「お客様の口座が制限されました」「お荷物のお届けに伺いましたが不在でした」――このようなメールやSMSをきっかけに、偽サイトへ誘導してIDやカード情報を盗む詐欺がフィッシング詐欺です。
手口は年々巧妙になっており、「自分は騙されない」と思っている人ほど危険です。この記事では、実際の手口をもとにした見分け方のチェックポイントと、万一入力してしまったときの対応手順を解説します。
フィッシング詐欺の仕組み
フィッシングの流れはシンプルで、①本物そっくりのメール・SMSを送る → ②偽のログインページへ誘導する → ③入力されたID・パスワード・カード情報を盗む、という3段階です。銀行・クレジットカード会社・宅配業者・ECサイト・税務署などを装うケースが定番です。
重要なのは、メールの見た目やロゴは本物と区別がつかないレベルで偽装できるということ。見た目ではなく、これから紹介する「構造的な特徴」で見分ける必要があります。
怪しいメールの5つのチェックポイント

① 差出人のメールアドレス(ドメイン)を確認する
表示名は自由に偽装できるため、「〇〇銀行」という名前ではなく@以降のドメインを見ます。公式のドメインと少しでも違う(綴りが違う、見慣れない末尾など)場合は疑ってください。
② 不安を煽る言葉が使われている
「凍結」「制限」「不正利用」「未納」など、受け取った人を動揺させる言葉はフィッシングの定番です。正規の企業が、メール1通でいきなり重大な処分を通告することはまずありません。
③ 期限を切って焦らせる
「24時間以内に」「本日中に」といった期限は、冷静な判断をさせないための仕掛けです。焦らせる文面を見たら、いったんメールを閉じるくらいでちょうど良いです。
④ リンクやボタンで「ログイン」させようとする
メール内のボタンからログインページに誘導するのが典型的な手口です。本人確認・パスワード変更・支払い情報の更新をメールのリンクから行わせる時点で、危険信号と考えてください。
⑤ リンク先のURLが公式と異なる
パソコンではリンクにマウスを重ねると、実際のリンク先URLが表示されます。公式ドメインと無関係なURLなら確実に偽物です。スマホでは長押しでURLを確認できますが、誤タップの危険があるため、確認自体を控えて次の「大原則」に従うのが安全です。
最強の対策:「メールからログインしない」
見分け方をすべて覚えなくても、この習慣ひとつで被害はほぼ防げます。
- 通知メールが来たら、メールのリンクは使わず、ブックマークや公式アプリからログインして確認する
- ログイン情報はパスワード管理ツールに保存する(偽サイトでは自動入力が働かないため、異変に気づける)
- 重要なサービスには2段階認証を設定しておく(情報が盗まれてもログインさせない最後の砦)
入力してしまったときの対応手順

- パスワードを即変更する。同じパスワードを使い回している他のサービスもすべて変更
- カード情報を入力した場合はカード会社・銀行へ連絡し、利用停止・再発行を依頼(24時間受付の紛失・盗難窓口が使えます)
- 証拠を保存する。メール本文や偽サイトのスクリーンショットを残しておく
- 公的窓口に相談する。警察相談専用電話(#9110)や、都道府県警のサイバー犯罪相談窓口へ
よくある質問
Q. メールを開いただけで被害に遭いますか?
A. メールを開封しただけで情報が盗まれることは基本的にありません。危険なのはリンク先での入力と添付ファイルの実行です。開いてしまっても、慌てず削除すれば問題ありません。
Q. SMS(ショートメッセージ)で届く不在通知も詐欺ですか?
A. 宅配業者を装うSMSはスミッシングと呼ばれる代表的な手口です。正規の宅配業者は、SMSでアプリのインストールや個人情報の入力を求めることはありません。
Q. 迷惑メールフィルタがあれば安心ですか?
A. フィルタは多くを防ぎますが、すり抜けるものは必ずあります。フィルタは一次防御、最終防御は「メールからログインしない」という自分の習慣です。
まとめ
フィッシング詐欺は「見抜く」より「引っかからない仕組みを作る」ほうが確実です。メールからログインしない・パスワード管理ツールを使う・2段階認証を設定する。この3点セットを今日から実践してください。パスワード管理の具体的な方法は関連記事で詳しく解説しています。
