【2026年版】フィッシングメール・SMSの見分け方｜偽サイトに個人情報を入れないための対策

広告・PRを含みます。この記事にはアフィリエイトリンクが含まれます。掲載内容は編集方針に基づいて作成していますが、価格・在庫・キャンペーン内容はリンク先で最新情報を確認してください。

Amazonからメールが来た、ロゴも本物っぽい。これ開いていいの…？🤔

「ロゴが本物」だけで信用しちゃダメです。最近のフィッシングは送信者名もロゴも文面も完全に本物のコピー。見た目だけで判別するのは、もう不可能と思ってください。

フィッシング対策協議会(事務局: JPCERT/CC)の集計では、日本国内のフィッシング報告件数は2024年は1〜11月だけで148万件超と過去最多(2023年は約120万件)。1日3,000件以上のペースで「本物そっくり」の偽メール・偽SMSが配信されています。Amazon、宅配、銀行を装ったものが大半で、文面の精度は年々上がっています。

被害を広げないために：同じパスワードを使い回している場合は、パスワード管理とMFAの見直しを優先してください。

ロゴも文面もそっくりなら、どうやって見分けるの？目視じゃ無理…

この記事では、フィッシングメール・SMS・偽サイトを「見抜く」のではなく「踏まない仕組み」を中心にまとめます。リンクの確認手順、家族で共有する合言葉、踏んでしまった時の初動まで、初心者でも今日から実践できる対策を整理しました。

「Amazonでアカウントが制限されました」「お荷物の配達に失敗しました」「証券口座でログインが検知されました」――こうしたメールやSMSは、誰のところにも届きます。送信者名、ロゴ、文面、リンク先のページまで本物そっくりに作り込まれており、一読しただけでは見抜けないものも少なくありません。

え、これ本物そっくりなら、もう見分けるの無理じゃない？

だから「全部を見抜く」より、「メールのリンクを押さない仕組み」を作る方が大事なんです。

大事なのは、すべてを目で見抜こうとすることではありません。リンクを踏まない仕組みと、入力してしまったときの初動を家庭の中で決めておくことです。この記事では、最新データで現状を確認しながら、フィッシングメール・SMS・偽サイトに対する実践的な対策をまとめます。

フィッシングとは？メール・SMS・偽サイトで個人情報を盗む詐欺

フィッシングって、メールだけの話だと思ってた。

今はSMS、電話、QRコードまで入口があります。だから“メールだけ気をつける”では足りません。

フィッシング(phishing)は、実在する企業やサービスをかたるメールやSMSを送りつけ、本物そっくりの偽サイトへ誘導して、ID・パスワード・クレジットカード番号などを入力させる詐欺です。入力された情報は、不正ログイン、不正送金、カードの不正利用、個人情報の転売などに使われます。

近年は、メールだけでなくSMS（スミッシング）、電話（ビッシング）、QRコードから偽サイトへ誘導する手口など、入口が多様化しています。本記事では、最も件数が多いメール・SMS・偽サイトを中心に解説します。電話やAI音声を使った手口を含む全体像は、後述する家族向け総合ガイドにまとめてあります。

2026年3月時点で見るフィッシングの現状

フィッシング対策協議会が公表している月次報告によると、2026年3月時点の月次報告では、フィッシング報告件数は122,381件で、前月から65,285件増（約114.3％増）と大幅に増加しました。

悪用されたブランドの内訳を見ると、Amazonが約20.9％、Appleが約10.5％を占め、これにマネックス証券・ANA・セゾンカードを加えた上位5ブランドだけで全体の約51.6％に達しています。日常的に多くの人が使うEC・カード・証券・航空サービスが、集中的に狙われている状況です。

ポイントは、「自分が使っていないサービスからのメール」だけでなく、「自分が普段使っているサービスからのメール」こそ要注意だという点です。本物のメールに紛れて届くため、警戒心が緩みやすくなります。

AmazonとかAppleって、普段から使ってるから逆に信じちゃいそう。

そこが犯人の狙いです。使っているサービス名で届くから、「自分宛ての本物かも」と思いやすいんです。

フィッシングメール・SMSのよくある手口

件名や本文にはパターンがあります。次のような言い回しは、フィッシングを疑う合図と考えてください。

典型例として、こうした文面を想定しておくと判断しやすくなります。

これ、忙しいときにスマホで見たら押しちゃうかも……。

だから、焦っているときほど開かない。メールではなく、公式アプリから確認する。これをルールにしよう。

「緊急」「制限」「本人確認」「24時間以内」というキーワードで焦らせ、偽サイトへ誘導するのが定番の構造です。落ち着いて読み返せば不自然さに気づけますが、忙しいときや夜中にスマホで見ると、つい押してしまうのが怖いところです。

