない
・よくある文面でも断定しない
・判定サイトを過信しない
差出人名は偽装されることがある
差出人名に有名な企業名やサービス名が表示されていると、本物のように見えることがあります。
しかし、差出人名の表示だけで安全とは判断できません。
メールでは、表示名が本物らしく見えるように作られている場合があります。
たとえば、普段使っているサービス名、カード会社名、配送会社名、スマホ関連サービス名が表示されると、読者は「いつもの連絡かもしれない」と感じやすくなります。
ただ、差出人名はあくまで表示の一部です。
表示名に知っている名前があっても、メール内リンクからログインしたり、個人情報を入力したりしないでください。
IPAは、フィッシングメールでは送信元情報が偽装されることがあるとして、見かけ上の送信元情報を安易に信じないよう注意を呼びかけています。
(出典:IPA公式サイト)
差出人名を見た後は、そのメールの中で確認を続けるのではなく、公式アプリやブックマーク済み公式サイトで同じ内容が出ているか確認します。
メールアドレス一覧は補助に留める
怪しいメールアドレスを調べたい時、「怪しいメールアドレス一覧」を探したくなることがあります。
不安な時に一覧で照合したい気持ちは自然です。
ただし、メールアドレス一覧だけで本物かどうかを決めるのは避けてください。
メールアドレスは、正規のように見える文字列を含んでいたり、本物に似たドメインを使っていたりすることがあります。
また、新しい手口や新しい送信元は、一覧に載っていない場合もあります。
一覧を見る場合は、次のように扱うと安全です。
・一覧に載っていても、メール内リンクは押さない
・一覧に載っていなくても、安全と決めない
・表示名やドメインだけで本物と判断しない
・最終確認は公式アプリや公式サイトで行う
メールアドレスの調べ方そのものよりも、公式側の履歴と照合することを優先してください。
「一覧にないから大丈夫」と考えるより、「公式アプリにも同じ通知があるか」を見る方が、次の行動を決めやすくなります。
URLの見た目だけで安全とは言えない
メール本文のURLに企業名らしい文字が入っていたり、httpsで始まっていたりすると、安全に見えることがあります。
しかし、URLの見た目だけで安全とは言えません。
フィッシングサイトでも、本物に似たURLや画面が使われることがあります。
鍵マークがある、画面がきれい、ロゴが表示されている、文章が自然といった要素だけでは判断しきれません。
URLを見る時に注意したいのは、次の点です。
・企業名らしい文字が入っていても押さない
・httpsで始まっていても入力しない
・ログイン画面が本物に似ていても油断しない
・短縮URLや長いURLを無理に読み解こうとしない
・URL確認より先に公式アプリで履歴を見る
URLを開いてしまった場合でも、何も入力していないなら、ページを閉じて追加操作を止めます。
リンク先でIDやパスワード、カード情報などを入力した場合は、対応が変わります。
状況を切り分けたい場合は、怪しいメールのリンクを押してしまった時の確認手順も参考になります。
よくある文面でも断定しない
怪しいメールには、よく使われる文面があります。
たとえば、支払い、配送、本人確認、不正利用、アカウント停止などの内容です。
よく見かける表現には、次のようなものがあります。
・支払い方法に問題があります
・アカウントを停止します
・本人確認が必要です
・不正利用を検知しました
・荷物を持ち帰りました
・注文内容を確認してください
・セキュリティ上の理由で制限しました
こうした文面は不安を感じやすいものです。
ただし、文面が似ているからといって、そのメールをその場で詐欺と断定する必要はありません。
本物の通知にも、支払い確認や本人確認に関する案内が含まれる場合があるためです。
大切なのは、文面に反応してメール内リンクを押さないことです。
文面は「確認が必要かもしれない要件」として受け止め、公式アプリ、公式サイト、利用履歴、明細で照合してください。
「迷惑メール文面一覧」を見て似た文章を探すより、公式側に同じ通知があるかを確認する方が安全です。
文面一覧は不安を整理する補助に留め、行動の決め手にはしないようにします。
判定サイトを過信しない
迷惑メールかどうかを調べるサイトや、URLを判定するサービスを使いたくなることがあります。
