「フィッシングメールのURLをクリックしてしまった…」
「個人情報を入力してしまったかもしれない…」
このような状況になると、焦ってしまう方も多いのではないでしょうか。
近年、Amazon や金融機関、宅配業者などを装ったフィッシング詐欺メールは増加しており、企業の従業員が被害に遭うケースも少なくありません。
フィッシング詐欺は、クリックしただけですぐに被害が発生するケースもあれば、ID・パスワードの入力や添付ファイルの開封によって被害が拡大するケースもあります。重要なのは、状況を確認して適切に対処することです。
この記事では、フィッシング詐欺をクリックしてしまった場合の対処法をケース別にわかりやすく解説します。あわせて、企業が行うべき再発防止策についても紹介します。
■□■ IT業務のお悩みや、コスト削減、セキュリティの強化などお考えなら、解決する方法がかならずあります!まずは初回相談無料のITボランチへご相談ください。 ■□
Contents
フィッシングメールとは
フィッシングメールとは、実在する企業やサービスを装って偽のメールを送り、個人情報やアカウント情報を盗み取る詐欺メールのことです。
近年は、Amazon、楽天グループ、銀行、クレジットカード会社、宅配業者などを装ったメールが多く確認されています。
例えば、以下のような件名で届くケースがあります。
- お支払い方法の確認が必要です
- アカウントが停止されました
- 不正ログインが検出されました
- 荷物のお届けに関するお知らせ
一見すると本物のメールのように見えますが、本文内のURLをクリックすると偽サイトへ誘導され、ログインIDやパスワード、クレジットカード情報などを入力させる手口が一般的です。
最近ではメールだけでなく、SMSを使った「スミッシング」や、SNSのダイレクトメッセージを悪用した手口も増えています。
フィッシング詐欺をクリックしてしまったらまず確認したいこと
フィッシングメールのURLをクリックしてしまっても、状況によってリスクは異なります。
まずは焦って何度も操作せず、「どこまで操作したか」を確認しましょう。
個人情報を入力したか
最初に確認したいのが、偽サイト上で情報を入力していないかです。
例えば以下の情報を入力してしまった場合は注意が必要です。
- ID・ログイン情報
- パスワード
- クレジットカード番号
- 銀行口座情報
- 氏名
- 住所
- 電話番号
- メールアドレス
情報を送信してしまうと、不正ログインや不正利用につながる可能性があります。
入力した内容を思い出し、早めに対処しましょう。
添付ファイルを開いたか
フィッシングメールの中には、URLではなく添付ファイルを開かせる手口もあります。
例えば以下のようなファイルです。
- Excel
- Word
- zipファイル
- 実行ファイル(.exeなど)
添付ファイルを開いたことで、マルウェアやウイルスに感染するケースもあります。
少しでも不安がある場合は、ウイルススキャンを行いましょう。
アプリ・ソフトをインストールしたか
「セキュリティ確認が必要です」
「アプリをインストールしてください」
このように誘導され、偽アプリや不正なソフトを入れてしまうケースもあります。
インストールしてしまうと、端末の情報を盗まれたり、遠隔操作されたりするリスクがあります。
使用端末を確認する
どの端末で操作したかも重要です。
- 会社のパソコン
- 社用スマートフォン
- 個人のスマートフォン
- 自宅PC
特に会社の端末でクリックした場合は、自分だけの問題ではなく、社内システムへの影響も考えられます。早めに社内担当者へ共有しましょう。
【ケース別】クリック後の対処法
クリック後の行動によって、必要な対応は異なります。ケースごとに確認しましょう。
URLをクリックしただけの場合
URLを開いただけで、何も入力していない場合は被害が発生していないケースもあります。
まずは以下を行いましょう。
- ページを閉じる
- それ以上操作しない
- ブラウザを閉じる
- 念のためセキュリティソフトでスキャンする
ただし、悪意あるサイトへアクセスしただけで不正プログラムが動作するケースもゼロではないため、違和感があれば社内のIT担当者へ相談しましょう。
ID・パスワードを入力した場合
IDやパスワードを入力した場合は、すぐに対応が必要です。
- 正規サイトでパスワードを変更する
- 同じパスワードを使い回しているサービスも変更する
- ログイン履歴を確認する
- 多要素認証を設定する
二段階認証などを導入していない場合は、この機会に設定を検討しましょう。
クレジットカード情報を入力した場合
クレジットカード情報を入力した場合は、カード会社へすぐ連絡しましょう。
- カード利用停止
- 利用履歴確認
- 不正利用の相談
- 再発行手続き
対応が早いほど被害を抑えられる可能性があります。
銀行口座情報を入力した場合
銀行口座情報を入力した場合は、利用している金融機関へ連絡しましょう。
- 不正送金の確認
- 口座停止相談
- ログイン情報変更
被害が出ていなくても、早めの相談が重要です。
添付ファイルを開いた場合
添付ファイルを開いた場合は、マルウェア感染の可能性があります。
- インターネット接続を切る
- 社内ネットワークから切り離す
- セキュリティソフトでスキャンする
- 情シス担当へ報告する
企業PCの場合は自己判断で対応せず、社内ルールに従いましょう。
アプリをインストールした場合
不正アプリをインストールした場合は、被害が広がる可能性があります。
- 社内担当者へ報告
- 不審な権限設定を確認
- クレジットカード登録有無を確認
- 必要に応じて専門業者へ相談
勝手に削除すると調査が難しくなる場合もあるため、企業端末ではまず相談することをおすすめします。
【無料診断を実施中】社内のIT環境にお悩みの方はぜひご利用ください
たった3分の入力でできる簡単なチェックをしてみませんか?
