国内ISPの認証情報を悪用したとみられるフィッシングメールが報告され、メールアカウントの乗っ取りが詐欺メールの信頼感を高めるリスクが改めて浮き彫りになっています。
今回の注意点は、怪しい差出人だけを避ければよい段階ではないことです。
実在するメールアカウントや見慣れたサービス名が使われると、受信者は「本物かもしれない」と感じやすくなります。
そこで大切なのは、メッセージの見た目ではなく、アクセス経路と入力前の確認手順を固定することです。
今回の注意喚起で見えてきたこと
フィッシング対策協議会は、国内ISPの認証情報を不正利用して送信されたとみられるフィッシングメールについて緊急情報を公開しています。
同協議会は、クレジットカード、通販、配送トラブルなどを装う件名が使われていると説明し、本文のリンクから情報を入力しないよう注意を促しています。
KDDIの発表資料では、ISP事業者向けメールシステムへの不正アクセスを確認し、対象となる6社のメールサービスで、メールアドレスとパスワードが最大1,422万件漏えいした可能性があるとされています。
この数字は調査中の最大値として示されたものですが、メールアカウントのパスワードを使い回している人にとっては、他サービスへの不正ログインにもつながり得る重要な警告です。
危険なのは「急がせる理由」が自然に見えること
警察庁は、携帯電話会社、宅配業者、金融機関などをかたるメールやSMSから本物そっくりの偽サイトへ誘導する事例が多数確認されていると説明しています。
文面では「個人情報の漏えい」「不正アクセス検知」「取引停止」など、受信者を急がせる理由が使われやすい傾向があります。
今回のようにメール送信元の信頼性が偽装されると、文面の違和感だけで見抜くのは難しくなります。
そのため、次のような行動を個人と組織の共通ルールにしておく必要があります。
- メールやSMSのリンクからログインしない。
- 公式アプリ、ブックマーク、ブラウザーに直接入力したURLからアクセスする。
- カード番号、認証コード、電話番号、メールアドレスを入力する前に一度止まる。
- 要求された手続きが本当に必要か、公式窓口で確認する。
- 身に覚えのない認証コードが届いたら、該当サービスのパスワードとログイン履歴を確認する。
まず確認したい初動チェック
不審なメールを受け取ったときは、焦って正体を判定しようとするより、被害が広がる経路を閉じるほうが確実です。
| 状況 | すぐ行うこと | 避けること |
|---|---|---|
| メールやSMSのリンクを開いた | ページを閉じ、公式アプリまたはブックマークからサービスを開く | 開いたページでログインや支払い情報入力を続ける |
| IDやパスワードを入力した | 公式経路からパスワードを変更し、同じパスワードを使う他サービスも変更する | 同じパスワードを一部だけ変えて使い続ける |
| カード番号や認証コードを入力した | カード会社、金融機関、サービス窓口へ連絡し、利用停止や再発行を相談する | 不審な請求が出るまで様子を見る |
| 身に覚えのない利用履歴がある | 明細を保存し、事業者と警察相談窓口へ相談する | 証拠になり得るメールや画面をすぐ削除する |
メールアカウントを守る設定
漏えいが疑われるメールアドレスを使い続ける場合、パスワード変更だけでは足りないことがあります。
攻撃者は、取得済みのメールアドレスに対して、別サービスのパスワード再設定、認証コードの奪取、過去メールからの個人情報収集を試みる可能性があります。
最低限、次の設定を確認してください。
- メールアカウントのパスワードを、他サービスと重複しない長いものに変える。
- 多要素認証またはパスキーが使える場合は有効化する。
- ログイン通知、転送設定、連携アプリ、復旧用メールアドレスを確認する。
- 迷惑メールフィルターとSMSフィルターを有効にする。
- 古い端末や使っていないメールアプリからのログインを解除する。
フィッシング対策協議会も、パスワードの使い回しを避け、多要素認証やパスキーなどサービス事業者が提供するセキュリティ機能を使うことを推奨しています。
企業やチームで決めておくべきこと
詐欺メール対策は、個人の注意力だけに任せると破綻しやすくなります。
特に顧客対応、経理、採用、EC運営、サイト管理に関わるチームでは、だれが見ても迷わない運用ルールが必要です。
- パスワード再設定、請求、返金、配送変更の依頼は、メール本文のリンクでは処理しない。
- 外部サービスのログイン情報を共有チャットに貼らない。
- 緊急の支払い変更依頼は、別経路の電話や社内承認で確認する。
- 不審メールの報告先を社内で一本化する。
- 顧客へ注意喚起を出す場合は、正式な問い合わせ窓口と確認方法を明記する。
詐欺側は「急ぎ」「重要」「制限」「未払い」「配送不能」といった言葉で判断時間を奪います。
チーム側は、急ぎの依頼ほど手順を省略しないというルールで対抗する必要があります。
相談先と通報先を先に決めておく
被害が起きてから相談先を探すと、判断が遅れます。
警察庁は、フィッシング被害に遭った場合は、最寄りの警察署またはサイバー事案に関する通報等のオンライン受付窓口に相談するよう案内しています。
また、IPAの情報セキュリティ安心相談窓口は、ウイルスや不正アクセスなど一般的な情報セキュリティ相談に助言を提供しています。
カード会社、金融機関、通信会社、ECモール、職場の情報システム担当など、自分が使う主要サービスの正規窓口も、ブックマークやメモに整理しておくと初動が速くなります。
FAQ
メールの差出人が本物に見えれば安全ですか。
安全とは限りません。
警察庁は、メールの送信元名称や送信元メールアドレスは偽装でき、表示だけで真偽を判断するのは困難だと説明しています。
リンクを開いただけなら何もしなくてよいですか。
個人情報を入力していなければ被害の可能性は下がりますが、公式経路からログイン履歴を確認し、不審なアクセスがあればパスワードを変更してください。
漏えいした可能性のあるメールアドレスは捨てるべきですか。
すぐに全員が変更できるわけではありません。
ただし、パスワード変更、多要素認証、転送設定の確認を行い、重要アカウントの連絡先として使い続けるかは慎重に見直すべきです。
家族や同僚には何を共有すればよいですか。
「リンクから入らない」「公式アプリかブックマークから確認する」「認証コードを他人に伝えない」「困ったら正規窓口に相談する」の4点を共有するだけでも効果があります。

