フィッシング詐欺の典型的な兆候をマスター

公開日: 2025年4月4日

フィッシング詐欺メールを見分ける手がかりとして、メールサービスプロバイダーからの警告、紋切り型の挨拶、切迫した、または脅迫的な言い回し、うますぎる申し出などがあります。 こうした手口を用いて受信者の心を操り、機密情報を聞き出そうとするのです。 IBMによると、フィッシングはサイバー攻撃の41％の発端となっており、マルウェア感染、アカウント乗っ取り、詐欺、個人情報盗難へと発展していきます。

以下では、フィッシング詐欺を見抜くための手がかりとフィッシング攻撃の罠に陥らない方法をご紹介します。

1. メールサービスプロバイダーからの警告

フィッシング詐欺が横行しているため、Gmailをはじめとする多くの大手メールサービスには、フィッシングの疑いがあるメールに対する警告機能が組み込まれています。 ユーザーが受信したメールにはフィッシング攻撃の意図があるとメールサービスプロバイダーが疑う場合、メッセージが危険に思われることを伝え、報告を促す警告メッセージがユーザーに表示されます。

2. 紋切り型の挨拶

「お客様」や「ご利用者様」などの決まり文句で始まるメールを受け取ったら、大いに用心する必要があります。 できるだけ多くの人を騙そうとして、大量のフィッシングメールを送信した印と読み取れるためです。 紋切り型の挨拶からは、メールをパーソナライズする手間をかけずに、不特定多数の集団にメールが送信されたことが透けて見えます。 対照的に、まっとうな企業は利用者の個人情報を登録しているため、フルネームを使って挨拶します。

3. 切迫した、または脅迫的な言い回し

フィッシング詐欺では、被害者に急いで行動するよう圧力をかけるために、切迫した言い回しや脅迫的な言葉づかいがよく使われます。 標的とする被害者にできるだけ迅速な行動を急かすことで、個人情報の送信前に考え直す余裕を与えないようにするためです。
例えば、スミッシングとも呼ばれるフィッシングテキストメッセージには「今すぐ行動しないと、アカウントが無効になります。以下のリンクをクリックしてログイン情報を更新してください」といった文章が含まれている可能性があります。 リンクをクリックすると、デバイスがマルウェアに感染したり、偽装ウェブサイトに誘導されて認証情報を盗まれたりする危険性があります。 被害者が偽装サイトに認証情報を入力すると、サイバー犯罪者はその情報を利用して正規のアカウントを侵害できるようになります。 フィッシング攻撃の中には、特定の期限までに一定の金額を支払わないと逮捕されるといった、より深刻な結果で被害者を脅すものもあります。 こうした脅迫内容は真実でないにもかかわらず、多くの人々が騙され、金銭的損失を被るか個人情報が盗難されるリスクにさらされます。

4. うますぎる申し出

迷惑メールにうますぎる申し出が含まれる場合、フィッシング詐欺の一環である可能性が高いでしょう。 例えば、信じられないほど魅力的なセールや賞品、独占的な機会などの申し出が考えられます。ただし、どれも被害者を騙して個人情報を開示させるか、悪意のあるコンテンツをダウンロードさせることが目的です。 サイバー犯罪者はフィッシング詐欺を実行する際、自分の権限を信じこませるために言うべきことを一から十まで心得ており、被害者を罠に陥れます。 ですから、リンクをクリックしたり、迷惑メッセージをきっかけとして買物をしたりするなど、データや財産に損害をもたらす可能性のある行動をとる前に、詳しく調査しましょう。

5. スペルミスと文法の誤り

フィッシング詐欺を見分ける別の手がかりに、メッセージに含まれるスペルミスや文法の誤りがあります。被害者がアカウントを所有する企業からの送信メールを装う場合は、特に当てはまります。 正当な企業は通常、顧客にメールを送信する前に、ミスがないように徹底する厳格なレビュープロセスを設けています。 そのため、エラーが含まれている場合は、フィッシング詐欺の可能性が濃厚であり、メール内のリンクはクリックしないようにしてください。 とはいえ、昨今は正当なメールとフィッシングメールを見分けにくくなっています。サイバー犯罪者が誤字脱字や文法上のミスがないパーソナライズされたフィッシングメールをすばやく作成するために人工知能 (AI) を使用し始めたためです。

6. 一方的に送りつけられるリンクと添付ファイル

メールやテキストメッセージでリンクや添付ファイルが一方的に送りつけられた場合、フィッシング詐欺用のメッセージであると推測できます。 クリックする前に、リンクが安全かどうかを確認するために、リンクにカーソルを合わせてURLを表示させ、メッセージの内容と一致しているかどうかを確認しましょう。 リンクの安全性は、コピーしてURLチェッカーに貼り付ける方法でも簡単に確認できます。 一方的に送られてきた添付ファイルの安全性を確認するには、送信者の身元を確認したり、スパムとマークされたものは開かずにおいたり、ウイルス対策ソフトウェアを使用してスキャンしたりできます。