見分け方のチェックポイント

差出人名だけで判断しない

差出人欄の「Amazon」「楽天」「ヤマト運輸」といった表示名は自由に設定できます。表示名ではなく、アドレスのドメイン部分（@より右側）を確認してください。

メールアドレスとドメインを確認する

「amazon-support.co.jp」「apple-id-check.com」のように、本物のドメインに似せた紛らわしいアドレスが使われます。少しでも違和感があれば、その時点で開かないのが安全です。

URLは押す前に確認する

パソコンならリンクにマウスを重ねると、画面下にリンク先URLが表示されます。スマホは長押しでプレビューできます。表示文字と実際のリンク先が違う場合は、ほぼフィッシングです。

日本語が自然でも信用しない

かつては不自然な日本語が見抜くヒントになりましたが、現在はAIで生成された自然な文面が当たり前です。「日本語が違和感ないから本物」という判断は、もう通用しません。

添付ファイル・QRコードにも注意

添付ファイル経由でマルウェアに感染するケース、QRコードを読み取らせて偽サイトへ誘導するケースも増えています。心当たりのない添付やQRは開かないでください。

メール認証の仕組み｜SPF・DKIM・DMARCをざっくり理解する

SPF？DKIM？DMARC？急に難しくなってきた……。

名前は覚えなくても大丈夫。ざっくり言うと、「このメールは本当にその会社から来たのか」を確認する仕組みをいいます。

メールには、送信元が本物かどうかを確認するための仕組みがあります。代表的なものがSPF・DKIM・DMARCの3つです。

一般の読者が毎回メールヘッダーを確認する必要はありません。Gmailなどの警告表示や迷惑メール判定の裏側で使われている仕組みだと理解しておけば十分です。受信側のメールサービスがこれらをチェックしてくれるおかげで、明らかななりすましメールの多くは迷惑メールフォルダに振り分けられます。

ただし、これらの認証を通過しているように見えるメールでも、本文内のリンク先が偽サイトだったり、正規サービスの一部機能を悪用していたりするケースがあります。メール認証だけで安心せず、最後はリンク先のドメインとログイン方法を自分で確認することが大切です。

見分けるだけでは危ない理由

「見分け方を覚えれば大丈夫」と思いがちですが、現在のフィッシングはそれだけでは追いつきません。理由は4つあります。

• 本物のメールをそのままコピーしている（ロゴ・文面・差出人表示がほぼ同じ）
• AIで生成された自然な日本語が当たり前になっている
• スマホではURL全体が見えにくい（短縮URL・末尾省略）
• 正規サービスの機能が悪用されることがある（クラウドストレージの共有リンクなど）

だからこそ、目で見抜く力よりも、「リンクを踏まずに公式アプリやブックマークから確認する」というルールを家庭の中で固定するほうが、はるかに効果的です。

受け取ったときの安全な対応

• メール内のリンクは押さない
• 公式アプリかブックマーク済みのURLからログインして状況を確認する
• 明らかなフィッシングは迷惑メール報告でメールサービスに学習させる
• 怪しいメールが来たことを家族にも共有する（同じ手口が他の家族にも届きます）
• 後で連絡先に連絡するためにスクリーンショットを残す

「公式アプリで確認する」を徹底するだけで、フィッシングのほとんどは無力化できます。アプリ内の通知センターやお知らせ欄に同じ内容がなければ、メール側はほぼ偽物です。

