〜怪しいと思ったら、こう確認する〜
こんなメール、受信したことありませんか?
差出人: ヤマト運輸 <[email protected]>
件名: 【再配達のお願い】お荷物のお届けにあがりましたが不在でした
いつもヤマト運輸をご利用いただき、誠にありがとうございます。
本日、お客様宛のお荷物をお届けにあがりましたが、ご不在のため持ち戻りとなりました。お手数をおかけしますが、下記URLより再配達のお手続きをお願いいたします。
▼再配達のお申し込みはこちら
https://www.kuronekoyamato.co.jp/redelivery/
※48時間以内にお手続きがない場合、お荷物は発送元へ返送されます。
ヤマト運輸株式会社
お客様サービスセンター
初心者編で紹介したメールと比べると、ぐっと巧妙になっています。
- 日本語は自然
- 文面も落ち着いていて煽りが少ない
- 差出人名も「ヤマト運輸」で違和感が薄い
- リンクの表示も
kuronekoyamato.co.jpで本物っぽい
「これ、本物では?」と思った方もいるかもしれません。実はこのメール、初心者編の4つのチェックでは見抜きにくいタイプの迷惑メールです。
宅配便の不在通知を装ったフィッシングメールは、近年もっとも被害が多い手口のひとつ。誰でも荷物の心当たりがある時期があるため、つい開いて押してしまいやすいのです。
初心者編のおさらい
まずは初心者編で紹介した4つのチェックポイントを振り返りましょう。
| 危険ポイント | 見抜くコツ |
|---|---|
| 差出人の偽装 | アドレスのドメイン部分(@以降)を確認 |
| 煽る文面 | 「すぐに」「停止」「危険」など焦らせる表現に注意 |
| 不自然な日本語 | 日本語として意味が通るか確認 |
| 偽リンク | 実際のURLと表示内容が一致しているかマウスオーバーで確認 |
これらは今でも有効な基本のチェックですが、最近の迷惑メールは「日本語が自然」「文面が落ち着いている」など、目視チェックだけではすり抜けてしまうものが増えています。
そこで中級者は、「怪しいかも」と思ったら手を動かして確認するステップに進みます。具体的なアクションは次の4つです。
【ACTION 1】URLを”読む”クセをつける
URLは左から右へ流し読みするのではなく、「本体ドメインはどこか」を見抜く読み方が必要です。
たとえば次のURL、どこが本体ドメインかわかりますか?
https://www.amazon.co.jp.verify-account.net/login
一見「amazon.co.jp」が含まれているので本物っぽく見えますが、本体ドメインは末尾側にある verify-account.net です。「amazon.co.jp」の部分は、ただのサブドメイン(前置き)として使われているだけ。
URLは 「.(ドット)で区切って、右から2つ目までが本体ドメイン」 と覚えておくと判断しやすくなります。
冒頭のサンプルメールの差出人アドレス [email protected] も、同じ理屈です。本物のヤマト運輸は kuronekoyamato.co.jp を使っていますが、こちらは kuronekoyamato-info.com という別ドメイン。ハイフンで本物っぽい単語をつなげるのは、よくある偽装パターンです。
➡ それでも判断に自信がないときは、次に紹介する SecURL で安全に中身を確認できます。
【ACTION 2】短縮URL・QRコードは”展開”してから判断する
最近の迷惑メールは、以下のような形でリンク先を隠してくることが増えています。
- 短縮URL:
https://bit.ly/3xxxxxのように、本来のリンク先がわからない - QRコード: メール本文に画像で貼られていて、URLが目視できない(「クィッシング」と呼ばれる手口)
これらは「クリック・読み込みするまで飛び先がわからない」のが厄介な点です。
そこでおすすめしたいのが、無料のURL安全チェックサービス SecURL(セキュアール) です。
SecURLにURLを入力すると、仮想のブラウザがあなたの代わりにそのページを開いて、画像(キャプチャ)で見せてくれます。つまり、自分のPCやスマホで実際にアクセスすることなく、リンク先がどんなページなのかを安全に確認できるサービスです。
さらに、以下のような機能もあります。
- 短縮URLを展開して、最終的な飛び先まで追跡
- ウイルスや詐欺サイトかどうかの判定
- ページ内のリンク先まで含めた解析
「怪しいけど、確認だけはしたい」というときの強い味方です。ブックマークに入れておくことをおすすめします。
【ACTION 3】添付ファイルは開く前に立ち止まる
リンクだけでなく、添付ファイルも危険な迷惑メールの定番手口です。特に以下の拡張子のファイルは要注意。
| 拡張子 | 危険性 |
|---|---|
| .exe / .scr / .bat | プログラムが直接実行される。ほぼ確実に危険 |
| .zip / .rar(パスワード付き) | 中身がウイルス対策ソフトでスキャンできないため悪用されやすい |
| .docm / .xlsm | マクロ付きOfficeファイル。マクロを有効化するとウイルスが動く |
| .iso / .img | ディスクイメージを装ってマルウェアを忍ばせる手口 |
また、拡張子偽装にも注意が必要です。たとえば 請求書.pdf.exe というファイルは、PDFに見えて実体はexe(プログラム)。Windowsの初期設定では拡張子が省略表示されるため、請求書.pdf までしか見えず、誤って開いてしまいがちです。
➡ 心当たりのない添付ファイルは、開く前に送信者へ別の経路(電話やチャット)で確認するクセをつけましょう。「このメール送りました?」のひと言で防げる被害は驚くほど多いです。
【ACTION 4】”公式で確認する”が最強のチェック
ここまで色々なチェック方法を紹介してきましたが、もっとも確実で、もっとも効果のある方法は実はとてもシンプルです。
メール内のリンクは一切クリックせず、公式サイト・公式アプリから自分でログインして確認する。
これだけです。
冒頭のヤマト運輸のサンプルメールを例にすると、本当に荷物の不在通知があるかどうかは、
- ブックマークしてある公式サイトを開く
- スマホの「クロネコメンバーズ」アプリを起動する
このどちらかで、自分のアカウントにログインすれば確認できます。本当に荷物があれば、当然そこにも情報が出ているはずです。
メール内のリンクを使わなければ、たとえ偽サイトに誘導するメールだったとしても、被害にはつながりません。
➡ 「リンクを踏む前に、自分から公式に行く」。このひと手間を習慣にすれば、フィッシング被害のほとんどは防げます。
まとめ:「クリック前のひと手間」が分かれ道
中級者がやるべき4つのアクションを表にまとめます。
| アクション | 具体的にやること |
|---|---|
| URLを”読む” | ドット区切りで本体ドメインを見抜く |
| 短縮URL・QRを展開 | SecURLで安全にリンク先を確認 |
| 添付ファイルを疑う | 拡張子と送信元を確認、不審なら別経路で問い合わせ |
| 公式で確認する | メール内リンクは踏まず、ブックマーク・公式アプリから |
迷惑メールは年々巧妙化しており、初心者編の「見た目チェック」だけでは見抜けないものが増えています。しかし、「クリックする前にひと手間かける」だけで、被害のほとんどは防げます。
それでも判断に迷ったら、ひとりで決めずに上司や同僚、情シス担当に相談しましょう。「これ怪しくないですか?」と一声かけられる職場の空気こそが、最強のセキュリティ対策でもあります。
次回の上級者編では、ここからさらに一歩進んで、メールの裏側にある「ヘッダー情報」や、SPF / DKIM / DMARC という仕組みを使って、自分が騙されないだけでなく、自社ドメインがなりすましに悪用されるのを防ぐ方法を解説します。ぜひあわせてご覧ください。
055-928-6500 
お問い合わせはこちらから