補助として使うこと自体はありますが、判定結果だけで安全と決めるのは避けてください。
理由は、新しいフィッシングメールや新しいURLがすぐに判定されるとは限らないためです。
また、正規サービスに似せた誘導や、見た目だけでは判断しにくいケースもあります。
判定サイトを使う場合は、次の位置づけにすると安全です。
・補助情報として見る
・安全表示だけで入力しない
・危険表示が出たら操作を止める
・最終確認は公式アプリや公式サイトで行う
・カードや銀行の情報を入力済みなら判定結果を待たず公式窓口へ相談する
「安全と出たからログインしてよい」と考えるのは危険です。
怪しいメールの確認では、判定サイトの結果よりも、公式側の履歴や明細に同じ要件があるかを重視してください。
押した後や入力後の確認手順
怪しいメールを開いた後の対応は、何をしたかで変わります。
メールを開いただけなのか、リンクを押したのか、IDやカード情報を入力したのかで、優先する行動が違います。
ここでは、行動段階ごとに落ち着いて切り分けるための確認順を示します。
・開いただけなら追加操作を止める
・リンクを押したら入力有無を確認する
・IDやパスワードを入れた場合
・カード情報を入れた場合
・銀行情報や認証コードを入れた場合
・アプリ導入や電話をした場合
開いただけなら追加操作を止める
怪しいメールを開いただけで不安になることがあります。
この場合は、まず何をしたかを分けて考えてください。
確認する順番は次の通りです。
- メール本文を見ただけか
- リンクを押したか
- 添付ファイルを開いたか
- ログインや入力をしたか
- アプリを入れたか
- メール内の電話番号に電話したか
本文を見ただけで、リンクも添付も開かず、情報入力もしていないなら、まず追加操作を止めます。
その後、メールを削除する、迷惑メールとして報告する、公式アプリや公式サイトで同じ通知があるかを見る、という流れで十分です。
この段階で大切なのは、不安になってメール内リンクを押し直さないことです。
「本物か確かめたい」と思ってメール内のボタンを押すと、かえって危険な確認方法になってしまうことがあります。
リンクを押したら入力有無を確認する
リンクを押してしまった場合は、まずページを閉じてください。
そのうえで、何か入力したか、アプリやファイルのダウンロードがあったかを確認します。
確認する項目は次の通りです。
・IDやパスワードを入力したか
・クレジットカード番号を入力したか
・銀行口座や暗証番号を入力したか
・認証コードを入力したか
・氏名、住所、電話番号を入力したか
・アプリを入れたか
・添付ファイルや不明なファイルを開いたか
リンクを押しただけで何も入力していない場合は、追加操作を止め、公式アプリや公式サイトで同じ要件があるか確認します。
ページ内の警告や案内に従って、ログインや入力を続けないでください。
iPhoneで開いた場合も、端末名だけで安全かどうかは決められません。
リンクを押しただけなのか、情報を入力したのか、アプリや構成に関わる操作をしたのかで対応が変わります。
IDやパスワードを入れた場合
リンク先でIDやパスワードを入力した場合は、メール内リンクをもう一度開かず、該当サービスの公式アプリや公式サイトから対応します。
最初に行うことは、パスワードの変更です。
対応の順番は次の通りです。
- 公式アプリやブックマーク済み公式サイトを開く
- 該当アカウントのパスワードを変更する
- 同じパスワードを使っている別サービスも変更する
- ログイン履歴や利用履歴を確認する
- 可能な場合は二要素認証を見直す
同じパスワードを複数のサービスで使っている場合は、入力したサービスだけでなく、他のサービスにも影響が広がることがあります。
特に、メールアカウント、決済サービス、通販サイト、クラウドサービスなどで使い回している場合は、優先して確認してください。
入力した後の対応では、「そのメールが本物だったか」を考え続けるより、アカウントを守る行動を先に進めることが大切です。
偽サイトにIDやパスワードを入力した時の流れは、偽サイトにIDやパスワードを入力した時の対処法でも詳しく確認できます。
カード情報を入れた場合
クレジットカード番号、有効期限、セキュリティコードなどを入力した場合は、すぐにカード会社の公式窓口で相談してください。
