フィッシングメールでリンクをクリックしてしまったら?対処法と防止策
フィッシングとは、犯罪者が正規の組織や人物になりすまして、パスワードやクレジットカード情報などの機密情報をだまし取るサイバー攻撃の一種です。
多くの場合、本物のように見せかけた詐欺的な電子メール、メッセージ、または偽ウェブサイトを使用して、被害者に個人情報を提供させるよう仕向けます。
フィッシングリンクをクリックしてしまえば心配になるのも当然ですが、情報を保護し、デバイスを安全に保つために実行することができる重要なステップがいくつかあります。
「フィッシングリンクをクリックしてしまった。どうしよう?」と不安になっている方、以下の対処法・防止策ガイドをぜひご確認ください。
パソコンでもモバイルデバイスでも、迅速な対応方法を知っているかどうかで、状況は大きく変わります。
フィッシングリンクをクリックすると危険な理由
フィッシングリンクをクリックすると、深刻な結果を招くリスクがあります。
これらのリンクは、パスワード、クレジットカード情報、その他の機密データなどの個人情報を盗むために設計された悪意のあるウェブサイトに誘導することが多いためです。
これらのサイトは、デバイスにマルウェアをインストールし、攻撃者がファイル、連絡先、さらにはカメラやマイクにアクセスできるようになる場合もあります。
場合によっては、マルウェアがネットワーク全体に広がり、他のデバイスやシステムを危険にさらし、広範囲にわたる被害を引き起こす可能性もあります。
さらに、フィッシングリンクはソフトウェアやアプリケーションの脆弱性を悪用し、お客様のデータをさらに大きなリスクにさらす可能性があります。
フィッシング手口の見分け方
フィッシングの手口を見分けることが、個人情報を保護し、サイバー脅威を回避する鍵となります。
フィッシング詐欺では、感情を操ったり、緊急性を煽ったり、視覚的な騙しを用いて、悪意のあるリンクをクリックさせたり、機密情報を共有させようとすることがよくあります。
その兆候を見分けるポイントはこちら:
-
緊急または威嚇的な文言
フィッシングメールでは、緊急性や恐怖感を煽り、迅速な対応を迫るような文言が使われることが多い。よく使われる文言には、「お客様の口座が停止されました」、「至急対応が必要です」、「お客様のアカウントで不審な操作が検出されました」などがある。このような文言は、ユーザーに慌てさせて、考える前にクリックさせることを目的としている。正当な企業がこのような高圧的な文言を使うことはほとんどなく、特に事前通知なしで使うことはない。 -
疑わしいリンクやURL
メールやメッセージ内のリンクをクリックする前に、必ずカーソルを合わせてURLを確認してください。フィッシングリンクは、本物のウェブサイトのように見えるように設計されていることがよくありますが、わずかなスペルミスや余分な文字、または通常とは異なるドメインの末尾が含まれていることがあります。例えば、本物のウェブサイトが「bank.com」である場合、フィッシングサイトは「bank-secure-login.com」のようにしたりします。リンクについて何かおかしい点や予期せぬ点がある場合は、クリックしないようにしてください。 -
予期せぬ添付ファイルやリンク
フィッシングメールには、クリックさせるために魅力的な名前がついている、添付ファイルやリンクが含まれていることがよくあります。添付ファイルは「請求書」、「注文内容」、「重要なアップデート」などと表示されていることがありますが、このようなファイルにはマルウェアが含まれている可能性があります。特に、メールの内容が不自然であったり、予期せぬものである場合は、不明な送信者からの添付ファイルには注意が必要です。疑わしい添付ファイルを受け取った場合は、開かずに送信者に直接その信憑性を確認してください。 -
不正確または奇妙なメールアドレス