簡単なアンケートにお答えいただくと、あなたの会社に必要な対策を後日お届けします!
無料でご利用いただけますので、ぜひこの機会にお試しください。
⇒無料のIT診断はこちらから
会社のパソコンでクリックしてしまった場合の対応
会社のパソコンでフィッシングメールをクリックしてしまった場合、個人利用の端末よりも影響範囲が大きくなる可能性があります。
社内システムへの不正アクセスや、他の端末へのマルウェア感染につながるケースもあるため、早めの対応が重要です。
すぐに社内の情シス・管理者へ報告
「怒られるかもしれない」「自分で解決したい」と思って報告を遅らせるのは危険です。
被害が広がる前に、以下の内容を社内担当者へ共有しましょう。
- いつクリックしたか
- どのメールを開いたか
- 何を入力したか
- 添付ファイルを開いたか
- アプリをインストールしたか
早く共有するほど、被害を最小限に抑えやすくなります。
社内ネットワークから切り離す
添付ファイルを開いた場合や、不審な動作がある場合はネットワークから切り離しましょう。
- Wi-Fiをオフにする
- LANケーブルを抜く
- VPNを切断する
これにより、他の端末への感染拡大を防げる可能性があります。
メールを削除する前に報告
すぐ削除したくなりますが、メールは調査に必要になる場合があります。
- 送信元アドレス
- メール本文
- 添付ファイル
- 記載URL
これらの情報が原因調査に役立つことがあります。削除前に担当者へ確認しましょう。
他社員にも注意喚起する
フィッシングメールは同じ企業内に一斉送信されているケースがあります。
自分だけで終わらせず、社内で注意喚起を行うことで被害拡大を防げます。
例えば、
「この件名のメールに注意してください」
「添付ファイルを開かないでください」
といった共有が有効です。
フィッシングメールの見分け方
フィッシングメールは年々巧妙になっていますが、不自然な点が残っていることも少なくありません。
普段から以下のポイントを確認する習慣をつけましょう。
送信元アドレスが不自然
企業名が表示されていても、実際のメールアドレスを見ると怪しいケースがあります。
例
- 正規ドメインではない
- 意味不明な文字列が含まれている
- 海外ドメインになっている
差出人名だけで判断しないことが重要です。
日本語が不自然
海外から作成された詐欺メールでは、不自然な日本語が使われることがあります。
例
- 不自然な敬語
- 漢字変換ミス
- 不自然な文章表現
最近は自然な文章も増えているため、これだけで判断しないよう注意しましょう。
URLのドメインが怪しい
本文内のURLは特に注意が必要です。
例えばAmazon を装っていても、
- amazon-security〇〇.com
- amazon-login〇〇.net
のように、正規ドメインではないケースがあります。
クリック前にURLを確認する習慣が重要です。
急いで対応させようとする文面
フィッシングメールは利用者を焦らせる文面が多い傾向があります。
- 本日中に対応してください
- アカウント停止まで残り24時間
- 不正利用が発生しています
焦って判断しないことが大切です。
企業が行うべきフィッシング対策
個人の注意だけでは、フィッシング被害を完全に防ぐことは難しい時代です。
企業として対策を進めることが重要です。
社員教育を行う
従業員がフィッシングメールを見抜けるよう、定期的な教育を行いましょう。
- 注意すべきメールの特徴共有
- 標的型メール訓練
- 報告フローの周知
「怪しいと思ったら相談する」文化づくりも重要です。
OS・ブラウザを最新化する
古いOSやブラウザは脆弱性を悪用されるリスクがあります。
- Microsoft Windows 更新
- Google Chrome 更新
- Microsoft Edge 更新
- セキュリティソフト更新
定期的なアップデートを徹底しましょう。
多要素認証を導入する
ID・パスワードが流出しても、不正ログインを防ぎやすくなります。
2段階認証などの多要素認証を導入することで、被害リスクを軽減できます。
特に以下のサービスでは優先的に設定したいところです。
- メール
- クラウドサービス
- 社内システム
- インターネットバンキング
セキュリティ相談先を確保しておく
中小企業では専任の情シス担当者がいないケースも少なくありません。
「トラブル時に誰へ相談すればいいかわからない」状態だと、対応が遅れやすくなります。
外部のIT支援会社やセキュリティ相談先を確保しておくことで、万が一の際も迅速に対応しやすくなります。
社内にIT担当者が不足している場合は、IT運用やセキュリティ対応を外部に相談する方法も検討するとよいでしょう。
フィッシング詐欺は「クリック後の初動」が重要
フィッシングメールをクリックしてしまうと、誰でも焦ってしまうものです。
しかし、慌てて何度も操作すると、被害を広げてしまう可能性があります。
まずは落ち着いて、以下を確認しましょう。
- URLをクリックしただけか
- IDやパスワードを入力したか
- クレジットカード情報を入力したか
- 添付ファイルを開いたか
- アプリをインストールしたか
状況を整理したうえで、必要な対応を早めに行うことが重要です。
また、会社のパソコンや社用スマートフォンで操作してしまった場合は、自分だけで判断せず、社内の情シス担当者や管理者へすぐに報告しましょう。早期対応によって、情報漏えいやマルウェア感染などの被害を最小限に抑えられる可能性があります。
社内のセキュリティ対策やIT管理に不安がある場合は、ITボランチのような外部サポートを活用するのも一つの方法です。
