フィッシングメールの見分け方——本物との違いを5つのチェックポイントで解説
フィッシングメールを見破る5つのチェックポイントを具体例付きで解説。送信者アドレス・URLの確認方法・緊急性をあおる文言のパターンを網羅。
フィッシングの巧妙化が止まらない
2025年の報告では、日本国内のフィッシング報告件数は月間10万件を超えた。宅配会社・銀行・ECサイト・行政機関を装ったものが多く、デザインのクオリティも年々上がっているよ。
5つのチェックポイント
チェック1:送信者メールアドレスのドメインを確認
「差出人表示名」は誰でも自由に設定できるよ。実際のメールアドレス(<>内)を確認して、本物のドメインと一致しているか見よう。
サブドメインも注意。amazon.com.phishing.net はphishing.netというドメインで、amazonとは無関係だよ。
チェック2:リンク先URLを事前確認
リンクはクリック前にマウスオーバーして、実際のURLをブラウザ下部で確認しよう。スマホでは長押しでURLを表示できるよ。
- 本物に見せかけた偽URL:
paypa1.com(lをarabic数字1に)、аpple.com(аがキリル文字)
チェック3:緊急性・脅迫的な文言に注意
「24時間以内に対応しないとアカウントを停止します」「不正アクセスを検知しました」「今すぐ確認してください」——こういった緊急性をあおる表現はフィッシングの典型手口だよ。
正規企業は基本的に「今すぐクリック」と急かさない。
チェック4:添付ファイルの拡張子を確認
請求書.pdf.exe、重要書類.docx(マクロ入り)、確認.zip(中身は.exe)——二重拡張子や実行ファイルを含む添付ファイルは開かないようにしよう。
チェック5:日本語の不自然さ
機械翻訳を使った文章は不自然な表現が混じることが多い。ただし最近はAIで自然な日本語を生成するフィッシングも増えているから、これだけを頼りにするのは危険だよ。
もし騙されたと思ったら
- 入力したサービスのパスワードを即変更
- 同じパスワードを使っているサービスも変更(使い回しNG)
- 2FAを未設定なら設定
- クレジットカード情報を入力した場合はカード会社に連絡
- 国民生活センター(0120-797-188)や警察のサイバー相談窓口へ報告
フィッシングはデザインで騙す詐欺だよ。「見た目」ではなく「ドメイン」と「URL」を確認するクセをつけると大幅にリスクを減らせるね。
作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。
洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。
オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。
SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。
NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。
スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。