フィッシングメールは、正規の企業メールアドレスに似たアドレスから送信されることが多いですが、微妙に異なります。例えば、「support@bank.com」ではなく「support@secure-bank.com」から送信されたメールは、フィッシング詐欺の可能性が高いです。送信者のメールアドレスを慎重に確認するようにしてください。企業の公式ドメインと一致しない場合や、何かおかしいと思われる場合は、詐欺の可能性が高いです。 -
文法やスペルの間違い・日本語がおかしい
必ずしもそうとは限りませんが、多くのフィッシングメールにはスペルミスや文法の間違い、不自然な表現が含まれていたりします。公式でプロフェッショナルな企業は、コミュニケーションの洗練度に気を配っているため、多数の誤りがあるメッセージやメールは要注意です。銀行や大手企業からのように見えるメールに誤字脱字が多い場合は、フィッシング詐欺メールの可能性があります。 -
機密情報の要求
正当な企業が、メールやテキストメッセージでパスワード、クレジットカード番号、社会保障番号などの機密情報を求めることはほとんどありません。このような情報を要求するメッセージは、ほぼ間違いなくフィッシング詐欺です。メールで「悪い結果を避けるためにすぐに情報を提供しなければならない」と促された場合は、特に注意が必要です。 -
都合の良すぎる内容・安すぎる価格など
多額の金銭、賞品、特別な割引を約束するメールは、多くの場合フィッシング詐欺です。このようなメッセージは、感情や興奮をあおり、賞品を受け取ろうという気にさせて、リンクをクリックさせたり機密情報を提供させたりするように作られています。メールの内容があまりにもうますぎる話と思われる場合は、非常に要注意です。リンクをクリックするのではなく、必ず他の公式な方法(ブランドの公式ホームページやSNSを確認するなど)でキャンペーン等の有無を確認してください。
フィッシングリンクをクリックしてしまったかどうかを確認する方法
残念ながら、予防策が常に有効であるとは限りません。そのため、フィッシングサイトにアクセスしてしまったかどうかを識別する方法を知っておくことが重要です。SSL証明書の欠落、連絡先情報の欠落、デザインの粗悪さ、または緊急のポップアップなど、主な注意点を認識することで、取り返しのつかない被害が発生する前に素早く行動することができます。
-
SSL証明書がない:安全なサイトは「https://」で始まり、ブラウザのアドレスバーに鍵のアイコンが表示され、暗号化された接続であることを示します。この表示がないサイト、特に個人情報を求めるサイトは安全でない可能性があります。
-
追加ページがほとんどない、あるいはまったくない:フィッシングサイトは、たいてい1ページか、あるいは非常に少ない数のページしかなく、そのほとんどがユーザー情報の収集・入力に重点を置いています。このようなウェブサイト上のさまざまなリンクのほとんどは、メインページに戻ります。これは、通常ははるかに包括的な正規のウェブサイトとは対照的です。
-
コンテンツの質が低い:フィッシングサイトでは、詐欺師が質よりもスピードを優先させるため、スペルミス、デザインの悪さ、奇妙なフォント、または画像の不具合がよく見られます。
-
連絡先情報がない:正当なサイトでは、メールアドレス、電話番号、住所など、企業情報や問い合わせ先が提供されています。これらの情報が欠如している場合、または、明確でアクセスしやすいプライバシーポリシーがない場合、フィッシング詐欺の可能性があることを示している可能性があります。
-
個人情報が求められている:フィッシング詐欺サイトでは、機密情報を積極的に要求することがよくあります。信頼できるサイトでは、許可なく個人情報を要求することはほとんどありません。
-
ポップアップの表示:フィッシングサイトでは、ポップアップを使用してリンクをクリックしたり情報を提供するなど、素早い対応を促すことで緊急性を演出します。信頼できるサイトでは、通常このような手法は使用されません。
スマホやパソコン上で疑わしいリンクをクリックしてしまった場合、どうすればよいのでしょうか?
