フィッシングリンクをクリックしてしまうとどうなる？対応方法

フィッシングリンクをクリックするのは絶対に避けるべきですが、必ずしも大惨事になるわけではありません。

リスクが低く、何の問題も発生しない場合もあります。しかし、攻撃者がデータを盗んだり、マルウェアをインストールしたり、オンラインアカウントにアクセスしたりする可能性もあります。いずれの場合であっても、迅速に適切な措置を講じれば結果が大きく変わります。

このガイドでは、フィッシングリンクをクリックした際に起こりうること、直後に行うべきこと、今後こうした攻撃を回避できる方法について紹介します。

フィッシングリンクをクリックすると何が起こりますか？

フィッシングリンクは、信頼できるブランドを装ったり、正規のサイトを模倣したり、正規のURLと似たURLにしたりすることで、ユーザーを騙してクリックさせるよう設計されています。たった1回誤ってクリックすると、気づかないうちにさまざまなセキュリティ上の問題を引き起こす可能性があります。

フィッシングリンクをクリックすると何が起こるのかを説明します。

気づかないうちに個人データを渡してしまう

一部のフィッシングリンクは、氏名、生年月日、メールアドレスなど一見無害な詳細情報を求める汎用フォームまたは公式のものに見えるフォームに誘導します。多くの場合、アカウントの更新や本人確認が目的であると主張します。ログインを求められないため、警戒が緩む可能性があります。

しかし、この情報だけでも、サイバー犯罪者が個人情報の窃盗、不正な購入、パスワードのリセット、またはソーシャルエンジニアリング詐欺を実行できる場合があります。また、時間をかけて少しずつ特定の個人に関するデータを収集し、完全なプロファイルを作成することもあります。 

場合によっては、リンクをクリックするだけで位置情報やデバイスの詳細が漏洩する可能性があります。 攻撃者はその情報によって、位置情報を利用した詐欺を仕掛けたり、オペレーティングシステムの脆弱性を悪用したりできます。

気づかないうちに偽のログインページに誘導される可能性があります

フィッシングリンクをクリックすると、メール、銀行、SNSアカウントなど、正規サイトを緻密に模倣した偽のログインページに誘導される場合があります。

これらのページは、ロゴからレイアウトや配色に至るまで本物に見えるように作られており、ユーザーを騙して機密情報を入力させるよう設計されています。細部まで本物そっくりであるため、不審な挙動に気づくか、自分からアカウントから締め出されるまで異常に気づかない可能性があります。

このようなページに誘導されると、ユーザー名とパスワードの入力を求められます。 入力すると、ハッカーがその認証情報を入手します。 その後、ハッカーは以下の攻撃を実行できます。

• 本物のアカウントにアクセスする
• パスワードを変更して本人が利用できなくする
• 機密のメッセージ、財務データ、または個人ファイルの閲覧および収集する
• 家族や同僚などの他の人への攻撃手段としてアカウントを利用する

マルウェアを意図せずインストールしてしまう可能性があります

フィッシングリンクの全てが騙して情報を提供させようとするわけではありません。もっと攻撃性が高く、クリックした瞬間にデバイスへ悪意あるコードを組み込む攻撃も存在します。マルウェアが即座に拡散を開始するため、気づいて対応する時間がほとんどない点が特に危険です。

拡散手段としてフィッシングリンクをよく使用するマルウェアの種類をいくつか紹介します。

• キーロガー：パスワード、クレジットカード番号、プライベートメッセージを含む入力内容を全て記録します。
• スパイウェア：監視や個人情報窃取のためにブラウジング、キー入力、アプリ使用状況を追跡します。
• ランサムウェア：ファイルをロックまたは暗号化し、身代金を要求します。 
• RAT（リモートアクセス型トロイの木馬）：攻撃者が侵害されたデバイスをリモートで操作できます。

メールやアカウントへのアクセスを失う可能性があります

フィッシング攻撃でメールのログイン情報を盗まれると、悪意のある攻撃者が他のアカウントを操作できるようになります。なぜなら、銀行、ソーシャルプラットフォーム、オンラインストアを含むほとんどのアプリやサービスがログイン管理やパスワードのリセットにメールを使用しているからです。

