フィッシングメールの見分け方:実例付き実用チェックリスト
フィッシングメールはもはや「明らかな詐欺」だけではありません。多くはプロフェッショナルに見え、実際のブランドスタイルをコピーし、考える前に行動させるために緊急性を作り出します。目的は通常同じです:資格情報、金銭、アクセスの窃盗。
1) 30秒フィッシングチェックリスト
何かをクリックする前に、以下を確認してください:
- 送信者ドメイン:本物の会社ドメインと完全に一致していますか?
- 緊急性:「今すぐ行動しないとアクセスを失う」はよくある操作手法です。
- リンク:ホバーして行き先をよく読みましょう。
- 添付ファイル:予期しないファイルは高リスクです。
- 要求内容:パスワード、支払い情報、または「認証」を求めるのは疑わしいです。
2) 送信者のトリック:表示名と実際のアドレス
攻撃者は信頼できる表示名を使いながら、背後に奇妙なアドレスを隠すことがよくあります。
- 似たドメイン(余分な文字、入れ替わった文字、奇妙なTLD)を探しましょう。
- 「support-alerts」「billing-team」やランダムなサブドメインに注意。
- ドメインが会社の公式サイトと一致するか確認。
3) 緊急性の罠
フィッシングは考える時間を減らそうとします:
- 「あなたのアカウントは今日閉鎖されます。」
- 「異常なログイン—すぐに認証してください。」
- 「支払い失敗—カードを今すぐ更新してください。」
正当な会社も警告を送りますが、安全な警告は通常、リンクをクリックさせる単一の強制的な経路を要求しません。
4) リンク検査:注目すべき点
- 短縮リンク:本当の行き先を隠します。
- リダイレクトチェーン:「安全そうな」リンクがすぐに別の場所に転送します。
- ドメイン不一致:会社に属さない「company-support」など。
安全な習慣:新しいタブを開き、メールのリンクを使わずに公式サイトに直接アクセスしましょう。
5) 添付ファイルの扱い:「予期しないファイル=リスクファイル」
一般的に危険な形式はマクロ有効ドキュメントや実行ファイルです。添付ファイルをすぐに開くよう圧力をかけられたら高リスクとして扱いましょう。
- セキュリティソフトでスキャン。
- マクロを有効にしない。
- 送信者を独自に確認。
6) すでにクリックしてしまった場合の対処法
- 停止:ページを閉じ、資格情報を入力しない。
- パスワード変更:本物のサイトで(直接開く)。
- 2FA/パスキーを有効化:可能なら。
- 最近のセッションを確認:不明なデバイスを取り消す。
- 支払い方法を監視:金融情報を入力した場合。
7) 使い捨て受信箱の役割(責任を持って)
使い捨て受信箱はスパムを減らし、プライマリメールIDの保存場所を制限できます。低リスクの登録、トライアル、テストに使いましょう。新しい受信箱はこちら:TempMailbox。
注意:重要なIDや銀行アカウントには一時的な受信箱を絶対に使わないでください。
