① フィッシング詐欺とは何か?
フィッシング詐欺(Phishing)とは、実在する企業や公的機関になりすまして偽のメールやSMSを送り、本物そっくりの偽サイトに誘導して、IDやパスワード・クレジットカード情報・銀行口座番号などを盗み取る犯罪です。
「Phishing(フィッシング)」の名前は、魚釣り(fishing)をもじったもの。大量のメールを「餌」としてばらまき、引っかかった人の情報を「釣り上げる」手法からきています。
フィッシング対策協議会への報告件数は年間171万件超(過去最多・前年比1.44倍)。悪用されたブランド数は177にのぼり、クレジットカード・銀行・EC・宅配業者を装った手口が中心です。
クレジットカードの不正利用、銀行口座からの不正出金、ネット通販での不正購入、SNSアカウントの乗っ取りなど。一度情報が盗まれると、複数の被害につながることもあります。
かつては高齢者が主なターゲットとされましたが、現在は若い世代も多く被害にあっています。Amazon・楽天・宅配業者など「誰でも使うサービス」を装うため、年代を問わず被害が発生しています。
② 主な手口の種類
【種類①】フィッシングメール
実在する企業や組織を装ったメールを送り、偽サイトへのリンクをクリックさせます。「ログインが必要です」「不正アクセスを検知しました」「支払い情報を確認してください」など、不安をあおる文面が特徴です。よく使われるブランドはAmazon・楽天・PayPay・各銀行・クレジットカード会社などです。
【種類②】スミッシング(SMSフィッシング)
携帯電話のSMSで偽のURLを送り、偽サイトに誘導します。宅配業者(ヤマト運輸・佐川急便・日本郵便)を装った「不在通知」が特に多く確認されています。SMSは開封率が高く、メールより信用されやすいため被害が深刻です。
【種類③】SNSを使ったフィッシング
TwitterやInstagramのDM(ダイレクトメッセージ)で偽リンクを送りつけたり、SNS広告から偽サイトに誘導する手口です。「あなたの写真が使われています」「プレゼントが当選しました」などのメッセージが多い。
【種類④】検索広告・偽サイト誘導
Googleなどで銀行名や公共機関名を検索すると、広告として偽サイトが上位に表示されるケースがあります。「広告」マークのついたリンクが本物とは限りません。
【種類⑤】サポート詐欺(偽警告ポップアップ)
ウェブ閲覧中に突然「ウイルスに感染しました!」という偽の警告が表示され、表示された番号に電話するよう誘導します。電話すると「修理費用」を電子マネーで支払わせたり、遠隔操作で銀行情報を盗まれます。
③ フィッシング詐欺が起きるまでの流れ
「Amazon」「楽天」「宅配業者」「銀行」などを装った連絡が届く。本物そっくりのロゴや文体が使われている。
↓
リンク先のURLは本物に似ているが微妙に異なる(例:amazon.co.jp → amaz0n.co.jp)。見た目は本物そっくりで区別がつかない。
↓
ログインID・パスワード、クレジットカード番号・セキュリティコード、銀行口座の暗証番号などを入力するよう求められる。
↓
盗まれた情報は即座に悪用される。カードの不正利用、銀行口座からの出金、アカウント乗っ取りなどの被害が発生。
④ 実際の偽メール・偽SMSの例
偽メールの例:Amazon・楽天を装ったもの
差出人:Amazonカスタマーサービス <no-reply@amazon-co-jp.xyz>
件名:【重要】Amazonアカウントの確認が必要です
Amazonをご利用いただきありがとうございます。
お客様のアカウントで不審なログインが検知されました。セキュリティ保護のため、24時間以内にアカウント情報の確認をお願いいたします。
確認を行わない場合、アカウントが一時停止となります。
▶ こちらをクリックしてアカウントを確認する
Amazon.co.jp カスタマーサービス
- 差出人メールアドレスのドメインが「amazon-co-jp.xyz」(本物はamazon.co.jp)
- 「24時間以内」「一時停止」など焦らせる表現を使っている
- 本物のAmazonはパスワードやカード情報をメールで求めることはない
- リンク先URLが本物のAmazonとは異なる
偽SMSの例:宅配業者を装ったもの
【ヤマト運輸】お荷物のお届けに伺いましたが、不在のため持ち帰りました。再配達のご依頼は以下よりお願いします。
https://yamato-delivery.xyz/○○○○
- URLが「yamato-delivery.xyz」など公式ドメインと異なる(本物はkuronekoyamato.co.jp)