もし入力してしまったら、どこに連絡する？

もし入力しちゃったら、もう終わり？

終わりではありません。大事なのは、気づいた直後に止めること。カード会社・銀行・警察相談・188に早くつなげましょう。

万一、偽サイトに情報を入力してしまっても、初動の早さで被害を最小化できます。落ち着いて、入力した内容に応じて次の連絡先に連絡してください。

• 銀行口座やカード情報を入力した場合
  すぐに銀行・カード会社へ連絡し、利用停止や再発行を相談する。カード裏面の電話番号、または公式アプリ内のサポート窓口から連絡してください。
• 通販サイトやSNSのID・パスワードを入力した場合
  公式アプリやブックマークから正規サイトにログインし、パスワード変更・全デバイスからのログアウト・2段階認証（MFA）の設定を確認する。同じパスワードを他のサービスで使い回している場合は、すべて変更してください。
• 金銭被害や不正送金が起きた場合
  警察相談専用電話#9110、または最寄りの警察署に相談する。
• 詐欺かどうか判断できない・誰に相談すべきかわからない場合
  消費者ホットライン188に電話する。最寄りの消費生活相談窓口につないでもらえます。
• フィッシングメールや偽サイトを見つけた場合
  フィッシング対策協議会へ情報提供する。受信したメールや偽サイトのURLが、ブラウザの警告データベースなどに反映され、他の被害を防ぐことにつながります。

日頃からできる対策

パスワードを使い回さず、長く・ランダムに

フィッシング対策として一番効くのは、パスワードを使い回さないことです。1つのサービスでパスワードが漏れても、他のサービスへの不正ログイン（パスワードリスト攻撃）を防げます。

最近のセキュリティ基準では、短く複雑なパスワードよりも、長く、使い回さず、漏えいしていないパスワードを使うことが重視されています。「英大文字・小文字・数字・記号を無理に混ぜる」よりも、パスワードマネージャーでサービスごとに長いランダムなパスワードを自動生成し、使い回しを防ぐのが現実的です。詳しい作り方と管理方法は、こちらの記事にまとめてあります。

関連記事：パスワードの安全な作り方｜使い回しを防ぐ管理方法・MFA・パスキーまで解説

パスキーとMFA（多要素認証）を使う

対応しているサービスでは、パスキーを設定するのが最も強力です。パスキーは、そのサービスの正規のドメインでしか使えない仕組みになっているため、偽サイトにパスキーを「入力してしまう」こと自体が起こりません。フィッシングへの根本的な耐性があります。

パスキーに未対応のサービスでも、MFA（多要素認証）を必ず有効にしてください。SMS認証よりも、認証アプリ（Google認証システム、Microsoft Authenticator、1Password、Bitwarden、Aegisなど）の方がより安全です。

メールアドレスを使い分ける

銀行・証券・カードなど重要なサービス用のメールアドレスと、ショッピング・SNS用のメールアドレスを分けておくと、フィッシングメールが届いた時点で違和感に気づきやすくなります。

家族で「合言葉」と共有ルールを決める

家族の誰かに怪しいメールやSMSが届いたら、その場で家族のグループに転送して共有する。この一手間があるだけで、家族の他の誰かが同じ手口に引っかかるのを防げます。「銀行・カードの件は必ず家族に相談してから操作する」など、家庭内のルールを決めておくのもおすすめです。

家族全体での詐欺対策（偽SMS、ビッシング、AI音声詐欺なども含む）は、こちらの総合ガイドにまとめてあります。

関連記事：フィッシング詐欺対策まとめ｜偽SMS・ビッシング・AI音声詐欺から家族を守る方法

まとめ

結局、家族には何を伝えればいい？

まずはひとつだけ。「メールやSMSのリンクからログインしない」。これを家族ルールにするだけで、かなり防げます。

フィッシングは、見抜く力よりも「リンクを踏まない仕組み」で防ぐ時代になっています。最後に、家庭で固定したいルールをまとめます。

• メールやSMSのリンクは押さず、公式アプリかブックマークから確認する
• パスワードは使い回さない。パスワードマネージャーで管理する
• 対応サービスではパスキーを設定し、それ以外はMFAを有効化する
• 怪しいメールは家族に共有する
• 万一入力してしまったら、銀行・カード会社・#9110・188・フィッシング対策協議会に連絡する

迷ったときは、リンクを踏まない。これだけで、被害のほとんどは避けられます。

参考資料

• フィッシング対策協議会「フィッシング報告状況」月次報告
• NIST Special Publication 800-63B-4「Digital Identity Guidelines: Authentication and Authenticator Management」
• Google「DMARC を使用してなりすましや迷惑メールを防止する」（Google Workspace 管理者ヘルプ）
• 消費者庁「消費者ホットライン 188」
• 警察庁「警察相談専用電話 #9110」