攻撃者はアカウントを操作して以下のような攻撃を実行する可能性があります。

• 本人がアカウントを使えなくする：ハッカーはまずメールアカウントのパスワードを変更し、本人がログインできないようにします。
• 復旧を困難にする：攻撃者が自分の電話番号やアプリで2FA（2段階認証）を有効化し、アカウントの復旧を困難にします。
• パスワードをリセットする：受信ボックスへのアクセスを悪用し、「パスワードを忘れた場合」オプションを使用して本人が他のアカウントを利用できなくします。
• 本人になりすます：攻撃者がスピアフィッシング攻撃の一環として、家族、友人、同僚に詐欺メールを送信します。
• 機密情報を窃盗する：銀行取引明細書、税務書類、個人間の会話など、受信ボックスの内容を覗き見る可能性あります。
• メールのアクセス権を売却する：ハッカーがダークウェブで受信ボックスへのアクセス権を売却したり、身代金目的で保持したりする可能性があります。

フィッシングリンクをクリックしてしまった場合の応急処置

フィッシングリンクをクリックしてしまった場合、迅速に行動してください。ただし慌てないでください。

被害を最小限に抑えるための応急処置の手順について順を追って説明します。

1. 情報を入力しない

リンク先で個人情報の入力を求めるページまたはフォームが表示されても、一切操作しないでください。戻ったり、キャンセルしたりするためであっても、何も入力せず、ボタンをタップせず、リンクをクリックしないでください。直ちにページを閉じます。

デスクトップの場合、タブを閉じるにはCtrl + W（Windows）またはCommand + W（Mac）を押します。モバイルの場合、アプリを慎重にスワイプして閉じます。

Androidの場合、アプリマネージャーから強制終了することも可能です。方法は簡単です：

1. 設定を開き、アプリと通知を選択します。
2. すべてのアプリを表示を選択し、終了するアプリまでスクロールします。この場合、Chrome、Firefox、Samsung Internetなどのブラウザである可能性が高いでしょう。
3. そのアプリを選択し、強制終了をタップします。
4. OKをタップして確認します。

すでに情報を入力し始めている場合、すぐに入力を止めてページを閉じてください。その目的は、そのサイトが機密データを収集する機会を与えないようにするためできる限り早く接触を断つことです。

2. インターネットから切断する

マルウェアによるデータの送受信を防止するため、できる限り早くデバイスをインターネットから切断してください。スマートフォンをご利用の場合、コントロールセンターまたは設定に移動し、機内モードをオンにします。潜在的な脅威をすべて除去し終えるまで、端末をオフラインに保ってください。

マルウェアが行おうとしている動作を中断できるため、インターネットから切断することが重要です。これには以下のような狙いがあります。

• マルウェアの完全なダウンロードを阻止する：一部のマルウェアは段階的にダウンロードされるため、接続を素早く切断すれば残りのデータがデバイスに到達することを阻止できます。
• コマンドアンドコントロールサーバーとの通信を遮断する：マルウェアは新たな命令や追加ペイロードを取得するために拠点サーバーとの通信を試みますが、接続を切断することでこれを阻止できます
• ランサムウェアの活動を妨害する：インターネットアクセスがなければ、ランサムウェアは暗号化キーを取得したり、ネットワーク上の他のデバイスに拡散したりできなくなる可能性があります。
• 外部へのデータ漏洩を防止する：オフラインの状態を維持することで、マルウェアによる攻撃者へのファイル、キーストローク、ログイン情報の送信を阻止できます。

3.マルウェアのフルスキャンを実行する

フィッシングリンクをクリックした後に実行できる最善の対策の1つは、マルウェアのフルスキャンを実行することです。個人情報を入力していなくても、異常を感じていなくても、Surfshark Antivirusなどの信頼できるウイルス対策によるディープスキャンは、潜入した脅威を検出および除去するのに役立ちます。

パーシャルスキャンやクイックスキャンでは不十分です。これらはメモリ、起動ファイル、システムフォルダといった一般的な部分しかチェックしません。一時フォルダやスケジュールされたタスクなど、システムのより深い部分に潜むマルウェアを見逃す可能性があります。フルスキャンは時間がかかりますが、ファイル、フォルダ、実行中のプロセス、設定など、全てをチェックします。

