「Amazonアカウントが停止されました」「宅配便のお届けに失敗」のSMS、見覚えありませんか?
これらは フィッシング詐欺。被害額は年間数百億円規模で、誰でも引っかかる可能性があります。
「具体的な手口は?」「どうやって見分ける?」「引っかかったらどうする?」
を整理します。
フィッシング詐欺は、「企業や銀行を装ったメール・SMS・サイトで個人情報やパスワードを盗む詐欺」です。
代表的な手口は Amazon・宅配・銀行・税務署を装った偽のSMSで、本物そっくりの偽サイトに誘導してID/パスワード/カード情報を入力させる。
対策は 「リンクを踏まない」「公式アプリから確認」「[二要素認証](/article/two-factor-auth)」の3つ。引っかかったら即パスワード変更+カード会社へ連絡。
フィッシング詐欺の正体
フィッシング詐欺は、「魚釣り(fishing)」になぞらえた、個人情報を釣り上げる詐欺 のこと。
仕組み:
- 本物そっくりのメール・SMSを大量送信
- 「アカウント停止」「決済失敗」など緊急感をあおる
- 偽サイトへのリンクを踏ませる
- ID・パスワード・カード情報を入力させる
- 盗んだ情報で不正利用・転売
被害件数は2023年で 約120万件、被害額は 数百億円規模。一般人の最大のセキュリティリスクです。
よくある手口
最新の典型例:
| 装う企業・組織 | よくある文面 |
|---|---|
| Amazon | 「アカウントが停止されました」「未払いの料金があります」 |
| 宅配(佐川・ヤマト等) | 「お荷物のお届けに失敗しました」 |
| 銀行(メガバンク・地銀) | 「不正アクセスを検知」「セキュリティ更新が必要」 |
| 税務署・国税庁 | 「未払いの税金があります」「給付金の受取手続き」 |
| ETC・JCB・楽天カード | 「カード利用確認」「明細をご確認ください」 |
| マイナポータル | 「マイナンバー情報の更新が必要」 |
| ガス・電気会社 | 「料金未払いで停止予定」 |
**「未払い」「停止」「至急」**の3ワードが入っていたら、ほぼフィッシングと疑っていいです。
SMS型フィッシング(スミッシング)
近年特に多いSMS型:
【ヤマト運輸】お荷物のお届けにあがりましたが
ご不在でしたので持ち帰りました。
ご確認はこちら → https://yam.ato-cs.com/?id=xxx
ポイント:
- 短縮URLや偽ドメイン(yamato.co.jpではなくyam.ato-cs.com など)
- iPhoneの「不明な送信者」フィルタにも引っかからないことが多い
- 携帯番号宛なので 「自分の番号を知っている=知り合い・取引先」と錯覚 しやすい
偽サイトの見分け方
リンクを踏んでしまった時のチェックポイント:
こうあるはず
- URLが正しい公式ドメイン(amazon.co.jp等)
- SSL証明書あり(鍵マーク)
- ログイン後に「アカウント停止」表示
- サポート連絡先が正規のもの
怪しいサイン
- URLが微妙に違う(amazon-jp.com、amaz0n.co.jp 等)
- 日本語が不自然
- SMS/メールからの遷移直後にログイン画面
- ロゴが粗い、商品画像が古い
引っかからないための3つの鉄則
実用的な対策:
1. SMS・メールのリンクは絶対踏まない
気になる通知は 公式アプリ・ブックマーク から確認。Amazonは「Amazonアプリ」、銀行は「銀行アプリ」、宅配は「ヤマト/佐川公式アプリ」で直接ログインして確認。
2. 二要素認証を全アカウントに設定
パスワードを盗まれても、SMSコード or 認証アプリのコードがないとログインできません。最強の防御策です。
3. パスワード使い回し禁止
1Password・Bitwardenなどのパスワード管理ツールを使い、サイトごとに別のパスワードを設定。
引っかかってしまった時の対応
冷静に、迅速に:
- 該当サービスのパスワードを即変更
- 使い回していたサービスも全部変更
- カード情報を入力した場合:カード会社にすぐ連絡(24時間受付)
- [二要素認証](/article/two-factor-auth)を有効化
- 警察(最寄り or サイバー犯罪相談窓口)に届け出
- 不正アクセス・カード不正利用は補償される場合がある
カードの不正利用は 60日以内 に申告すれば、ほぼ補償されます。
報告窓口
社会全体で対策するために:
| 窓口 | 役割 |
|---|---|
| フィッシング対策協議会(antiphishing.jp) | 偽サイト情報の通報 |
| 警察 サイバー犯罪相談窓口(#9110) | 詐欺被害の届け出 |
| 国民生活センター(188) | 消費者トラブル全般 |
| 各企業のフィッシング窓口 | Amazonなら abuse@amazon.com 等 |
転送だけでも対策になります。
最近の悪質な手口
進化が早い:
AI生成の精巧な偽サイト
2024年以降、生成AIで作られた本物と区別がつかないレベルの偽サイトが増えています。ロゴ・文章・レイアウトすべて完璧。「サイトの見た目」で判別する時代は終わった。URLの確認と[二要素認証](/article/two-factor-auth)が唯一の防御です。
その他、注意したい新手口:
- 国際電話を装った不在着信から折り返させる詐欺
- マッチングアプリで仲良くなった相手からの偽投資サイト誘導
- マイナポータル装ったSMS — 公金受取で振込先を変えさせる
- AI音声で家族の声を再現した「振り込め詐欺」
まとめ
- フィッシング詐欺 = 企業・銀行を装ったメール・SMSで個人情報を盗む詐欺
- 主な手口は Amazon・宅配・銀行・税務署 を装ったSMS
- 鉄則は 「リンクを踏まない・公式アプリで確認・二要素認証」
- 引っかかったら 即パスワード変更+カード会社連絡+警察届出
- AI生成偽サイトの登場で「見た目」では判別困難。URLが頼り
二要素認証・個人情報保護法と並んで、デジタル時代の必須知識です。
詳しくは フィッシング対策協議会 や 警察庁 サイバー犯罪 が一次情報源です。
