SIer時代、筆者は基幹系Linuxサーバのアクセスログを毎朝チェックしていた。深夜3時台に海外IPからSSH接続試行が200回記録されていたのを発見したとき、背筋が冷えた記憶がある。あの経験があるから断言する。「いつもと違う場所からログインがありました」という通知が来たとき、本物か偽物かの判断を間違えると、被害は一気に広がる。

結論から言う。メール内のリンクは踏まない。ブラウザのアドレスバーに直接URLを打ち込んでサービスにログインし、ログイン履歴を自分の目で確認する。これが鉄則だ。

フィッシング対策協議会の2026年5月の月次報告によれば、同月のフィッシング報告件数は126,061件。楽天カードとPayPayカードを騙る手口だけで全体の35%を超えた。ログイン通知を装ったフィッシングメールも、この数字の中に埋もれている。

本物と偽物を見分ける確認ポイント

送信元アドレスを見ろ、とよく言われる。間違いではないが、それだけでは足りない。メールの送信元アドレスは技術的に偽装(スプーフィング)が可能だからだ。

確認すべきは3点ある。

第一に、送信元アドレスがサービスの公式ドメインと一致しているか。Googleからの正規通知はno-reply@accounts.google.com、Microsoftはaccount-security-noreply@accountprotection.microsoft.com、Appleはappleid@id.apple.comから届く。この3つのアドレスは暗記しておく価値がある。

第二に、メール内のリンク先URLだ。パソコンならリンクにカーソルを乗せる。スマホなら長押しする。正規のGoogleリンクはaccounts.google.comのドメインで始まるはずだ。accounts-google.security-check.example.comのように公式ドメインが途中に埋まっているURLは偽物と判断する。

第三に、これが最も確実な方法になるが、メールのリンクを一切使わず、自分でブラウザを開いてサービスにログインし、セキュリティ設定画面を目視すること。本物の通知であれば、アカウントのセキュリティ画面にも同じ警告が出ている。出ていなければ偽物だ。

SIer時代にプロキシログで社内ネットワークのアクセス状況を毎朝チェックしていた経験から言えば、ログは嘘をつかない。自分の目でログを見に行く習慣が、結局いちばん確実な防御策である。

Google・Microsoft・Apple・Amazonのログイン履歴確認手順

サービスごとに、ログイン履歴の確認経路が異なる。いずれもメール内のリンクは使わず、ブラウザから直接アクセスすること。

Googleアカウント

Googleアカウントのセキュリティページにアクセスし、「最近のセキュリティ関連のアクティビティ」を開く。心当たりのないデバイスや場所からのログインが記録されていれば、「いいえ、ログアウトします」を選択する。正規の通知メールが届いていた場合、この画面にも同一の警告が表示されているはずだ。

Gmailを使っている場合は、受信トレイの一番下にある「アカウント アクティビティの詳細」リンクからもセッション情報を確認できる。直近のアクセス元IPアドレスとアクセス種別(ブラウザ、POP3、モバイル等)が一覧表示される。

Microsoftアカウント

Microsoftアカウントのセキュリティページにログインし、「サインイン アクティビティを確認する」を選択する。IPアドレス、ブラウザ名、国/地域が時系列で一覧表示される。身に覚えのない国からのアクセスが記録されていたら、即座にパスワードを変更する。Microsoft公式ヘルプによれば、Microsoftはパスワードや多要素認証コードをメールで要求することはない。

Apple ID(Appleアカウント)

Appleアカウントの管理ページにサインインし、「デバイス」セクションを確認する。自分のものではないデバイスが表示されていれば、「アカウントから削除」を選択したうえでパスワードを変更する。iPhoneから確認する場合は「設定」→ 自分の名前 → 画面下部のデバイス一覧で同じ情報が見られる。Appleからの正規メールはappleid@id.apple.comから届き、宛名がフルネームで記載されている。「Dear Customer」という宛名は偽物のサインだ。

Amazon

Amazonは個別のログイン履歴画面を一般ユーザー向けには公開していない。代わりにメッセージセンターを開き、Amazonから実際に送信されたメールの一覧と手元の通知メールを突き合わせる。メッセージセンターに同じメールが存在しなければ偽物だ。加えて、注文履歴に身に覚えのない注文がないかも確認しておくこと。Gmailユーザーなら、Amazon公式メールにはAmazonロゴと公式アカウントマークが表示される仕組みになっている。