これは特にドライブバイ攻撃の場合に重要です。この攻撃はブラウザの脆弱性を悪用したり、悪意のあるページがロードされると同時にマルウェアを自動的にダウンロードしたりします。フルスキャンによって、ルートキットやトロイの木馬のように、最初は潜伏している脅威や無害に見せかけている脅威を検出する可能性も高まります。

4.重要なファイルをバックアップする

さらなる変更を加える前に、潜伏して後に顕在化する損害をマルウェアによって受けている場合に備え、重要なファイルをバックアップしてください。最も安全な方法は、インターネットに接続していない外付けハードドライブやUSBメモリを使用することです。意図せず脅威をバックアップにコピーしてしまわないようにするため、バックアップは必ずマルウェアを除去した後に行ってください。

特に個人的な文書、写真、スプレッドシート、仕事用フォルダに注意してください。感染している可能性があるため、システムファイルやインストール済みプログラムなどはバックアップしないでください。これによって、後から復元できるクリーンなコピーを確保できます。システムのリセットまたはワイプが必要になっても、重要なファイルを失う心配がなくなります。

5.パスワードを変更する

次に、すべてのパスワードを変更して、オンラインアカウントのセキュリティを確保します。これは、フィッシングリンクをクリックした際に使用していないクリーンなデバイスから行ってください。メインのメールアカウントから始め、ネットバンキングなどの重要アカウントへ進めていきます。

パスワードをより強固にするためのちょっとしたヒントをいくつか紹介します。

• 長さは12～16文字以上にします。
• 大文字、小文字、数字、特殊文字を組み合わせます。
• 「password」、「opensesame」などの型にはまった表現は避けます。
• 「p@ssw0rd」などの脆弱な置き換えは避けます。
• サイトごとに固有のパスワードを設定します。
• パスワード管理ツールを使用します。
• 定期的にパスワードを変更します。

できる限り2FAを有効にします。追加の認証形式を求めることでログインにセキュリティのレイヤーを追加します。

6. アカウントの不審な活動を監視する

メール、銀行、ソーシャルメディア、クラウドサービスなどのアカウントにログインし、不審な点がないか確認してください。活動ログやセキュリティログで、不明な場所やデバイスからのログイン試行、または自分が行っていないパスワードの変更がないか確認してください。

メールアカウントでは、送信済みフォルダとゴミ箱フォルダを確認し、気づかないうちに転送されたメールがないか確認してください。金融アカウントでは、最近の取引履歴とログイン履歴を確認し、見覚えのない利益がないか確認してください。

以降数週間はこれらのアカウントを特に注意して監視し続けてください。面倒に感じる場合、各サービスがログイン、取引、その他のアカウント活動に関するリアルタイムアラートを提供していないか確認してください。それを利用すれば、手動でチェックする必要がなくなります。

7.フィッシングの試みを報告する

デバイスをクリーンアップしたら、他の人が同じ詐欺に引っかからないようフィッシングリンクを報告してください。メールによるものの場合、当該メッセージに戻り「スパムを報告」または「フィッシングを報告」ボタンを使用してください。 リンクをクリックしないよう注意してください。 

有名な企業を装った詐欺メールの場合、公式のヘルプページ経由で報告するか、フィッシング報告アドレスにその詐欺メールを転送しましょう。例：PayPalならphishing@paypal.com、Amazonならreportascam@amazon.com。FTC（連邦取引委員会）やNCSC（英国サイバーセキュリティセンター）などの政府機関に通報することもできます。

必ず、友人、家族、同僚などの他の連絡先にも警告してください。悪意のある者がアカウントにアクセスした場合、そのアカウントを使用して知り合いにフィッシングメールを送信し、より説得力のある詐欺を仕掛ける可能性があります。

今後のフィッシング攻撃を防止する方法

フィッシング詐欺から身を守る最善の対策は、そもそもリンクをクリックしないことです。つまり、警告サインを見抜く方法を学び、個人情報を保護し、利用可能なあらゆるサイバーセキュリティツールを使用してフィッシングを未然に防止することです。

フィッシングの危険信号を把握する

フィッシング詐欺は巧妙で説得力があることもありますが、いずれも同じ手口を使う傾向があります。注意するべきポイントは以下の通りです。

URLの不一致  
送信者のメールアドレスをよく確認し、自称している企業の公式ウェブサイトに掲載されているものと一致しているか確認してください。正規のドメイン名に似せたものを使用するのは、詐欺師の古典的な手口です。例：surfshark.comに似せたsurfsahrk.comやsharksurf.com。

