イラストでわかる「怪しいメール・SMS・偽Webサイト」の要注意点
最新フィッシング詐欺は本物そっくりで見分けるのは無理! 対策アプリ任せが安全安心
2025年09月17日 11時00分更新
フィッシング詐欺のメールやSMSは真偽の判別が困難です!
1分で読める! 記事要約
・フィッシング詐欺は、新しい手口によって被害拡大中
・ところが、未だに古い知識のまま、対策を軽視する人が多い
・そこで今どきのフィッシングメール/SMSおよび偽Webサイトの特徴を紹介
・最近は本物をコピペしたり、生成AIの推敲を経たりするため、真偽の判別は困難
・内容も、被害者を心配させるのではなく、大きなメリットで驚かす傾向あり
・期限を決めて急かす文言はフィッシングメールの典型例
・SMSを使ったフィッシングの代表例は不在連絡だが、大手宅配業者は不在連絡でSMSを使っていない
・本物そっくりなページに遷移しても、メールとページ内容が噛み合っていなければ即撤退を推奨
・毎日大量に届くメールを人力で判別するのはもはや現実的ではない
・危険なリンクをタップした瞬間に警告画面を表示してくれる、マカフィー「ウェブアドバイザー」を導入するのが手っ取り早い
急増するフィッシング詐欺被害だが……危機感薄め?
2025年現在、国内のフィッシング詐欺被害は過去最悪。大手証券会社十数社の口座が狙われた事例では、わずか8ヵ月間で6770億円の不正取引が確認されました。もはや「自分のメールアドレスに一度もフィッシングメールが届いたことはない」という人は珍しいのでは。
にもかかわらず、未だに「フィッシング詐欺になんて引っ掛かるわけないでしょ(笑)」という態度の人は少なくありません。
これは、海外で使われたフィッシングメールを直訳してそのまま送り付けていた「ひと昔前の迷惑メール」のイメージで考えているからでしょう。現在は生成AI技術の進展によって本物と見分けが付かない外見&中身であることが多いのです。
そこで今回は、すでにポピュラーとなっている、新しいフィッシング詐欺のメール・SMSや偽Webサイトの特徴とその対策をご紹介しましょう。
金融庁が2025年1~8月に把握済みの「証券口座乗っ取りトラブル」における不正取引額(金融庁の発表より)
おすすめの関連記事
実は盗まれやすい!? 「SMSによる多要素認証」が徐々に消え始めている
このメール・SMS、どこがおかしい?
あらためて説明すると、フィッシング詐欺は基本的にあなたのクレジットカード情報などを含む個人情報などを盗み取ることが目的の詐欺行為。
悪意ある人たちは、その盗んだ個人情報を不正利用することであなたに金銭被害を与えたり、個人情報自体をダークウェブで販売したりします。買われた個人情報は当然、別の詐欺やサイバー攻撃に流用されるわけです。
そのためフィッシング詐欺のメールやSMSは、被害者を驚かせて判断能力を一時的に奪い、あらかじめ制作しておいた偽のWebサイトへのリンクをタップさせることに特化した内容となります。
「あなたのアカウントを凍結する」「不審な点がありカード利用に失敗した」「セキュリティに問題が……」といった内容で再ログインや個人情報の再登録を促しつつ、偽Webサイトへのリンクを踏ませます。
ここからは架空のフィッシングメールなどを模した図版をお見せしながら、本物ではありえない箇所、気を取られてしまいがちな箇所をご紹介しましょう。
下記は架空の証券会社を模したフィッシングメールです。
内容は、「セキュリティ強化のためにシステムを更新する。今後はログイン時に多要素認証を必須にするため、その初期設定をせよ」というもの。
初期設定を済ませればサービス内で使えるポイントを付与する「ご褒美」もあるようです。せっかくのセキュリティ強化を後回しにされないよう、メリットを提示する企業努力も見られる内容で、国内のWebサービスから送られてくるメールとしても一般的な文面ですね。
架空のフィッシングメール
しかし、これはフィッシングメール。「多要素認証を設定する」をタップすると、悪意ある人たちが作成した偽のログインページに誘導されてしまいます。そこで入力した個人情報はすべて盗まれ、悪用されるでしょう。
では、どこで真偽の判別をすれば良いのでしょう? ……結論から言うと、これは判別するのは難しいケース。なぜなら、上記は本物の公式サービスが送信した内容をコピーし、日付やリンク部分だけ変えた代物を送り付ける手口だからです。
最近はこうした本物を「コピペ」するフィッシングメールが増えているため、真偽の判別は困難。企業が送信済みということもあり、内容的なつじつまも合っています。
証券口座の乗っ取り事件においては、証券会社がセキュリティ強化のための設定変更をお願いするメールがコピーされてフィッシング詐欺に悪用される、といったことも起きているのです。
そしてコピペしなくても、最近は生成AIサービス任せでいくらでもフィッシングメールが作れてしまいます。身近な例では、生成AIサービス・GeminiによるGmailのメール下書き機能などが挙げられるでしょう。盛り込みたい内容を羅列すると、あっという間にビジネスメール然とした文章に推敲してくれます。
また、フィッシングメールは被害者を驚かせる内容が多いのですが、今回のようなポイントを大量付与するといった「大きなメリットで驚かせる」手口もポピュラーです。「キャンペーン実施中」「ポイント還元」「お得なクーポン」などの文言に気を取られないよう注意してください。
なお、ほぼ唯一の判断材料としては「リンク先のURL」が挙げられます。企業やサービスとあまりにかけ離れた、もしくはランダムな文字列の場合は疑うべきです。
メール内容と入力項目が噛み合っていないときは要注意!
さて、上記のフィッシングメールに引っ掛かってしまい、「多要素認証を設定する」をタップすると、下記のような偽Webサイトに誘導されます。これは悪意ある人たちが証券会社の情報登録ページに似せて作成したページで、ここに個人情報などを入力すると、そのまま窃取されてしまう、というわけです。
架空の偽Webサイト
とは言え、ある意味フィッシングメールよりは真偽の判別が付きやすいと言えます。
なぜなら、メール文やページ構造はコピペできても、ページのURLは嘘を付きづらいからです。該当企業にまつわるドメイン名でない場合は、いくら本物に見えても入力したり、それ以上進んではいけません。
そして、メールとページ内容が噛み合っているかも判断材料の1つになります。今回のメールは「セキュリティ強化のため、多要素認証の初期設定をしてほしい」という内容でしたが、飛んだ先のページではクレジットカード情報の入力項目があります。これは不自然でしょう。
フィッシング詐欺はできるだけ多くの個人情報を窃取したい事情から、偽Webサイトの入力項目は豊富です。そのせいか、入力項目とメール内容が噛み合っていないことがままあるのです。
そもそも、これだけフィッシング詐欺が流行している昨今、メール内のリンクから飛んでしまうこと自体が不用意です。飛んだ瞬間にウイルスをダウンロードさせようとしてくるページも存在しますから、メールやSMSのリンクは安易にタップしてはいけません。
