「サイトに入力した後に詐欺サイトだと気がついた。」
「どう対処したらいいんだろう。」
最近のフィッシング詐欺は非常に巧妙なため、うっかりメールからサイトにアクセスし、情報を入力してしまうケースも少なくありません。
個人だけでなく、ルールが整備されていない中小企業でも、フィッシング詐欺に引っかかる可能性は十分にあります。
そこでこのページでは、フィッシング詐欺で情報を入力してしまった時の対処法について整理しました。
知恵袋などでも相談されている内容についても整理しています。
フィッシング詐欺サイトで入力してしまった情報を確認する
まず、フィッシング詐欺サイトに入力してしまった情報の種類を確認してください。
取るべき対処は、入力した内容によって大きく変わります。
以下の3パターンに分けて対応を判断しましょう。
【チェックすべき3パターン】
・クレジットカード情報(番号・有効期限・セキュリティコード)を入力した
・ID・パスワード・メールアドレスを入力した
・住所・氏名・電話番号などの個人情報を入力した
クレジットカード情報(番号・有効期限・セキュリティコード)を入力した
3つのパターンの中でもリスクが高いケースです。
クレジットカード番号・有効期限・セキュリティコードがそろった時点で、攻撃者はオンラインショッピングなどの不正利用を即時に行える状態になります。
入力に気づいた段階ですぐにカード会社に連絡してください。
ID・パスワード・メールアドレスを入力した
アカウント乗っ取りにつながるリスクが高いパターンです。
メールアカウントのID・パスワードを入力してしまった場合は、最優先で対処が必要です。
メールが乗っ取られると、他のサービスのパスワードリセットも悪用されてしまう可能性があります。
住所・氏名・電話番号などの個人情報を入力した
直接的な金銭被害には至りにくいものの、なりすまし・迷惑電話・特殊詐欺の二次被害に使われるリスクがあります。
入力した電話番号や住所が名簿として売買され、後日別の詐欺に使われるケースも報告されています。
「何も起きていないから大丈夫」と判断せず、後述する相談窓口への連絡を検討してください。
フィッシング詐欺に情報を入力してしまったときの対処法5ステップ
入力した情報の種類を確認できたら、すぐに対処に移ります。
どのパターンにも共通する4ステップを、以下の順番で実行してください。
- STEP1. すぐにネットワークを切断する
- STEP2. 入力した情報に応じて緊急連絡をする
- STEP3. セキュリティソフトでスキャンする
- STEP4. 相談窓口へ連絡・被害届を出す
- STEP5. 社内のルール・セキュリティ対策を見直す
STEP1. すぐにネットワークを切断する
どのパターンであっても、最初にやることはネットワークの切断です。
フィッシングサイト表示と同時にマルウェアが実行されるケースでは、ネットワーク接続が続く限り社内システムへの侵入や外部への情報送信が続く可能性があります。
具体的な手順は以下のとおりです。
- ・Wi-Fiをオフにする(スマートフォン・PC共通)
- ・有線LAN接続の場合はLANケーブルを抜く
- ・モバイルデータ通信も必要に応じてオフにする
「何も入力していないから切断しなくていい」ということはありません。
まず切断し、その後に各対応を進めるのが基本の順序です。
STEP2. 入力した情報に応じて緊急連絡をする
ネットワーク切断後、入力した情報の種類に応じて以下の対応を速やかに取ってください。
| 入力した情報 | すぐにやること |
|---|---|
| クレジットカード情報 | カード会社の紛失・盗難デスクに電話し、カード利用を停止する |
| ID・パスワード | 安全な別の端末から該当サービスのパスワードを変更する |
| メールアドレス・メールパスワード | メールアカウントのパスワードを最優先で変更する |
| 住所・電話番号・氏名 | 直ちに必要な緊急対応はないが、後日の不審連絡に注意する |
| 銀行口座番号・暗証番号 | 銀行に電話し、口座の取引停止・暗証番号変更を依頼する |
とくに、クレジットカード情報と銀行口座情報は入力から数分以内に悪用が始まる可能性があるため、気づいた瞬間に連絡することが重要です。
STEP3. セキュリティソフトでスキャンする