脅し戦術
「今すぐ対応してください！」、「本日中にアカウントが停止されます」、「最終警告」といったフレーズは、パニックを招き、切迫感を演出することを狙っています。その目的は、慎重に考えたり、不審な点に気付いたりする暇を与えずに、クリック、返信、情報共有をさせることです。  

誤字脱字や文法ミス
メッセージの書き方に細心の注意を払いましょう。多くの場合、フィッシングメールには、スペルミスや文法ミスが散見されます。詐欺師は慎重なユーザーを排除することを狙って、わざとこうした誤りを含める場合があります。

通常、フィッシング攻撃は言葉遣いが雑になっていますが、詐欺師がAIツールを使用して表現を改善しようとする場合もあることにも留意してください。メッセージがChatGPTで書いたように見える場合、注意してください。リンクをクリックする前に送信者を改めて確認してください。

汎用的な挨拶文
フィッシングメールやテキストメッセージの多くは、物量で勝負するため大量送信されます。そのため、「こんにちは」や「お世話になっております」といった曖昧な（場合によっては不快な）挨拶文で始まることが多いです。一方、正規の企業は通常、相手の名前に言及することで、より気遣いが見られる形になっています。

不審なリンクやファイル
予期せぬリンクやファイルのダウンロードを促すメールやテキストには、十分に警戒してください。実在の企業は通常、予告なくログインリンクや添付ファイルを送信することは稀です。ファイル拡張子が.exe、.zip、または.scrの場合、完全に避けるのが最善の対策です。

出来過ぎた話 
フィッシング詐欺は、iPhoneの無料プレゼント、即時返金、期間限定特典など、あらゆる手段で注意を引いて、すぐにクリックさせようとします。あまりに出来過ぎた話だと思える場合、詐欺と考える方が安全です。

保護ツールを活用する

警戒心が非常に強いユーザーでもしくじる可能性があるため、フィッシングリンクに対する多層的な防御を行うことが重要です。

まず、SurfsharkのClean Webなどの信頼できる広告ブロッカーを使用しましょう。Clean Webは、ロードされる前に広告、偽のウイルスアラート、不正なトラッカーをブロックすることでフィッシングリスクに対応します。つまり、オンライン中に表示されるフィッシング詐欺のポップアップの数が減ります。

Surfshark Antivirusと組み合わせて、フィッシング保護を強化しましょう。そのウェブ保護機能はバックグラウンドで動作して、開くすべてのURLをチェックし、安全ではないものとしてフラグが立てられたものをすべてブロックします。

個人情報を保護する

フィッシング詐欺師に収集された個人データが少ないほど、標的になる可能性が下がります。そのため、どうしても必要な場合を除き、オンラインで実際の情報を共有しないでください。代わりに、SurfsharkのAlternative IDを使用してオンライン上のペルソナを生成することを検討してください。それによって、個人情報や連絡先情報を明かすことなく、ネットサーフィン、サービスの登録、メールの受信が可能になります。  

一方、Surfshark Alertは個人情報の監視を役立ちます。メールアドレス、パスワード、またはその他の機密情報がデータ漏洩の被害に遭った場合、すぐに通知が届きます。これにより、漏洩したパスワードをすぐに変更し、2段階認証を有効にし、フィッシング攻撃を警戒できます。

まとめ：常に冷静に、安全を確保しましょう

誤ってフィッシングリンクをクリックしてしまった場合であっても、常に冷静さを保ち、すぐに被害が拡大しないよう対処しましょう。予防策として、インターネット接続を切断して、マルウェアのフルスキャンを実行し、パスワードを更新してください。

とはいえ、未然に予防するのが最善です。フィッシング攻撃の徴候を把握し、本名をウェブで公開せず、オンラインセキュリティツールを利用しましょう。24時間年中無休の保護が必要な場合、Surfshark Oneを検討してください。Clean Web、Antivirus、Alternative IDなどを備えたオールインワンのサイバーセキュリティスイートです。

事前の予防は事後の対応に優る

フィッシング試行に先手を打つ

Surfsharkを今すぐ入手