Day3：フィッシング・なりすまし・ビジネスメール詐欺を防ぐ「だまされない確認術」

はじめに

セキュリティ事故でいちばん多い入口は、「すごい技術の攻撃」よりも、人をだます方法です。

しかも、だまし方はとても“日常”に似せてきます。たとえば「宅配」「支払い」「アカウント確認」「上司からの至急依頼」など、忙しい時ほど反応してしまう言葉が使われます。

IPAの「情報セキュリティ10大脅威 2026」でも、個人向けにはフィッシングや不正ログインなどが挙げられ、組織向けにはビジネスメール詐欺や標的型攻撃などが挙げられています。

本文

そもそも何が起きる？「だまし」の3パターン

「だまし」は大きく3つに分けると理解しやすいです。

1. ログイン情報を盗む：偽サイトに誘導して、ID・パスワードを入力させる（フィッシング）


2. お金を動かす：振込先変更や至急支払いを装って送金させる（ビジネスメール詐欺など）


3. 端末を操作させる：電話・画面表示で不安をあおり、遠隔操作や支払いをさせる（サポート詐欺など）

ポイントは、どれも「今すぐ」「確認しないで」「急いで」という状況を作ることです。

見抜くコツ：怪しいサイン10個

全部覚える必要はありません。3つでも当てはまったら止まるで十分です。

• 「至急」「本日中」「アカウント停止」など、強い言葉で焦らせる


• 差出人名は本物っぽいのに、メールアドレスが微妙に違う


• リンク先が短縮URL、または見た目と違う


• 日本語が不自然、言い回しが妙に堅い／逆に雑


• 添付ファイルを開かせようとする（請求書・領収書など）


• 「パスワードを再入力」「カード情報を確認」など、入力を促す


• いつもと違う振込先、いつもと違う決済方法を指定してくる


• 上司・取引先になりすまして、個別に連絡してくる


• 「この件は内密に」「他の人に言わないで」と言ってくる


• 電話番号や問い合わせ先が、公式サイトと一致しない

今日から効く：確認ルール（個人・会社共通）

対策は“気合い”では続きません。ルール化が効きます。

1. リンクは原則踏まない：メールやSMSのリンクではなく、公式アプリ／ブックマークから開く


2. 入力は一回止まる：ID・パスワード・カード情報を入力する前に、必ず深呼吸して確認


3. 別ルートで確認：メールの返信ではなく、いつも使っている電話番号・チャットで確認


4. 端末操作はしない：電話で「アプリを入れて」「画面共有して」は基本NG


5. 困ったら誰かに見せる：会社なら上長／情シス、個人なら家族や詳しい人に一度共有

中小企業・個人事業主向け：お金が動く場面の守り

組織で一番痛いのは「送金してしまった」「請求書を装われた」です。ここは仕組みで止めます。

• 振込先の変更は、メールだけで確定しない（必ず電話など別手段で確認）


• 支払いは二人で見る（経営者＋経理、担当＋上長など）


• 高額・初回・変更時は“待つルール”（最低30分置いて再確認）


• 請求書の受け取り方法を固定する（例：特定の窓口メール／特定のクラウド）


• 取引先リストの連絡先を整備（困った時に“正しい番号”へすぐかけられる）

やってしまった時：最初の30分でやること

「やばいかも」と思ったら、早いほど被害は小さくできます。

1. パスワード変更：まずメールと主要サービス。可能ならログイン中の端末を確認し、見覚えのない端末はログアウト


2. 2段階認証をON：まだなら最優先で設定


3. カード・決済の停止：不正利用が疑わしければカード会社・決済サービスに連絡


4. 会社の人へ共有：仕事に関係するなら、上長や担当部署へ早めに共有（被害拡大を防ぐ）


5. 送金してしまった場合：すぐに銀行へ連絡（取り戻せる可能性は“早さ”に左右されます）

今日のチェックリスト

• 「リンクは踏まない。公式を自分で開く」を自分のルールにした


• 振込先変更・至急支払いは「別ルート確認」をルール化した


• 支払いのダブルチェック（2人確認）を決めた（できる範囲でOK）


• 端末の「不審な操作要求（遠隔操作・画面共有）」は断ると決めた


• 困った時に連絡する先（会社／カード会社／銀行）をメモした

まとめ＋要約

• 「だまし」は、ログイン情報を盗む／お金を動かす／端末を操作させるの3つが中心


• 最強の対策は、気合いではなく「リンクを踏まない」「別ルート確認」などのルール化


• 中小企業・個人事業主は、支払い・振込先変更の場面に“止まる仕組み”を作ると被害が減る