- はじめに:敵の手口を知り、見破る「目」を養う
- 1. 全ての手口に共通する「心理的トリック」
- 3. 【手口②】メールフィッシングの見破り方
- 4. 【手口③】偽サイト・偽ログインページの見破り方
- 5. 【手口④】偽警告(サポート詐欺)の見破り方
- 6. 【手口⑤】電話による詐欺(ビッシング / Vishing)の見破り方
- 7. まとめ:手口を知り、対策の基本に立ち返ろう
はじめに:敵の手口を知り、見破る「目」を養う
「宅配業者から不在通知のSMSが…これって本物?」
「Amazonからアカウント更新のメールが来たけど、クリックして大丈夫?」
こんにちは。セキュリティ専門家 (CISSP保有) の城咲子です。
フィッシング詐欺は、SMS、メール、偽サイト、偽警告など、様々な手口を組み合わせて私たちを騙そうとしてきます。
この記事では、フィッシング詐欺の「手口」に特化し、それぞれの特徴と具体的な「見破り方」を専門家の視点から徹底的に解説します。
手口を知ることで、怪しいメールやSMSに動揺せず、冷静に対処できるようになります。
▼ フィッシング詐欺の対策全体像(7つの鉄則)はこちら
【対策総合まとめ】【完全版】フィッシング詐欺に絶対騙されない!最新手口と専門家が教える7つの対策
1. 全ての手口に共通する「心理的トリック」
個別の手口を見る前に、詐欺師が利用する共通の心理的トリックを知っておきましょう。これを知るだけで、騙されるリスクは大きく下がります。
- 不安や恐怖を煽る: 「アカウントがロックされました」「不正利用を検知しました」
- 緊急性を強調する: 「24時間以内に対応してください」「今すぐご確認ください」
- 射幸心を煽る: 「高額当選おめでとうございます」「限定クーポンをプレゼント」
- 権威を利用する: 公的機関(税務署など)や大手企業を名乗り、疑う余地を与えない。
これらの言葉を見たら、「これは詐欺師の常套句だ」と一歩引いて考える癖をつけましょう。
2. 【手口①】SMSフィッシング(スミッシング)の見破り方
現在、被害が最も多い手口の一つです。スマートフォンのSMSに偽のメッセージを送りつけます。
- よくある事例:
- 宅配業者(ヤマト、佐川、日本郵便など)を装う不在通知
- 携帯キャリア(ドコモ、au、ソフトバンクなど)を装う料金未納通知
- 公的機関(税務署、年金機構など)を装う督促や給付金案内
- 金融機関を装う不正利用検知
- 見破り方のポイント:
- 知らない電話番号や短い番号から届く: 正規の企業は、特定の番号やサービス名で送ることが多いです。
- URLが短縮URL(bit.lyなど)になっている: リンク先を隠すためによく使われます。
- Android端末で「アプリのインストール」を要求する: 宅配業者などがSMSでアプリのインストール(特に野良アプリ)を要求することは絶対にありません。これはマルウェアです。
- 不自然な日本語: 句読点の使い方や漢字が不自然な場合があります。
- 具体例: 【実録】りそな銀行を騙るSMS受信。「通常と異なる取引」は詐欺!セキュリティ担当が見破った3つの嘘
3. 【手口②】メールフィッシングの見破り方
昔からある古典的な手口ですが、今もなお多くの被害を出しています。
- よくある事例:
- ECサイト(Amazon、楽天など)を装う注文確認、アカウント情報更新依頼
- サブスクサービス(Netflix、Apple、Microsoftなど)を装う支払い情報更新依頼
- 銀行やカード会社を装うセキュリティ警告
- 航空会社(JAL, ANAなど)を装うマイル失効通知
- 見破り方のポイント:
- 送信元メールアドレスを確認する:
- 表示されている名前(例: Amazon.co.jp)ではなく、実際のメールアドレス(
<>の中)を確認します。 - 公式ドメイン(
@amazon.co.jp)と微妙に違う(例:@amazon-security.xyz,@mail.amazon.co.jp.netなど)場合は100%偽物です。
- 表示されている名前(例: Amazon.co.jp)ではなく、実際のメールアドレス(
- 宛名が曖昧: 「お客様へ」「会員様各位」など、あなたの名前が具体的に記載されていないメールは疑いましょう。
- リンク先のURLを確認する: PCならリンクにカーソルを合わせる、スマホならリンクを長押しすると、実際の飛び先URLが表示されます。そのURLが公式サイトのものか確認しましょう。
- 送信元メールアドレスを確認する:
- 具体例: 【緊急注意喚起】JALを騙るフィッシングメール急増中!マイルを盗まれないための対策をセキュリティ専門家が徹底解説
4. 【手口③】偽サイト・偽ログインページの見破り方
SMSやメールの最終目的地となるのが、本物そっくりに作られた偽サイトです。
- 見破り方のポイント:
- 【最重要】URLのドメイン名を徹底確認する:
- アドレスバーのドメイン名が公式サイトのものかを確認します。サブドメインの罠(例:
amazon.co.jp.●●.com)に注意してください。この場合、本当のドメインは●●.comです。
- アドレスバーのドメイン名が公式サイトのものかを確認します。サブドメインの罠(例:
- HTTPS(鍵マーク)だけでは信用しない: 最近の偽サイトはHTTPS化されていることがほとんどです。鍵マークがあるから安全、とは限りません。
- サイト内リンクが機能しない: 「会社概要」や「プライバシーポリシー」などのリンクをクリックしても、反応がなかったり、トップページに戻ったりすることがあります。
- 【最重要】URLのドメイン名を徹底確認する:
5. 【手口④】偽警告(サポート詐欺)の見破り方
Webサイト閲覧中に、突然警告音と共に表示されるポップアップです。
- よくある事例:
- 「ウイルスに感染しました」「システムが破損しています」といった警告文
- MicrosoftやAppleのロゴを悪用
- 偽のサポートセンターの電話番号が表示される
- 見破り方のポイントと対処法:
- 警告は100%嘘!: ブラウザが表示しているだけの偽物の警告です。あなたのPCが本当にウイルス感染したわけではありません。
- 【絶対に】表示された電話番号にかけない: 電話をかけると、高額なサポート契約を結わされたり、遠隔操作ソフトを入れられたりします。
- 【冷静に】ブラウザを強制終了する: ポップアップが消せなくても慌てず、ブラウザ自体を閉じましょう。閉じられない場合は、タスクマネージャー(Windows)やアクティビティモニタ(Mac)から強制終了します。
6. 【手口⑤】電話による詐欺(ビッシング / Vishing)の見破り方
フィッシング詐欺はWebサイトやメールだけではありません。電話を使って情報を盗み出そうとする手口(ビッシング / Vishing)も横行しています。これは、人間の心理的な隙を突く「ソーシャルエンジニアリング」の一種です。
- よくある事例:
- 警察や公的機関を名乗り、「事件に巻き込まれている」「個人情報が漏洩している」などと不安を煽る。
- 金融機関やカード会社を名乗り、「不正利用があった」と連絡してくる。
- ITサポートを装い、「ウイルス感染」を口実に遠隔操作を誘導する(偽警告詐欺と連動することも)。
- 見破り方のポイント(危険な兆候):
- 非通知、または見慣れない国際電話番号(「+」で始まる)からかかってくる: 公的機関や金融機関がこのような番号から連絡することはまずありません。
- 「機密情報なので、誰もいない場所で話してほしい」と要求する: あなたを孤立させ、冷静な判断をさせないようにする詐欺師の典型的な手口です。
- 曖昧な情報で不安を煽る: 「〇〇の事件」「あなたのアカウントで問題が」など、具体性のない情報で動揺させようとします。
- 個人情報や金銭を直接要求する: 電話口で安易に口座番号やパスワードを教えたり、送金を指示されたりしたら100%詐欺です。
- 対処法:
- 何も言わずに即座に電話を切る! これが最も安全で確実な対処法です。
- 絶対に折り返さない。
- 着信拒否設定をする。
- 不安な場合は、相手が名乗った機関の公式サイトで正式な電話番号を調べ、自分からかけ直すか、警察相談専用電話(#9110)に相談する。
- 【実録】私の体験談: 実は先日、私のプライベートスマホにも警察を騙る巧妙な詐欺電話がかかってきました。その生々しいやり取りと、専門家の視点から見た手口の分析はこちらの記事で詳しく解説しています。
- 【実録】+969から警察を騙る詐欺電話が!情シスのプロがその巧妙な手口と心理トリックを丸裸にする
7. まとめ:手口を知り、対策の基本に立ち返ろう
フィッシング詐欺の手口は多岐にわたりますが、見破るためのチェックポイントには共通点が多くあります。
- 送信元やURLは本当に正しいか?
- 不安や焦りを煽られていないか?
- 個人情報を安易に入力しようとしていないか?
これらの手口別の知識と、対策総合まとめ記事で解説している7つの基本対策を組み合わせることで、フィッシング詐欺の被害に遭うリスクを限りなくゼロに近づけることができます。