フィッシングサイトにアクセスした際にマルウェアが仕込まれていた場合、端末がウイルス感染している可能性があります。
ネットワーク切断後、セキュリティソフトまたはEDRでフルスキャンを実施してください。
スキャンの手順は以下のとおりです。
- ・ネットワークを切断した状態でセキュリティソフトを起動する
- ・「フルスキャン」または「完全スキャン」を選択して実行する
- ・脅威が検知された場合は、ソフトの指示に従って隔離・削除する
- ・スキャン後も不安が残る場合は、情シス担当者またはセキュリティ専門家に相談する
なお、「何も入力していないからスキャンは不要」とは言い切れません。
サイトを開くだけで端末に影響が出るケースもあるため、念のためスキャンを行っておくことをすすめます。
STEP4. 相談窓口へ連絡・被害届を出す
初動対応が終わったら、被害内容に応じて警察や公的相談窓口への連絡も検討してください。
不正利用や不正送金が発生している場合は特に、被害届を出しておくと金融機関の補償手続きがスムーズになります。
| 相談窓口 | 対応内容 | 連絡先 |
|---|---|---|
| 都道府県警察 サイバー犯罪相談窓口 | フィッシング詐欺・不正アクセス被害相談・被害届 | 各都道府県警察の公式サイトより確認 |
| フィッシング対策協議会 | フィッシングサイトの情報提供・注意喚起確認 | https://www.antiphishing.jp/ |
| IPA 情報セキュリティ安心相談窓口 | フィッシング・マルウェア感染等のセキュリティ相談 | https://www.ipa.go.jp/security/anshin/ |
| 消費者ホットライン | 消費者被害全般の相談窓口 | 188(局番なし) |
| 国民生活センター | 消費生活トラブルの相談・情報提供 | https://www.kokusen.go.jp/ |
フィッシングサイトのURLや、届いたメール・SMSのスクリーンショットは削除せず保存しておくと、相談時にスムーズです。
STEP5. 社内のルール・セキュリティ対策を見直す
企業で発生した場合、初動対応が一段落したら、「なぜ今回の被害が起きたのか」を振り返り、組織としての対策を見直すことが再発防止の第一歩です。
個人の注意だけに頼る運用は限界があります。
仕組みとして防ぐ体制を整えて、次の被害を防ぎましょう。
見直しの起点として、以下のポイントを確認してください。
- ・フィッシングメール・不審なURLに関する社内ルールが明文化されているか
- ・不審なメールを受け取った際の報告フローが整備されているか
- ・UTMやメールフィルタリングなど、アクセスや通信をブロックする仕組みが導入されているか
- ・多要素認証(MFA)が業務で使う主要サービスに設定されているか
- ・フィッシング詐欺に関する社員教育・訓練が定期的に行われているか
「まだ何も対策していない」という場合は、まずウイルス対策ソフトとUTMの導入も検討してみてください。
企業のサイバーセキュリティ対策なら
初めてセキュリティ対策に取り組むのであれば、 まずは、ウイルス対策とUTMの導入がおすすめです。
入力した情報別の詳細な対処法
ここでは、入力した情報の種類ごとに取るべき対処を具体的に解説します。
自分の状況に当てはまるパターンを確認してください。
クレジットカード情報を入力してしまった場合の対処法
クレジットカード番号・有効期限・セキュリティコードを入力してしまった場合は、すぐにカード会社に電話してカードの利用停止を依頼することが最優先です。
カードの裏面に記載されている「紛失・盗難デスク」または「カスタマーセンター」に連絡してください。
連絡の際に伝える内容は以下のとおりです。
- ・フィッシング詐欺サイトにカード情報を入力してしまったこと
- ・入力した日時と状況(どんなサイトにアクセスしたか)
- ・不正利用が発生していないかの確認依頼
カードを停止した後は、クレジットカードの利用明細を確認し、身に覚えのない請求があればカード会社に申告してください。
多くのクレジットカードでは、フィッシング詐欺による不正利用は補償の対象になりますが、申告が遅れるほど手続きが複雑になるため、早めの連絡が重要になってきます。
ID・パスワードを入力してしまった場合の対処法
IDやパスワードを入力してしまった場合、入力後すぐにパスワードを変更することが不可欠です。