7. 個人情報の共有リクエスト

メール、テキストメッセージ、電話で個人情報の提供を求められた場合は、注意が必要です。 銀行や政府機関などの正当な組織は、通常、パスワード、クレジットカード情報、社会保障番号のような機密情報を要求しません。個人が切り出したやり取りでない場合はなおさらのことです。 フィッシングの手口が進化するにつれ、攻撃者が電話番号を偽装して、見慣れた連絡先からのメッセージのように見せかけるケースも出現しています。 アカウントの「確認」や個人情報の「更新」を依頼するのは、サイバー犯罪者が使用可能な個人情報を入手するために用いる策略であり、 こうした依頼を受けた場合は、メッセージに返信せずに、公式チャネルを通じて組織に直接連絡し、その正当性を確認してください。

8. メールアドレスとドメイン名の不一致

フィッシング詐欺を見分ける別の重要な手がかりとして、送信者のメールアドレスやドメイン名が、メッセージで主張する人物や会社と一致しないことが挙げられます。 例えば、銀行からと主張するメールのドメイン名がその銀行の公式ウェブサイトのドメイン名と一致しない場合は、フィッシングメールと判断する明確な手がかりとなります。 通常、正当な企業は公式ドメイン名をメールアドレスに使用するため、一致しない場合は、外部者が銀行を装って被害者の金銭を盗んだり財務情報にアクセスしたりしている可能性があります。

フィッシング詐欺の罠に陥らない方法

サイバー犯罪者はより高度な攻撃の策定に関してますます巧妙化しており、AIがこの傾向に拍車を掛けています。 そのため、高度なフィッシング詐欺からの自衛方法を知っておく重要性は一段と高まっています。 そこで、こうした方法をいくつかみていきましょう。

アカウントに強力なパスワードを使用する

オンラインアカウントには、クレジットカード番号、自宅住所、生年月日などの個人識別情報 (PII) が含まれ、サイバー犯罪者にとって貴重な情報源となっています。 アカウントを保護するために、それぞれに強力なパスワードを設定します。パスワードは16文字以上の大文字と小文字、数字、記号を組み合わせて作成します。 強力な固有のパスワードを自力で作成するのは難しいことがあるため、パスワードまたはパスフレーズの生成ールの使用を強くお勧めします。

アカウントで多要素認証 (MFA) を有効にする

強力なパスワードに加え、可能な場合は多要素認証も有効にしましょう。 MFAとは、アカウントにアクセスする前に追加の認証形式を必要とするセキュリティ対策です。 有効にすると、ユーザー名とパスワードに加えて、少なくとももう1つの認証形式が必要となります。 そのため、フィッシング詐欺に引っかかり、サイバー犯罪者に認証情報が渡った場合でも、多要素認証を有効にしておけば、認証手続きが完了しないため、アカウントが侵害されることはありません。

クリックする前にリンクを確認する

リンクが一方的に送りつけられた場合、クリックする前に次の2つの方法のいずれかを使って、 安全性を確認する必要があります。

• リンクにマウスのカーソルを合わせる: リンクにマウスのカーソルを合わせると、クリックした場合に誘導される実際のウェブサイトアドレスが表示されます。 アドレスに疑わしい点がある場合は、マルウェア感染を引き起こす可能性があるため、リンクをクリックしないでください。

• Googleの透明性レポートを使用する: Googleの透明性レポートはURLが安全かどうかを確認するために使用できる無料のツールです。 リンクをコピーしてレポートに貼り付けるだけで、クリックしても問題ないかどうかがかります。

ウイルス対策ソフトウェアでメールの添付ファイルをスキャンする

ウイルス対策ソフトウェアとは、デバイスにインストールして既知のウイルスやマルウェアを検出、防止、削除するプログラムの一種であり、 受信メールの添付ファイルのスキャン機能も備えているものがあります。 添付ファイルにウイルスを検出した場合、そのウイルスを除去してデバイスへの感染を防ぎます。

個人情報を要求されても応じない

突然、個人情報を要求されても絶対に応じないでください。 口座を所有する銀行などの企業が利用者に無作為に連絡してクレジットカード情報を確認することは決してありません。 企業が個人情報の提出を求めるのは、利用者から連絡を受けた場合に限られます。

企業や個人に別の方法で連絡する

不審なメール、テキストメッセージ、電話を受け取った場合は、別の通信手段で送信相手 (個人または企業) に直接連絡しましょう。 例えば、上司を名乗る送信者からテキストメッセージを受け取った場合は、上司にメールを送信して、実際に送信したかどうかを質問します。 送信した覚えはないという返答があった場合は、フィッシングメッセージであると判断できます。

フィッシング詐欺を見抜くために常に警戒を

フィッシング詐欺の被害に遭うと、経済的にも個人的にも深刻な結果を招く可能性があります。 詐欺を見破る方法がわかっていれば、サイバー犯罪者がデータにアクセスするのを防いで、個人情報を保護することができます。 フィッシング詐欺から身を守るうえで最も重要なステップは、オンラインアカウントに強力なパスワードを設定することです。 パスワードは、Keeper®をはじめとするパスワードマネージャーで作成、更新、保存できます。

Keeperパスワードマネージャーの30日間無料トライアルを開始して、オンラインアカウントを保護し、フィッシング詐欺から身を守りましょう。