メール内に書かれた電話番号ではなく、カード裏面、公式アプリ、公式サイトに掲載された窓口を使います。
相談時に確認したいことは次の通りです。
・利用停止が必要か
・再発行が必要か
・不正利用がないか
・利用明細に見覚えのない請求がないか
・今後の請求確認をどう進めるか
カード情報を入力した場合は、「まだ請求が出ていないから大丈夫」と決めない方が安全です。
不審な利用がすぐに表示されない場合でも、カード会社に相談することで、利用停止や再発行などの選択肢を確認できます。
国民生活センターも、フィッシングに関する注意喚起の中で、ID、パスワード、クレジットカード番号などを入力しないことや、入力してしまった場合の対応を案内しています。
(出典:国民生活センター公式サイト)
銀行情報や認証コードを入れた場合
銀行口座、暗証番号、認証情報、ワンタイムパスワードなどを入力した場合は、金融機関の公式窓口へ相談してください。
この場合は、怪しいメールの確認という段階を超えて、口座や取引を守る対応が必要になります。
確認する順番は次の通りです。
- 金融機関の公式アプリや公式サイトを開く
- ログイン履歴や取引履歴を確認する
- 見覚えのない取引がないか見る
- 公式窓口で状況を相談する
- 必要に応じて取引制限などを相談する
認証コードを入力した場合も注意が必要です。
SMSやメールで届いた認証コードは、ログインや決済、登録情報の変更に使われることがあります。
該当サービスの公式アプリや公式サイトで、ログイン履歴、決済履歴、登録情報の変更がないか確認してください。
「認証コードだけだから大丈夫」と軽く見ない方が安全です。
認証コードは、本人確認の最後の段階として使われることがあるため、入力した後は早めに履歴を確認してください。
アプリ導入や電話をした場合
メールやリンク先の指示でアプリを入れた場合は、通常のメール確認より慎重に対応してください。
まず通信を切り、入れたアプリを削除し、必要に応じて携帯会社や専門窓口へ相談する流れになります。
確認したいことは次の通りです。
・どのアプリを入れたか
・どの画面から入れたか
・どんな権限を許可したか
・相手の指示で操作したか
・その後にログインや決済をしたか
また、メールやサイトに表示された電話番号に電話した場合は、相手の指示に従って追加情報を伝えないでください。
送金、電子マネー購入、遠隔操作アプリの導入、認証コードの共有を求められても、そこで止めることが大切です。
すでに電話でやり取りした場合は、相手と話した内容、電話した日時、表示された画面、伝えた情報を記録しておきます。
その後、警察や消費生活相談窓口など、状況に合う相談先へつなげます。
不安が残る時の相談と予防
怪しいメールの確認をしても不安が残る場合は、記録を残してから相談すると状況を伝えやすくなります。
また、同じ不安を減らすには、メールを見分ける力だけに頼らず、報告機能やスマホ設定、家族との相談ルールを組み合わせることが大切です。
・相談前に記録しておくこと
・家族に確認してもらう時の伝え方
・迷惑メール報告でできること
・同じ不安を減らす予防策
相談前に記録しておくこと
カード情報、銀行情報、パスワード、認証コードなどを入力した場合や、アプリ導入、電話まで進んだ場合は、相談前に状況を整理しておくと説明しやすくなります。
記録しておきたい内容は次の通りです。
・メールの件名
・差出人表示
・受信日時
・本文の内容
・押したリンク先の画面
・入力した情報
・届いた認証コードの有無
・カードや銀行の利用履歴
・相手と話した内容
・アプリを入れた場合のアプリ名や画面
スクリーンショットを残せる場合は、メール本文やリンク先画面を保存しておくと、相談時に状況を伝えやすくなります。
ただし、記録のためにもう一度リンクを押し直す必要はありません。
すでに閉じたページを無理に開き直さず、残っている情報だけで整理してください。
相談先は状況によって変わります。
カード情報ならカード会社、銀行情報なら金融機関、アカウント情報なら該当サービスの公式サポート、金銭被害や不審なやり取りがある場合は警察や消費生活相談窓口が候補になります。
警視庁では、フィッシングサイトに関する情報提供や、被害に遭った場合の警察相談について案内しています。
(出典:警視庁公式サイト)