攻撃者はリアルタイムで取得した情報を使ってログインを試みるため、変更が1時間遅れるだけで被害が発生するリスクが高まります。
変更時の注意点は以下のとおりです。
- ・安全な別の端末から、該当サービスの公式URLに直接アクセスしてパスワードを変更する(届いたメールのリンクは使わない)
- ・同じパスワードを使い回している他のサービスもすべて変更する
- ・変更後のパスワードはサービスごとに異なるものを設定する
- ・変更後、多要素認証(MFA)を設定する
メールアカウントのパスワードが含まれる場合は最優先で変更してください。
メールが乗っ取られると、他のサービスのパスワードリセットも悪用されるためです。
住所・電話番号・氏名を入力してしまった場合の対処法
住所・電話番号・氏名などの個人情報を入力してしまった場合、クレジットカード情報ほどの即時金銭被害は発生しにくいものの、以下のリスクに注意が必要です。
- ・迷惑電話・架空請求・振り込め詐欺など特殊詐欺への悪用
- ・名簿売買による二次的な詐欺被害
- ・住所を使ったなりすまし申し込み
具体的な対応手順は以下のとおりです。
- ・しばらくの間、不審な電話・メール・郵便物が来た場合は無視または着信拒否する
- ・「有料サービスに登録された」などの架空請求が届いても支払わない
- ・不安な場合は消費者ホットライン(188)または国民生活センターに相談する
- ・迷惑電話対策アプリ(Whoscall・dフィルターなど)の導入を検討する
なお、「電話番号だけ入力したから大丈夫」と思って何もしないケースが多いですが、時間が経ってから詐欺電話が増えたと感じたら、その番号を起点にした被害の可能性があります。
定期的に不審な連絡がないか確認しておくことをすすめます。
フィッシング詐欺でクレジットカードを不正利用されたら返金されますか?
知恵袋でもよく寄せられる質問のひとつが「フィッシング詐欺でクレジットカードを不正利用されたとき、返金されるのか」という疑問です。
結論をいうと、多くのクレジットカード会社では不正利用に対する補償制度が設けられており、申告内容に応じて返金されるケースがほとんどです。
参考:三井住友カード「カードの不正利用に対する保障制度について」
ただし、申告のタイミングと手続きの速さが返金の可否を左右し、確実にすべての金額が戻ってくるとは限りません。
クレジットカード会社の不正利用補償の仕組み
クレジットカードの不正利用補償は、多くの会社で「不正使用発覚日から60日〜90日前まで遡って補償」される仕組みを採用しています。
ただし、補償を受けるためには以下の条件を満たす必要があります。
- ・利用明細を定期的に確認し、不正利用に気づいた段階ですぐに申告していること
- ・カード会社の調査に応じること
- ・故意・重大な過失がないと判断されること
フィッシング詐欺による被害は「意図せず騙された」ケースとして、補償の対象になることが多いです。
一方で、「気づいていたのに申告が遅れた」「不審なサイトと知りながら入力した」と判断されるケースでは、補償が減額または対象外になることもあります。
速やかな申告が最重要です。
カードの再発行手続きの流れ
クレジットカード情報を入力してしまった場合、カードの利用停止に加えて再発行を依頼することをすすめます。
カード番号を変更することで、同じ情報を使った新たな不正利用を防げます。
再発行の一般的な流れは以下のとおりです。
- 1.カード会社に電話し、現在のカードの利用停止を依頼する
- 2.再発行の希望を伝える(多くの場合、停止と同時に手続き可能)
- 3.新しいカードが届くまで1〜2週間が目安(急ぐ場合は窓口受取が可能なカード会社もある)
- 4.新しいカードが届いたら、各種サービスの支払い情報を更新する
再発行後は、各種サブスクリプションサービスなどに登録しているカード情報の更新を忘れずに行ってください。
更新が漏れると、引き落としエラーによるサービス停止が発生する可能性があります。
知恵袋でよく見るフィッシング詐欺の疑問に回答
最後にフィッシング詐欺で情報を入力してしまったときのよくある質問を紹介します。
ここでは知恵袋でよく寄せられる疑問をピックアップして回答します。
フィッシングサイトに途中まで入力して、送信しなかった場合は大丈夫ですか?
