「お客様のアカウントがロックされました。24時間以内にご確認ください」——こんなメールやSMSが届いたら、ドキッとしますよね。まずは落ち着いてください。こうしたメールの大半は、アカウントを乗っ取るための「フィッシング詐欺」です。

本物のセキュリティ通知がまれに届くこともありますが、見分け方にはコツがあります。この記事では、2026年最新のフィッシング詐欺の実態と、本物かどうかを判断するための5つのチェックポイント、万が一リンクを開いてしまったときの対処法をご紹介していきます。

「アカウントがロックされました」メール、なぜこんなに届くのか

フィッシング対策協議会の報告によると、2026年3月のフィッシング報告件数は122,381件。前月から倍以上に膨れ上がっています。なかでもAmazonを装ったメールが全体の約20.9%、Appleが約10.5%を占めており、ふだん使っているサービスほど狙われやすい傾向にあります。

先日、フリーランス仲間とZoomしてたら「Amazonから"アカウントが停止されます"ってメールが来て焦った」という話題が出ました。その場にいた5人中3人が似たメールを受け取っていて、もはや届かないほうが珍しいレベルになっている。手口は年々巧妙になっていて、最近はメールだけでなくSMSで届く「スミッシング」(SMSを使ったフィッシング)も急増しています。

本物とフィッシング詐欺を見分ける5つのチェックポイント

「でも、本当にアカウントがロックされていたらどうしよう」——その不安、よくわかります。大丈夫です。以下の5つを順番にチェックするだけで、ほぼ見分けがつきます。

チェック1:メールのリンクは開かず、公式アプリで直接確認する

これがいちばん大切。どんなに本物っぽく見えても、メール内のリンクからログイン画面を開いてはいけません。

確認方法はとてもシンプルです。Amazonならアプリを開いてふつうに使えるか試してみてください。Appleならブラウザのアドレスバーに直接「appleid.apple.com」と入力する。Googleなら「myaccount.google.com」を開く。公式サイトでログインできて問題なく使えるなら、届いたメールは偽物と判断できます。

チェック2:送信元のメールアドレスを確認する

Amazonの正規メールは「@amazon.co.jp」から届きます。ただし、ここにひとつ落とし穴があります。2026年3月時点で、フィッシングメールの約49.7%が正規サービスのアドレスを偽装しているとの報告が出ています。アドレスが正しく見えるだけでは安心できません。

逆に言えば、アドレスが「@amaz0n-security.com」のように明らかにおかしい場合は、その時点で偽物と断定できます。ひとつの判断材料として使ってください。

チェック3:宛名が「お客様」になっていないか

本物のAmazonやAppleからのメールには、あなたの名前が記載されていることがほとんどです。フィッシングメールは不特定多数にばらまくので、「お客様」「会員様」「ご利用者様」といった曖昧な呼びかけを使いがち。名前がない時点で疑ったほうがいいです。

チェック4:「24時間以内」「永久ロック」など、異常に急かす文面

「24時間以内にご確認いただけない場合、アカウントを永久にロックします」。こうした極端な期限や脅し文句は、フィッシング詐欺の典型パターンです。正規のサービスがアカウントを「永久ロック」することはまずありません。

焦らせて冷静な判断を奪うのが犯人の狙いなんですね。メールを読んで「急がなきゃ」と感じたら、一度スマホを置いて深呼吸。それだけで被害を防げることが多いです。

チェック5:Amazonなら「メッセージセンター」で答え合わせする

Amazonには公式の確認手段があります。Amazon公式サイトまたはアプリで「アカウントサービス」→「メッセージセンター」を開くと、Amazonが実際に送信したメールの一覧が表示されます。ここに同じ内容のメールがなければ偽物確定です。

うちの母がネットスーパーにログインできなくなって「アカウントが乗っ取られた!」とパニックになったことがあります。調べたらiOSアップデート後にCookie(ログイン状態を記憶する一時データ)が消えて自動ログアウトされただけだったのですが、ちょうどそのタイミングで「アカウントを確認してください」という偽メールも届いていて、母は完全に信じかけていました。あのとき「まずアプリを開いて確認してみて」と伝えただけで解決したので、この習慣は本当に大事だと実感しています。

メール内のリンクを開いてしまったら?

「読む前にうっかりタップしちゃった」——そんなときも焦らなくて大丈夫です。リンクを開いただけで個人情報を入力していなければ、被害が出る可能性は低いです。

念のため、状況に応じて以下の対応を取ってみてください。

  1. IDやパスワードを入力してしまった場合:すぐに公式サイトからパスワードを変更してください。ほかのサービスでも同じパスワードを使い回しているなら、そちらも変更が必要になります
  2. クレジットカード情報を入力してしまった場合:カード会社に電話して利用停止と再発行を依頼してください。カード裏面に書かれている番号が確実です
  3. リンクを開いただけで何も入力していない場合:ブラウザの履歴とCookieを削除しておけば安心です。それ以上の対応は基本的に不要となります

今日からできるフィッシング対策3つ

迷惑メールフィルターを有効にする。GmailやiCloudメールには、フィッシングメールを自動で振り分けてくれるフィルター機能が標準で備わっています。「設定」→「フィルタとブロック中のアドレス」(Gmailの場合)や「メール」の設定(iCloudの場合)から確認できます。有効になっていない方は、これだけでもかなりの効果があります。

二段階認証を設定しておく。万が一パスワードが漏れてしまっても、二段階認証(ログイン時にスマホへ届くコードを追加で入力する仕組み)を設定しておけば、第三者がログインすることはできません。Amazon・Apple・Googleいずれも無料で設定できます。

パスワードをサービスごとに変える。「全部同じパスワードにしている」という方、結構いらっしゃると思います。ひとつ漏れたら全サービスが危険にさらされてしまうので、iPhoneの「パスワード」アプリやGoogleパスワードマネージャーを活用して、サービスごとに異なるパスワードを管理してみてください。一度設定すれば次からは自動入力してくれるので、手間も増えません。

FAQ

フィッシングメールを開いただけでウイルスに感染しますか?

メールを開封しただけでウイルスに感染する可能性はきわめて低いです。危険なのはメール内のリンクをタップして偽サイトに個人情報を入力してしまうケースになります。開いてしまっても、リンクに触れず削除すれば問題ありません。

SMSで届く「お届け物があります」もフィッシングですか?

配送業者を装ったSMS(ショートメッセージ)は、2026年5月現在も非常に多い手口です。ヤマト運輸・佐川急便・日本郵便はSMSで不在通知を送らないと公式に案内しています。身に覚えのない配送通知SMSは、開かずに削除してください。

本物のセキュリティ通知メールが届くのはどんなときですか?

新しい端末やブラウザからログインしたとき、パスワードが変更されたとき、ふだんと違う場所からのアクセスがあったときなどに届きます。心当たりのあるタイミングで届いた場合は本物の可能性がありますが、念のためメール内のリンクではなく公式アプリから確認してみてください。

家族のスマホにフィッシングメールが届いたらどう伝えればいいですか?

「メールのリンクは絶対に押さないで、気になったらアプリを開いて確認してね」。この一言を伝えるだけで十分です。仕組みを長々と説明するより、行動ルールをひとつ覚えてもらうほうが効果的。うちでも結局これに落ち着きました。

参考文献