以下の手順では、被害を最小限に抑え、情報を保護するために取るべき対策を具体的に説明しています。
フィッシングリンクをクリックしてしまった場合の緊急対策
フィッシング攻撃は、個人情報やセキュリティにとって深刻な脅威です。誤ってリンクをクリックしてしまったり、詐欺サイトにアクセスクしてしまった場合は、被害を最小限に抑えるために迅速な対応が重要です。以下に、その際の対処法を説明します。
まずは、さらなる情報の入力を避ける
フィッシングリンクをクリックした後で個人情報または決済情報の入力を求められた場合は、情報を入力しないでください。
フィッシングサイトはできるだけ本物のように見えるように設計されていますが、入力した情報はすべて詐欺師に収集される可能性があります。
次に、デバイスを保護しておく
-
ウイルス対策ソフトまたはマルウェア対策ソフトでデバイスのスキャンを実行する
ウイルス対策ソフトまたはマルウェア対策ソフトでデバイスのフルスキャンを実行してください。これらのツールは、リンクをクリックした際に悪意のあるソフトウェア(マルウェア)がインストールされていないかをチェックしてくれます。最新のサイバーセキュリティツールの多くは、一般的なフィッシング関連のマルウェアを検知して隔離し、デバイスとデータを保護得ることができます。 -
パスワードを更新する
メール、銀行口座、オンラインショッピングサイトなど、重要なアカウントのパスワードを直ちに変更してください。新しいパスワードは、固有で強力な、推測されにくいものにしてください。複数のアカウントに同じパスワードを使用することは避けてください。(同じパスワードにしていると、1つのアカウントが侵害されれば、他のアカウントもリスクに晒されます。) -
2要素認証(2FA)を有効にする
セキュリティをさらに強化するため、重要なアカウントには2要素認証(2FA)を有効にしてください。追加でこの対策をしておくと、スマホやメールに送信されたコードを入力するか、認証アプリを使用することがログイン時に必須となります。つまり、たとえ攻撃者があなたのパスワードを手に入れた場合でも、2FAにより、2つ目の認証ステップをクリアしないとログインしてアカウントと情報を盗むことはできません。
その後、怪しい行動が発生していないかを監視する
デバイスを保護したら、アカウントや資金関連における異常な行動・操作がないかを監視することが重要です。
-
資金関連・引き落としなどの情報を確認
銀行およびクレジットカードの明細書を注意深く確認してください。自分が行っていない引き落とし・請求・購入などがないかを確認してください。そのようなものを見つけた場合は、すぐに銀行に報告し、取引を拒否してください。 -
お持ちのアカウントのアクティビティを確認する
メール、SNS、その他のオンラインアカウントを調べて、不審なアクティビティがないか確認してください。自分が送信していないメール、アカウント設定の変更、知らないデバイスがアカウントにアクセスしていることなどがないか確認してください。何か異常があることに気づいたら、セキュリティ設定を更新し、パスワードをリセットすることがおすすめです。 -
(該当する場合)信用情報の凍結を検討する
金融情報を詐欺リンク先で提供してしまった場合は、なりすましによる被害を防ぐために信用情報の凍結を検討してください。これにより、第三者があなたの名前で新たな信用枠を開設することができなくなります。この措置が必要かどうか不明な場合は、信用調査機関またはサイバーセキュリティの専門家に相談してください。
加えて、フィッシングの被害を報告する
フィッシング詐欺に遭ったことを報告しておくことは、当局によるサイバー犯罪の追跡と防止に役立つので、重要です。
-
銀行または関連企業に通知する
個人情報や財務情報が侵害された場合は、銀行、クレジットカード会社、またはその他の関連機関に直ちに通知してください。 これらの機関は、不正行為を監視し、追加のセキュリティ対策を講じることができます。 -
フィッシング対策機関に報告する
フィッシングの試みは、フィッシング対策ワーキンググループ(APWG)などのサイバー犯罪対策を専門とする機関に報告してください。報告することで注意喚起につながり、攻撃者の追跡に役立つ可能性があります。 -
連絡先に警告
フィッシングリンクが人気のメールやメッセージングプラットフォーム経由で送られてきた場合は、その連絡先に攻撃があったことを知らせてください。場合によっては、フィッシングの試みがあなたのアカウントを通じて友人や同僚に広がっている可能性もあります。同じ詐欺に引っかからないよう、彼らに警告することが重要です。
フィッシング詐欺への防止策
オンラインでの存在を保護するための積極的な措置を講じることで、今後のフィッシング攻撃を回避することができます。 こうした事件を防ぐ最も効果的な方法の2つは、信頼できるセキュリティソフトウェアを使用することと、セキュリティ対策を追加してアカウントのパスワードを定期的に更新することです。
セキュリティソフトウェアを使用する
セキュリティソフトウェアは、フィッシング詐欺やその他のサイバー脅威に対する第一の防御手段です。優れたセキュリティスイートには、安全なブラウジング、悪意のあるリンクのブロック、マルウェアからのデバイス保護に役立つ機能が含まれているはずです。
