本ページにはプロモーションが含まれています。

フィッシングメールの見分け方 | よくある手口と被害を防ぐコツ

2026.05.13
フィッシングメール詐欺のイメージ

「Amazonからの不審なメールが届いた」「銀行を名乗るメールでパスワード入力を要求された」というフィッシング詐欺メールは、年々巧妙化しています。本記事では、フィッシングメールを見分ける具体的なポイント、誤って開いた時の対処法、被害を防ぐための事前対策をまとめます。

目次

  1. フィッシングメールとは
  2. フィッシングメールの典型的な5パターン
  3. 送信元アドレスの見方
  4. 本文と日本語の不自然さをチェック
  5. URLが本物か見分ける方法
  6. 添付ファイルが危険なケース
  7. もし開いてしまった時の対処法
  8. フィッシングを未然に防ぐ対策
  9. まとめ

フィッシングメールとは

フィッシングメール (Phishing Email) は、銀行・通販サイト・SNS・宅配業者などの 公式メールを装って受信者を騙し、偽のWebサイトに誘導してログイン情報・クレジットカード番号・暗証番号などを盗み取る詐欺メールです。

「Phishing」は「Fishing (釣り)」と「Phreak (電話のハッカー)」の合成語で、餌をつけて魚 (情報) を釣り上げるイメージです。年間で数百億円規模の被害が報告されており、誰でも遭遇する可能性があります。

フィッシングメールの典型的な5パターン

最も多いフィッシングメールの典型パターンは次の5つです。

Amazon・楽天など通販サイトのアカウント停止系

  • 「あなたのアカウントが一時停止されました」
  • 「不審なログインを検知しました」
  • 「お支払い情報の更新が必要です」
  • → クリックすると偽のログインページに飛ばされる

銀行・カード会社のセキュリティ警告系

  • 「不正利用の疑いがあるためカードを停止しました」
  • 「本人確認のため再度ログインしてください」
  • → 偽のオンラインバンキングに誘導

宅配業者の不在通知系

  • 「お荷物のお届けに伺いましたがご不在でした」
  • 「再配達のため住所を確認してください」
  • → SMSで届くケースが急増 (スミッシング)

公的機関・税務署系

  • 「税金の還付があります」
  • 「国民年金の確認が必要です」
  • 「マイナポータルから連絡」
  • → 個人情報・銀行口座を入力させる

当選通知・プレゼント系

  • 「Amazonギフト券が当選しました」
  • 「Apple製品プレゼントキャンペーン」
  • → 個人情報入力と決済情報を盗む

送信元アドレスの見方

最初に確認すべきは 送信元のメールアドレスです。

不審な送信元の例

公式アドレスの確認方法

各サービスの公式サイトで「メールの送信元アドレス一覧」が公開されています。

  • Amazon: amazon.co.jp / amazon.com / marketplace.amazon.co.jp など
  • 楽天: rakuten.co.jp / faq.rakuten.co.jp など
  • 三井住友銀行: smbc.co.jp など

迷ったら 公式サイトの「メール一覧」「不審メール対策」ページ を直接確認します。

Gmail/iCloudで送信元を詳細表示する

スマホアプリで送信者名だけ見ていると「Amazon」と表示されていても、実際のアドレスは別物のことが多いです。実際のメールアドレス全体を表示するように癖をつけます。

  • Gmailアプリ: 送信者名をタップ → 詳細表示
  • iCloudメール: 送信者の隣の「>」をタップ
  • PC版Gmail: 送信者名にカーソルを合わせるとアドレス表示

本文と日本語の不自然さをチェック

フィッシングメールに多い不自然な表現

  • 「お客様情報の確認をお願い致しま」(句点抜け)
  • 「アカウントが凍結致しました」(敬語のズレ)
  • 「24時間以内のご対応をお願いします」(過剰な切迫感)
  • 「お客様の大切な情報を保護するため」(過剰な丁寧さ)
  • フォントが異常 (中華フォント・繁体字が混じる)
  • 改行位置が不自然

最近のフィッシングメールは AI翻訳の精度向上で日本語の質が上がっていますが、それでも次のような特徴があります。

  • 公式メールには絶対に書かない過剰な切迫感
  • 個人名なく「お客様」のみ
  • 個別の取引情報がない (注文番号や具体的な日時)

「あなただけ」を強調する系

「あなたのアカウントだけ」「あなただけ特別」のような個別性の強調は、自動で大量送信している証拠です。本物の通知は機械的で、過剰な感情訴求はしません。

URLが本物か見分ける方法

メール内のリンクを クリックする前に必ずURLを確認します。

マウスホバーでURLを確認 (PC)

リンクの上にマウスカーソルを置くと、ブラウザの左下や、メールアプリの状態バーに 実際のURLが表示されます。本物のドメインと一致するか確認します。

スマホでURLを確認

  • iPhone: リンクを 長押し するとプレビューと共に実際のURLが表示される
  • Android: 同じく長押しでURL確認

偽ドメインの典型例

公式風のドメインを装った偽ドメイン:

公式ドメイン(amazon.co.jp)の直前 . の前の部分が正規ドメイン名と一致しているかが見極めポイントです。

ドメインの一部だけで判断しない

メール本文に表示されている「クリックしてください」のリンク文字と、実際のリンク先URLが全く違う ケースが多いです。表示文字に騙されず、実URLを確認します。

不安な時はリンクを使わずブラウザで直接アクセス

リンクをクリックせず、ブラウザのアドレスバーに 自分で公式URLを入力 または ブックマークから開いて ログインします。これが最も安全な方法です。

添付ファイルが危険なケース

近年は添付ファイル経由のマルウェア感染も増えています。

危険な添付ファイルの拡張子

  • .exe, .bat, .cmd, .scr — 実行ファイル
  • .zip, .rar — 圧縮ファイル (中身に実行ファイルが入っていることがある)
  • .doc, .docm, .xlsm — マクロ付きOfficeファイル
  • .pdf — 一見安全だが、悪意のあるリンクや脆弱性を突くPDFも

開く前のチェック

  • 添付ファイルの拡張子が「実行ファイル」「マクロ付き」になっていないか
  • ファイル名が二重拡張子になっていないか (例: 請求書.pdf.exe)
  • 公式メールに通常添付されないファイル形式ではないか
  • 送信者が本当に添付を送ってくる相手か

迷う場合はファイルを ダウンロードもしないで削除するのが最善です。

もし開いてしまった時の対処法

「リンクをクリックしてしまった」「ログイン情報を入力してしまった」「添付ファイルを開いてしまった」場合の対処法です。

リンクをクリックしただけ

  • ブラウザの履歴を確認し、そのページのCookieを削除
  • パスワードや個人情報を入力していないなら、ブラウザを閉じるだけで通常は問題なし
  • 念のためiPhoneのウイルスチェックなど端末の確認を行う

ログイン情報を入力してしまった

即座に: 1. その正規サービスの本物のサイトにアクセス 2. パスワードを変更する 3. 二段階認証を有効化(まだなら) 4. 同じパスワードを他のサイトでも使っていたら、それらも全て変更 5. クレジットカード情報を入れた場合は、カード会社に連絡して停止・再発行

添付ファイルを開いてしまった

  • 端末をネットワークから切断 (Wi-Fi/モバイル通信OFF)
  • セキュリティソフトでスキャン
  • 不審な動作 (動作が重い、勝手にアプリが起動等) があれば、専門家に相談
  • PCの場合は最悪OS再インストールも検討

銀行口座情報を入れてしまった

  • 銀行のサポート窓口にすぐ電話
  • カード/口座の停止を依頼
  • 警察にも届け出 (詐欺被害として)

時間との勝負です。発見から 数分〜数時間以内 の対応が被害最小化に直結します。

フィッシングを未然に防ぐ対策

二段階認証を全アカウントで有効化

メールやパスワードが漏れても、二段階認証 (Authenticator アプリやSMS) があれば不正ログインを防げます。Amazon・Google・SNS・銀行など主要アカウントは必ず有効化します。

パスワードを使い回さない

サービスごとに独立したパスワードを使い、パスワード管理アプリで管理します。1つ漏れても他のアカウントは守れます。

メールアプリの迷惑メールフィルタを活用

Gmail/iCloudメールの迷惑メールフィルタは年々精度が上がっています。フィッシング対策の第一歩は、こうした自動フィルタを有効化することです。

公式アプリ・公式サイトから直接アクセス

通販サイト・銀行などへのアクセスは、メールのリンクではなく 公式アプリやブックマークから直接行います。これだけで大半のフィッシングを回避できます。

家族・職場で共有して啓発

フィッシング被害は 「自分は引っかからない」と思っている人ほど引っかかる傾向があります。家族や職場で、最新の手口を共有しておくと予防になります。

不審メールは「報告」する

GmailやiCloudメールには「フィッシングを報告」「迷惑メールとして報告」のボタンがあります。報告することで、サービス側の自動検出が強化され、他の人を守ることにも繋がります。

まとめ

フィッシングメールを見分けるポイントは次の通りです。

  • 送信元アドレス: 公式ドメインと一致しているか
  • 本文の日本語: 不自然な表現・過剰な切迫感がないか
  • リンクURL: マウスホバーや長押しで実URLを確認
  • 添付ファイル: 実行ファイルやマクロ付きはダウンロードしない
  • 個人情報を要求する内容は警戒: パスワード・暗証番号・カード情報

開いてしまった時は 時間との勝負で、パスワード変更とカード停止を最優先に行います。事前対策は 二段階認証 + パスワード管理アプリ + 公式アプリからのアクセス の3点が基本です。

メール周辺のセキュリティ意識はフリーメールとセキュリティメール暗号化の仕組みも合わせて参考にしてください。

2026.05.13
使い捨てメールアドレスのイメージ
使い捨てメールアドレスの作成方法 | 無料サービス比較とセキュリティリスク
Dropbox使い方ガイド | 無料プラン・共有・同期の基本
Dropbox公式サイトのスクリーンショット