こどもITラボ No.5|セキュリティ

フィッシング詐欺の見分け方

「【重要】アカウントが停止されました」「宅配便のお荷物のお届けにあがりましたが不在でした」。こうしたメールやSMSには、フィッシング詐欺が混ざっています。フィッシング対策協議会などでも注意喚起が続いており、手口は年々変わります。本記事では、見分けるためのチェックポイントを整理します。

そもそもフィッシング詐欺とは

フィッシングとは、有名企業や銀行・宅配会社になりすました偽のメール・SMSで偽サイトに誘導し、IDやパスワード、クレジットカード番号を盗む詐欺です。「fish(魚釣り)」と「sophisticated(洗練された)」をかけた造語と言われています。エサに魚が食いつくように、本物そっくりのページに人を誘い込みます。中高生も、ゲーム・SNS・ECサイトを使うため狙われます。

典型的な手口の流れ

実際のフィッシングSMSの例:本物の通知と何が違うか 中高生がよく受け取る「宅配・通販・銀行」を装った典型例 × 偽SMS(フィッシング) +1 555-0143 2026/05/04 14:23 【ヤマト運輸】 お荷物のお届けにあがり ましたがご不在の為持ち 帰りました。 ▶ http://kuronekoyama- to.duckdns.org/jp ※24時間以内に確認してください 怪しいポイント ▶ 国際電話番号(+1や+86)から ▶ URLが「ヤマト運輸」じゃない ▶ 「duckdns.org」など見慣れない ▶ 緊急性をあおる文面 ○ 本物の通知 クロネコメンバーズ 2026/05/04 14:23 クロネコメンバーズ 本日午後にお届けします。 時間変更・受取場所変更 は公式アプリから。 ▶ アプリで確認 (リンクは記載しない/アプリのプッシュ通知) 本物の特徴 ▶ 公式アプリ経由で届く ▶ SMSにはURLが入らないことが多い ▶ 急かさず、複数の確認方法を提示 ▶ ログイン情報を聞かない
図1:フィッシングSMSと本物の違い。「公式アプリで開く」習慣があれば、リンク詐欺はほぼ防げる

注目すべきは、入力した直後に「ログインに失敗しました。本物のサイトに移動します」と出て、本物に飛ばされる手口があること。被害者は「あれ、間違えたのかな」と気づかないまま、IDとパスワードを盗まれてしまいます。

見分けるための5つのチェックポイント

URLでフィッシングを見抜く(中高生がよく狙われるサービス) 「ドメイン」を最後の/の前で読む。怪しいパターンを覚えると即気付ける サービス ○ 本物のURL(覚える) × フィッシングのよくあるURL Amazon 通販大手 amazon.co.jp www.amazon.co.jp amazon-jp.com amaz0n.co.jp(0=ゼロ) Apple ID iPhone・Mac共通 appleid.apple.com id.apple.com apple-id.support appleid-jp.com LINE 中高生定番 line.me 公式アプリのみが基本 line-jp.net line-account.tk ヤマト運輸 不在通知の偽装多発 kuronekoyamato.co.jp 公式アプリで確認推奨 kuroneko-yamato.duckdns.org yamato-jp.cn 三井住友・楽天等 銀行・カード会社 smbc.co.jp / rakuten.co.jp https:// で始まる公式 smbc-card.security.com rakuten-cards.cn ▶ 偽装パターンの共通点 ・ハイフンで「-jp」「-account」「-security」を足す ・「.co.jp」を「.com」「.net」「.cn」に ・「amazon」を「amaz0n」「amazom」に ・無料サブドメイン(duckdns.org, tk)を使う
図2:本物のURLと偽装URLの対比。本物のドメインを覚えておくと、SMSやメールで一目で見抜ける

①URLを見るのは重要です。「example.co.jp」と「examp1e.co.jp」(エルを数字の1に)など、似た文字を使う偽装があります。スマホは画面が小さいので、URLを最後まで見る習慣をつけましょう。②差出人のメールドメインも要チェックです。③「24時間以内」「アカウント停止」の緊急性は典型パターン。④日本語が自然でも詐欺の可能性があります。⑤メールのリンクから飛ぶのではなく、ブックマークや公式アプリから開く習慣をつけましょう。

中高生がよく狙われるパターン

中高生は、宅配の不在通知(SMS)、ゲームの「アカウント停止」通知、SNSの「あなたのアカウントは規約違反」通知などで狙われます。DMで「このURLを見て」「投票して」「アカウント確認して」と送られるパターンもあります。最近は自然な日本語の詐欺文も増えているため、「日本語が変だから見分けられる」と考えないほうが安全です。

迷った時は、リンクを押す前に一度止まります。公式アプリを自分で開く、家族や先生に見せる、サービス名と「フィッシング」「詐欺」で検索する、という順番にすると被害を避けやすくなります。急がせる文面ほど、すぐ入力しないことが大切です。

気をつけたい落とし穴

フィッシングで陥りがちな失敗
  • 「とりあえずログインだけ確かめよう」とリンクから開く。IDを入力した時点で盗まれることがある
  • 家族の名前を語ったSMS(「新番号で連絡」など)を信じる。本人に別の方法で確認する
  • クレジットカード情報を入れた後にSMSの認証コードを入力。これで2段階認証も突破される

将来どう役立つ?

社会人になると、会社のメールに「請求書」「契約書」を装った詐欺メールが届くことがあります。1人のうっかりで会社の機密情報や顧客の個人情報が流出する場合もあります。フィッシングを見分ける目は、職場で重宝されるスキルです。

今日からできること

3ステップで始めよう
  1. 怪しいSMSが届いたら、URLを長押ししてリンク先のドメインを確認する習慣をつける
  2. よく使う通販・銀行・SNSは、公式アプリかブックマークから開くようにする
  3. 「フィッシング対策協議会」のサイトで最新の手口情報を月1回チェック

まとめ

フィッシングは、本物そっくりの偽サイトでIDやカード番号を盗む詐欺です。URL・差出人・緊急性の煽り・リンク先の開き方をチェックし、メール内のリンクは押さず公式アプリやブックマークから確認するのが基本です。日本語が自然な詐欺メールもあるので、見た目より「どこから開いたか」で判断しましょう。

関連記事

前の記事二段階認証とは? 次の記事偽サイトの見分け方 関連AIチャットの安全な使い方 関連インターネットはどう動いている?
← こどもITラボ一覧へ