- SMSに記載のURLを開くと、個人情報やカード情報の入力を求める偽サイトが表示される
- 本物の宅配業者はSMS内のURLからカード情報等を求めることはない
⑤ フィッシングに気づくためのチェックポイント
- 差出人のメールアドレスのドメインが不自然(「@amazon-info.com」「@docomo-jp.net」など)
- 「24時間以内に確認しないと停止」「至急」など焦らせる内容
- メール・SMSに記載されたURLを見ると公式ドメインと少し違う
- URLがアルファベットと数字が混在(「0」と「O」を混ぜるなど)
- アクセスしたサイトのURLが「https://」で始まっていない、または鍵マークがない
- サイトの日本語が不自然・誤字脱字がある
- 心当たりのないサービスからの通知
- ログイン情報・クレジットカード情報・暗証番号の入力を求める
パソコンでは、メール内のリンクにマウスを乗せると(クリックしなくても)URLが表示されます。スマホでは、リンクを長押しするとURLが確認できます。必ず事前にURLを確認してからアクセスしましょう。
⑥ 被害を防ぐための正しい行動
- メール・SMS内のリンクは絶対にクリックしない。不安な場合は、公式サイトをブックマークから開くか、検索してアクセスする。
- 差出人のメールアドレスをよく確認する。少しでも不自然な点があれば詐欺と疑う。
- 公式サイト・アプリから直接確認する。Amazonや銀行には、公式アプリからログインして本当に通知があるか確認する。
- 個人情報・カード番号は入力しない。一度入力してしまうと情報は犯罪者の手に渡る。
- 不審なメールは削除する。フィッシング対策協議会(https://www.antiphishing.jp/)への報告も有効。
🔑 絶対に覚えておきたい原則
- メール・SMSのリンクからは絶対にログインしない
- 公式サービスを使うときはブックマーク・公式アプリから
- 「鍵マーク(https)があれば安全」は誤解。偽サイトもhttpsを使う
- 銀行・クレジットカード会社がSMSで暗証番号を聞くことはない
⑦ もし個人情報を入力してしまったら
「やってしまった…」と気づいたとき、慌てずに速やかに行動することが重要です。早ければ早いほど被害を最小限に抑えられます。
クレジットカード情報を入力してしまった場合
- すぐにカード会社のフリーダイヤルに電話してカードを停止・再発行
- カード明細を確認し、不審な取引がないか確認
- 警察への届け出も検討(#9110または最寄り警察署)
銀行口座・ネットバンキング情報を入力してしまった場合
- すぐに銀行に電話してインターネットバンキングのパスワードを変更・利用停止を依頼
- 口座の残高・取引履歴を確認し不審な出金がないか確認
SNS・サービスのID・パスワードを入力してしまった場合
- すぐにそのサービスにログインしてパスワードを変更
- 同じパスワードを使い回していた他のサービスも変更
- 二段階認証(二要素認証)を設定する
⑧ 日頃からできる予防策
デバイス・アカウントの安全対策
- よく使うサービスの公式サイトをブックマークに登録し、常にそこからアクセスする
- 公式アプリをインストールして利用する(ストアの公式アプリのみ)
- 二段階認証(2FA)を主要サービスに設定する
- パスワードは各サービスで異なるものを使い、パスワードマネージャーを活用する
- OSやアプリを常に最新の状態にアップデートする
- セキュリティソフトを導入する(スマホにも対応したものが望ましい)
メール・SMS対策
- 知らない差出人からのメール・SMSのリンクは開かない
- 迷惑メールフィルターを活用する
- 「アドレス帳以外からのSMSは受信しない」設定を検討する
- 受け取ったメールが本物か疑わしければ、公式サイトに直接アクセスして確認する
⑨ 相談先・通報先一覧
すぐに連絡を
- フィッシング対策協議会(報告フォーム) — フィッシングメール・サイトを報告できます
- 警察庁「フィッシング対策」 — 最新の手口情報が掲載されています
📌 まとめ:フィッシング詐欺から身を守る5か条
- メール・SMSのリンクは絶対にクリックせず、ブックマーク・公式アプリからアクセスする
- 差出人アドレスとURLを必ず確認。少しでも不自然なら詐欺と疑う
- 銀行・カード会社が暗証番号やカード番号をメール・SMSで聞くことはない
- 情報を入力してしまったら、すぐにカード会社・銀行に連絡してパスワードを変更する
- 二段階認証・セキュリティソフトを活用して事前対策を