フィッシングメールは、銀行や宅配業者、大手ECサービスを装って、パスワードやクレジットカード情報を盗もうとするメールです。年々手口が巧妙になっており、一見すると本物のメールと区別がつきにくいものも増えています。この記事では、フィッシングメールに共通する特徴と、確認すべきポイントを説明します。

送信元アドレスを確認する

フィッシングメールの多くは、表示名を本物らしく見せていますが、実際の送信元アドレスは全く異なるドメインになっています。メールソフトで送信者名をクリックすると、実際のアドレスが表示されます。「info@hushedoceanretreat.com」のように、本物のドメイン(amazon.co.jp)とは異なるアドレスが使われていることが多いです。

リンク先のURLを確認する

メール内のリンクをクリックする前に、リンク先のURLを確認する習慣をつけてください。パソコンの場合、リンクにマウスを乗せると、画面下部にURLが表示されます。表示されているテキストと実際のリンク先が異なる場合、フィッシングの可能性があります。また、「http://」(sなし)で始まるURLや、長くて読みにくいURLも注意が必要です。

「今すぐ確認してください」という表現

フィッシングメールには、「アカウントが停止されます」「24時間以内に確認してください」といった、急かす表現が使われることが多いです。焦らせることで、冷静な判断をさせないようにする手口です。このような表現があったときは、メール内のリンクをクリックせず、公式サイトに直接アクセスして確認する習慣をつけてください。

不審なメールを受け取ったときの対処

フィッシングメールかどうか判断できないときは、メール内のリンクをクリックせず、添付ファイルも開かないことが基本です。公式サービスのサポートページに直接アクセスして、同様の連絡が来ているかどうかを確認してください。職場で受け取った場合は、情報システム部門や上長に報告することも重要です。

フィッシングメールの手口は変化し続けています。Hushed Ocean Retreatの情報セキュリティ基礎コースでは、最新の事例をもとにした演習問題を通じて、判断力を身につけることができます。