フォームへの入力途中で送信ボタンを押さなかった場合、原則として情報は相手に送られていません。 入力した内容がサーバーに送信されるのは、基本的にフォームを送信したタイミングです。 ただし、一部のフィッシングサイトでは入力内容をリアルタイムで取得する仕組みを使っているケースもゼロではないため、念のためネットワーク切断とセキュリティソフトのスキャンを行ってください。
クレジットカード番号だけを入力してしまいました。悪用される可能性はありますか?
カード番号だけでは不正利用できない場合が多いですが、他の情報(有効期限・セキュリティコード)と組み合わさった場合は不正利用が可能になります。 また、番号だけでも不正利用できるサービスが一部存在します。 「番号だけだから大丈夫」と放置せず、カード会社に連絡してカード番号の変更手続きを依頼しましょう。
フィッシング詐欺サイトに電話番号を入力してしまいました。どうすればいいですか?
電話番号だけの入力であれば、即時の金銭被害は発生しにくいですが、今後、詐欺電話・架空請求・振り込め詐欺などの二次被害に使われる可能性があります。 知らない番号からの着信や不審なSMSには応じないようにし、迷惑電話対策アプリの導入も検討してください。 不安な場合は消費者ホットライン(188)または国民生活センターに相談することをすすめます。
フィッシング詐欺で入力してしまったが今のところ何も起きていません。放置しても大丈夫ですか?
入力直後に被害がなくても、情報が名簿として売買され、数週間〜数ヵ月後に別の詐欺に使われるケースがあります。 特にクレジットカード情報を入力している場合は、定期的に利用明細を確認し、身に覚えのない請求が発生していないかチェックしてください。 ID・パスワードを入力した場合は、パスワード変更と多要素認証の設定を早めに行ってください。
まとめ
この記事では、フィッシング詐欺サイトに情報を入力してしまったときの対処法を解説しました。
- 【この記事の要約】
- ・入力した情報の種類によって対処法が変わる。クレジットカード情報は緊急度が高い
- ・どのパターンでも最初にやることは「ネットワークの切断」
- ・クレジットカードを入力した場合は、すぐにカード会社に電話してカードを停止する
- ・ID・パスワードを入力した場合は、パスワードを即時変更し、使い回しサービスもすべて変更する
- ・電話番号・住所などの個人情報を入力した場合は、二次被害(架空請求・詐欺電話)に注意する
- ・不正利用が発生している場合は、警察や公的相談窓口に連絡し被害届を出す
- ・クレジットカードの不正利用補償は速やかな申告が条件。申告が遅れると補償対象外になるケースもある
被害に気づいた瞬間の行動が、その後の被害規模を大きく左右します。
「何も起きていないから大丈夫」ではなく、入力した情報の種類に応じた対処を進めてください。
今回のような被害を「次は組織として防ぎたい」と考えているなら、個人の注意だけに頼らない仕組みの整備が重要です。
ルールを整備するのはもちろん、UTMやウイルス対策ソフトなどの導入も検討するのがよいでしょう。
「セキュリティ対策を本格的に始めたいが、何から手をつければよいかわからない」という方は、ぜひ一度ご相談ください。