以下のような機能があるか確認してください。
-
安全なブラウジングとフィッシング対策:多くのセキュリティプログラムには、フィッシングサイトをブロックし、疑わしいリンクを警告する機能が含まれています。これらのツールは、フィッシングやその他の詐欺で知られるサイトにアクセスしようとした際に警告を発し、悪質なクリックが被害をもたらす前に回避するのに役立ちます。
-
自動スキャンとマルウェア対策:総合セキュリティソフトウェアは、定期的にデバイスをスキャンしてマルウェアを検出し、見つかった脅威を除去します。これにより、スパイウェアやその他の悪意のあるプログラムが機密情報を収集するのを防ぎます。
-
安全なブラウジングのためのブラウザ拡張機能:一部のセキュリティスイートには、ブラウジング中に追加のセキュリティを提供するブラウザ拡張機能が含まれています。これらの拡張機能は、フィッシングの試みを即座に検出できるため、追加の保護レイヤーとなります。
パスワードとセキュリティ設定を定期的に更新する
強力で固有のパスワードとその他のセキュリティ対策を組み合わせることで、オンラインアカウントを確実に保護することができます。アカウントを効果的に保護する方法は以下の通りです。
-
強力かつ固有のパスワードを使用する:複数のアカウントに同じパスワードを使用することは避けましょう。一つのパスワードが漏洩した場合のリスクが高まります。強力なパスワードは少なくとも12文字の長さがあり、文字、数字、特殊文字を混ぜて使用します。LastPassやDashlaneなどのパスワードマネージャーを使用して複雑なパスワードを生成し、安全に保存することを検討してください。
-
2要素認証(2FA)を有効にする:2FAは、パスワードに加えて、スマホに送信されるコードや、アプリで生成されるコードを入力する必要があるため、セキュリティを強化する強力なツールです。攻撃者がパスワードを入手しても、この2段階目のステップなしにはアカウントにアクセスできません。
-
パスワードを定期的に更新する:パスワードを定期的に更新することで、ハッカーがあなたのアカウントに長期間アクセスすることが難しくなります。セキュリティを強化するために、銀行やメールアカウントなど、最も機密性の高いパスワードは数か月に一度変更するようにリマインダーを設定しましょう。
当社AdGuardのフィッシング詐欺対策ソリューション
AdGuard製品は、フィッシングリンクをクリックした後に発生する複数のリスクに対処できる包括的な保護を提供します。
AdGuardの各製品がフィッシング詐欺に対してどのように役立つかについては、以下をご覧ください。
AdGuard 使い捨てメール
「AdGuard 使い捨てメール」は使い捨てメールアドレスを提供してくれるので、フィッシングのリスクを回避するのに役立つツールです。
いろんなサービスに登録したり、オンラインオファーや試用版など試したりする必要がある場合、普段利用しているメールアドレスの代わりに一時的な捨てメールアドレスを使用することで、メインの受信トレイを安全に保ち、攻撃者による個人情報収集を防げます。
AdGuard 使い捨てメールは、メインのメールアドレスをフィッシングのリスクから保護する上で非常に重要であり、将来的な攻撃にさらされる可能性を低減します。
AdGuard 広告ブロッカー
AdGuard 広告ブロッカーは、ウェブサイト上の迷惑な広告を削除し、悪意のあるリンクをブロックすることで、フィッシング詐欺とのやりとりを防止します。
コンテンツをフィルタリングすることで、マルバタイジング(悪意のある広告)のリスクも低減します。マルバタイジングの目的は、ユーザーを騙して悪意のあるウェブサイトへのリンクをクリックさせたり、有害なソフトウェアを不注意でインストールさせたりすることです。
この先を見越したフィルタリングにより、感染したユーザーに対する、フィッシング詐欺師からのさらなるやりとりを阻止することができます。
AdGuard DNS
AdGuard DNS は、既知のフィッシングサイトや悪意のあるウェブサイトへのアクセスをネットワークレベルでブロックしてくれるので、ユーザーとインターネットの安全な仲介者という役を果たします。
フィッシングリンクをクリックした後、AdGuard DNSは有害なURLへのリクエストをリダイレクトすることで、デバイスが詐欺サイトに接続するのを防ぐことができます。
このDNSサービスは既知のフィッシングドメインをブロックするだけでなく、他の潜在的に危険なサイトもフィルタリングし、ネット閲覧をより安全にします。
AdGuard VPN
AdGuard VPN を使用すると、プライバシーが強化され、攻撃者がデバイスやブラウジングパターンに関する情報を収集する能力が制限されます。
VPNは、実際のIPアドレスを隠し、あなたのインターネット通信を暗号化することで、攻撃者がフィッシング詐欺を仕掛けるターゲットとしてユーザーを標的にすることを困難化します。
AdGuard VPN は特に、公共のWi-Fiネットワーク上(フリーWi-Fiなど)で誤ってリンクをクリックした場合に効果的です。