不正ログインが確認されたとき、最初の30分でやること

本物の不正ログインだった場合、初動の速さが被害の大きさを決める。SIer時代に本番障害の対応で痛感したのは、最初の30分のアクションがその後の72時間を左右するということだ。以下を上から順にやる。

ステップ1:パスワードを即座に変更する。他のサービスで同じパスワードを使い回している場合は、そちらも全部変える。筆者自身、Have I Been Pwnedで2019年の漏洩データに自分のメールアドレスが含まれていたのを発見したとき、使い回していた別サービスのパスワードを即座に変更した経験がある。使い回しは過去の漏洩が芋づる式に現在のアカウントへ波及する原因になる。

ステップ2:二段階認証(2FA)を有効にする。パスワードだけの認証は、突破された時点で防御がゼロだ。Google Authenticator、Microsoft Authenticator、またはAppleの二要素認証を設定する。SMSよりも認証アプリのほうがSIMスワップ攻撃に強い分、安全性は高い。

ステップ3:不審なセッションを全端末からログアウトする。Googleは「お使いのデバイス」から、Microsoftは「サインイン アクティビティ」から、Appleはデバイス一覧から、それぞれ不審なデバイスのセッションを切断できる。

ステップ4:復旧メールアドレスと電話番号を確認する。見落としがちだが、ここが一番危険な箇所だ。攻撃者が復旧用メールアドレスや電話番号を書き換えている可能性がある。パスワードを変更しても、攻撃者がパスワードリセット経由で再侵入してくる。復旧情報と連携アプリの一覧は必ず目視で確認すること。

ステップ5:クレジットカード明細を確認する。アカウントにカード情報を登録している場合は、不正利用の有無を明細で確認する。身に覚えのない決済があればカード会社に即連絡し、利用停止を依頼する。

通知が来る前にやっておく予防策

不正ログインの通知を受け取ってから慌てるのは、障害が起きてからマニュアルを探すのと同じ構造だ。事前にやれることがある。

まず、二段階認証の設定。2026年6月時点でGoogle、Microsoft、Appleはいずれも無料で二段階認証を提供している。設定していないなら今日やるべきだ。認証アプリのバックアップコードも必ず控えておくこと。筆者は過去にスマホ故障で認証アプリにアクセスできなくなり、GitHubとAWSに3日間ログインできなかった。バックアップコードは1Passwordのような暗号化ストレージに保存しておくのが確実である。

次に、パスワードマネージャーの導入だ。サービスごとに異なるランダムパスワードを生成し、使い回しを根絶する。Googleパスワードマネージャー、iCloudキーチェーン、1Password、Bitwardenなど選択肢は複数ある。ブラウザ内蔵のパスワードマネージャーでも、使い回しよりは安全性が段違いに高い。

そして、月1回のログイン履歴チェック。通知が来なくても、自分でログイン履歴を見に行く習慣をつけておく。SIer時代に毎朝アクセスログを目視チェックしていたのと同じ構造の定期確認だ。月初にカレンダーリマインダーを1つ入れる。3分で終わる。

FAQ

VPNを使っていると「普段と違う場所」と判定されることはある?

ある。VPN経由でアクセスすると、VPNサーバー所在地のIPアドレスが使われるため、実際にはいない国や都市からのログインとして記録される場合がある。VPN利用者は心当たりのある通知かどうかを、VPN接続先の国と照合して判断すること。

「ログインをブロックしました」は、パスワードが漏れているということ?

必ずしもそうとは限らない。パスワードリスト攻撃(別サービスで漏洩したパスワードを流用する手法)の場合もあれば、メールアドレスに対する総当たり(ブルートフォース)の場合もある。ただし、ブロック通知が複数回続くならパスワード変更と二段階認証の設定を強く推奨する。

スマホのGmailアプリに届いたセキュリティ通知は、PCで確認すべき?

可能であればPCのブラウザで確認するのが望ましい。リンク先URLの確認がPCのほうが容易で、フィッシングサイトのURLを見落としにくい。スマホしか手元にない場合は、Gmailアプリ内のリンクは踏まずに、ブラウザアプリでmyaccount.google.comを直接開いて確認する。

偽のセキュリティ通知メールに返信してしまったらどうなる?

メールに返信しただけなら、送信元にメールアドレスの存在が確認された程度で直接的な被害は限定的だ。ただし今後フィッシングメールが増える可能性があるため、送信元をブロックしておく。リンクを踏んでパスワードを入力してしまった場合は、そのサービスのパスワードを即座に変更し、二段階認証を有効にする。同じパスワードを使っている他のサービスも全部変えること。

参考文献