メールの本当の送信元アドレスやリンク先の確認方法
目次
実在する企業名を騙った電子メール(ショートメールやSNSのダイレクトメッセージの場合もあります)を送り、個人情報やクレジットカード情報を盗み取ろうとするフィッシング(なりすまし)メールは年々巧妙化しており、本物と見分けるのが 難しくなっています。
●受信トレイに届いたメールでも安全ではない場合もある
フィッシング被害に遭わないための基本的な対策として、メールソフトやセキュリティソフトによって「迷惑メール」として振り分けられたクレジットカード会社や銀行、ECサイトなどから届いた(ように見える)メールは開かないようにしましょう。
ただし、正規受信フォルダに届いたメールなら安全(正規のメール)とも限りません。セキュリティソフトを導入していても、フィッシング(なりすまし)メールが迷惑メールと認識されずに正規の受信フォルダに届いてしまうこともあります(逆に正規のメールが迷惑メールに振り分けられてしまうこともあります)。
●本当の送信元アドレスを確認する方法
電子メールは、送信者として表示されるメールアドレス(送信者名)と、実際に送信に使用されたメールアドレスが異なる場合があります。フィッシング(なりすまし)メールの多くは、表示される名称(企業や人物)とは全く関係ないメールアドレスから送信されるので、表面上の送信者名(アドレス)ではなく、実際に送信に使われたメールアドレスを確認しましょう。
一番確実なのは、メールのヘッダー情報を確認することです。
例えば、outlookの場合、当該メールを開いて(別ウインドウで表示)、「ファイル」→「プロパティ」を開き、「インターネットヘッダー」の欄を確認します(テキストアプリにコピーすると見やすいです)。
その中の「Received:from」や「Return-Path」などに記載されているメールサーバーやメールアドレスの情報を確認するのですが、ある程度慣れていないと難しいと思います。
そこで、最低次の表示を確認し、正規とは異なる、または少しでも違和感がある場合はなりすましメールだと思って無視する、または削除するようにしましょう。
【PCのoutlookの表示名ではなく、送信元アドレスを確認する】
メールプレビュー画面上部に表示される送信者名(またはアドレス)の右横に表示される〈 〉内のアドレスを確認します。
〈 〉内のアドレスが実際に送信に使われたアドレスになります※。
企業とは無関係なアドレスや国内企業なのに海外ドメインである場合はなりすましです。
(画像はイメージです。)
※表示名中の最後に「< >」を付けて正規を装ったアドレスを表示させている場合(例「サポートセンター<saport@seikidesu.jp>」という表示名にしておき、その後ろに表示される送信アドレスを見えにくくする)や、表示名の後ろに表示される送信アドレスが偽装されている場合もあるようなので注意が必要ですが、表示名の後ろに表示されるアドレスが正規のものでなければ、まず間違いなくなりすましメールです。
銀行やクレジットカード会社、大手ECサイトや配送会社などでは、連絡に使用する正規のメールアドレスを公式サイトで公開していることが多いです。公開されている正規アドレスと送られてきたメールの「実際に送信に使われたアドレス」が一致しない場合はフィッシング(なりすまし)なので無視または削除しましょう。
「実際に送信に使われたアドレス」が、一見本物のように見えても、よく見るとおかしいところがある場合もあるので注意して確認しましょう。例えば企業名の英語表記を含むアドレスであっても、「m(エム)」が「rn(アールとエヌ)」「l(小文字のエル)」が「1(数字)」になっていたり、企業名の前後に不要な文字があったりする場合は、なすましの可能性大です。
【スマートフォンのGmailで、受信したメールの送信元アドレスを確認する方法】
メールを開き、上部に表示される送信元の名称の下の「To ▲▲(自分のアドレス)」右横の「∨」をタップすることで送信情報を確認できます。
Fromに実際に送信に使われたアドレスが表示されるので確認します。
また、鍵マークが赤色で表示されているメールは暗号化されていません。
銀行やクレジットカード会社、大手ECサイトや配送会社からのメールは暗号化されているものが殆どなので、それらからのメールでありながら暗号化されていない場合はなりすましの可能性があります。
※なりすましメールであっても暗号化されている場合もありますし、逆に正規企業やサービスからのメールであっても暗号化されていない場合もあります。
(画像はイメージです。)
●アカウントやサービスの利用状況を安全に確認する方法
フィッシング(なりすまし)メールかもしれないけど、万が一本物からのメールで、メールに書かれているようなことが起きていたら困る……と不安になっても、絶対にメール文中のリンク先にアクセスしない(クリックしない、タップしない)でください!
メールをいったん閉じて、別途端末のブラウザから公式サイトへアクセスするか、公式アプリを使って、マイページやお知らせ等を確認しましょう。
なお、メール文中の短縮URLや特定のテキストや画像に仕込まれたリンクについて、windowsPCなら、リンクの文字列や画像の上にマウスを載せる(クリックせずにマウスオーバーするだけ)とURLが表示されるので、アクセスしなくてもURLを確認できます。公式サイトのURLとは異なる、または銀行やクレジットカード会社のサイトなのに暗号化されていない(httpsになっていない)場合は、なりすましの可能性がかなり高いです。
iPhoneやスマートフォンの場合、リンクの文字列や画像を長押し(ロングタップ)するとURLとサイトプレビューが表示され、リンク先を確認できます。ただし、プレビュー表示しただけでもマルウエアに感染する可能性はゼロではないようなので、端末やアプリの設定からプレビューを非表示※にしておくとよいでしょう。
※iPhoneの場合(初期設定のままの場合):自社WEBサイトのURLなど確実に安全なサイトのリンクを用意して、メールまたはブラウザ(Safari)でリンクを長押し→プレビューが表示されたら、右上の「プレビューを非表示」をタップすると以降はプレビューが表示されずURLのみ表示されます。
いずれにしても、フィッシング被害に遭わないためには落ち着いて、冷静に対応することが大切です。また、フィッシング対策協議会(https://www.antiphishing.jp/)のサイトなどで、確認されているフィッシング(なりすまし)メールの特徴(件名や偽装している企業やサービス名等)についての情報を定期的に確認することもおすすめです。
