【はじめてのセキュリティ 第3回】メールとフィッシング ― だます攻撃の見抜き方
📚 連載「はじめてのセキュリティ」(全7回)|第3回 メールとフィッシング ― だます攻撃の見抜き方
前回:第2回 パスワードと認証
どれだけ強いパスワードや多要素認証を設定しても、本人が「自分の手で」偽サイトに入力してしまえば突破されます。それを狙うのがフィッシング。攻撃の入口として最も身近で、最も件数が多い手口です。第3回は、進化する偽メール・偽サイトをどう見抜くか、そして「うっかりやってしまった」ときにどう動くかを、やさしく解説します。
フィッシングとは ― 「だまして入力させる」攻撃
フィッシングは、銀行・宅配・有名サービス・社内システムなどになりすました偽のメールやSMS(SMS版は「スミッシング」とも呼ばれます)で偽サイトへ誘導し、ID・パスワード・カード情報・ワンタイムコードを自分で入力させて盗む詐欺です。技術的にシステムを破るのではなく、人の判断を錯覚させるのが本質。だからこそ、知識のある人でも急いでいると引っかかります。
「最近のフィッシングは見抜けない」は本当
かつての偽メールは、不自然な日本語やロゴの粗さで見分けられました。しかし今は、AIによって文面が自然になり、本物のメールをコピーしたかのような精巧なものが増えています。「日本語がおかしいから偽物」という古い見分け方は、もう通用しません。だからこそ、文面の雰囲気ではなく、送信元とリンク先という”事実”で判断する習慣が要になります。
見抜く5つのチェックポイント
- ① 送信元アドレスのドメインを見る:表示名は誰でも偽装できます。「@」より後ろの正式ドメインが、本物の会社のものか確認する。
- ② リンク先URLを確認する:クリック前に、PCならマウスを乗せる/スマホなら長押しで、実際の遷移先URLを表示。正規ドメインとよく似た別物(例:余計な単語や記号付き)に注意。
- ③ 「急かす」「脅す」表現を疑う:「アカウント停止」「至急確認」など、焦らせて考える時間を奪うのは典型的な手口。
- ④ 心当たりのない添付・リンクは開かない:請求書・配送通知・パスワード変更依頼を装うものが多い。
- ⑤ 公式アプリ/ブックマークから確認する:メール内リンクを使わず、自分が普段使う正規の経路でログインして真偽を確かめる。
会社で怖い「ビジネスメール詐欺(BEC)」
個人を狙う不特定多数型に対し、企業ではビジネスメール詐欺(BEC)が深刻です。取引先や自社の役員になりすまし、「振込先が変わった」「至急この口座へ送金を」と業務メールを装って、経理担当に多額の送金をさせる手口です。普段のやり取りを調べたうえで仕掛けてくるため、文面だけでは見破りにくいのが特徴。振込先変更や高額送金は、メール以外の手段(電話など)で必ず裏取りするルールが有効な防御になります。
うっかりやってしまったときの初動
「偽サイトに入力してしまった」「添付を開いてしまった」——気づいた時点で、落ち着いて次の順で動きます。
- 入力したパスワードを変更する:同じものを使い回している他サービスも合わせて。
- 多要素認証を確認・有効化する:不正ログインの追加ブロックになる。
- 会社のメールなら、すぐ情シス/セキュリティ担当(CSIRT)へ報告する:隠さず早く伝えることが被害を最小化する。叱責を恐れて黙るのが最悪手。
- カード情報なら、カード会社に連絡し利用停止・再発行。心当たりのない請求も確認する。
雰囲気で信じず、送信元とURLで確かめる。
Omamori AI の結論
- 事実:フィッシングは攻撃の最も身近な入口で、AIにより文面の精巧さが増し「日本語の不自然さ」での判別は限界。企業ではなりすまし送金を狙うBECが特に深刻。
- 判断軸:文面の印象ではなく、送信元ドメインとリンク先URLという「事実」で判断する。重要な操作(送金・振込先変更)はメール以外で裏取りする。
- 打ち手:5つのチェックを習慣化し、メール内リンクではなく公式アプリ/ブックマークから確認する。やってしまったらパスワード変更・MFA確認・担当への即報告で被害を抑える。
次回予告
第4回は「マルウェアとランサムウェア」。どこから感染し、何が起きるのか、そして事業を止めないために欠かせないバックアップと初動を解説します。
(第4回「マルウェアとランサムウェア」を公開しました。基本の言葉は 用語集 で確認できます)