家族に確認してもらう時の伝え方
自分だけで判断しにくい時は、家族に確認してもらうのも有効です。
ただし、家族に相談する時は「怪しいかどうか」だけを聞くより、何をしたかを順番に伝える方が状況を整理しやすくなります。
伝える内容は次の順番が分かりやすいです。
- どんなメールが届いたか
- メールを開いただけか
- リンクを押したか
- 何か入力したか
- カードや銀行情報を入れたか
- 認証コードを入れたか
- アプリを入れたか
- 電話したか
- スクリーンショットがあるか
家族が親や高齢の家族から相談を受ける場合は、責めない聞き方が大切です。
「なんで押したの」と言うより、「どこまで操作したか一緒に確認しよう」と伝える方が、必要な情報を聞き取りやすくなります。
離れて暮らしている場合は、メール画面や入力画面のスクリーンショットを送ってもらいます。
そのうえで、本人だけで追加の電話、入力、アプリ導入を進めないように伝えてください。
迷惑メール報告でできること
怪しいメールは、メールアプリの迷惑メール報告やフィッシング報告機能を使える場合があります。
Gmailではフィッシングや迷惑メールを報告できます。
Outlookでも、迷惑メールやフィッシングメッセージの報告機能が案内されています。
報告機能は、同じようなメールを減らす助けになります。
ただし、報告しただけで被害対応が完了するわけではありません。
次のように分けて考えると分かりやすいです。
・何も入力していない場合:迷惑メール報告や削除を行う
・リンクを押した場合:入力やアプリ導入の有無を確認する
・IDやパスワードを入力した場合:公式側でパスワード変更を行う
・カード情報を入力した場合:カード会社の公式窓口へ相談する
・銀行情報を入力した場合:金融機関の公式窓口へ相談する
迷惑メール報告は、あくまでメールへの対応です。
入力後のアカウント保護、カード停止、金融機関への相談とは別に考えてください。
同じ不安を減らす予防策
怪しいメールを完全に届かなくすることは難しいため、次に迷った時の確認手順を決めておくことが大切です。
見分ける力だけに頼るより、あらかじめ安全な確認先を決めておく方が実行しやすくなります。
見直したい予防策は次の通りです。
・公式アプリを使えるようにしておく
・よく使う公式サイトをブックマークしておく
・OS、アプリ、ブラウザを最新に保つ
・迷惑メッセージブロック機能を活用する
・使い回しパスワードを減らす
・二要素認証を見直す
・家族と相談ルールを決める
たとえば、「メールで支払い変更を求められたら、必ず公式アプリで見る」「カードの警告メールが来たら、カード裏面や公式アプリから確認する」と決めておくと、慌てた時でも行動を間違えにくくなります。
家族で共有するなら、合言葉のようなルールを決めるのも役立ちます。
「メールのリンクは押さない」「入力前に家族へスクショを送る」「電話番号はメール内ではなく公式から見る」といった短いルールなら、スマホに慣れていない人にも伝えやすくなります。
設定や報告機能だけで完全に防げるわけではありません。
それでも、公式アプリ、ブックマーク済み公式サイト、利用履歴、明細で確認する習慣があれば、怪しいメールが届いた時に安全側へ戻りやすくなります。
記事のまとめ
・怪しいメールはメール内リンクを押さずに確認する
・本物か迷う時は公式アプリや公式サイトを開く
・ブックマーク済み公式サイトから入ると安全側に寄せやすい
・差出人名に企業名があっても本物とは限らない
・メールアドレス一覧は補助であり最終判断にはしない
・URLの見た目や鍵マークだけで安全とは判断しない
・請求や配送の通知は利用履歴や明細と照合する
・メールだけで入力を求める案内は慎重に扱う
・開いただけならリンクや添付を押したかを確認する
・リンクを押したら入力やアプリ導入の有無を確認する
・IDやパスワードを入力したら公式側で変更する
・カード情報を入力したらカード会社の公式窓口へ相談する
・銀行情報や認証コードを入力したら金融機関へ相談する
・不審なアプリを入れた時は通信を切って状況を整理する
・電話した場合は追加情報を伝えず記録を残す
・家族に相談する時は何をしたかを順番に伝える
・迷惑メール報告だけで被害対応が終わるわけではない
・次に迷わないため公式アプリや確認ルールを決めておく
