「通常とは異なるサインインが発生しました」。こんなメールがMicrosoftから届いたら、誰だってドキッとする。
結論から言うと、メール内のリンクは踏まなくていい。ブラウザからMicrosoftアカウントの公式サイトを直接開いて確認するのが正解です。
そもそも、このメールが本物かどうかすら分からない段階で、リンクをクリックするのはリスクしかない。この記事では「メールの見分け方」「安全な確認手順」「もし不正アクセスだったときの対処」の3つをまとめています。
そのメール、本物?フィッシングメールとの見分け方
まず確認してほしいのが、送信元のメールアドレス。Microsoftからの正規の通知は「account-security-noreply@accountprotection.microsoft.com」から届く。ここが違うなら、フィッシングメール(偽メール)の可能性が高い。
とはいえ、送信元の「表示名」だけ見て判断するのは危ない。表示名は誰でも自由に設定できるので、「Microsoft アカウントチーム」と書いてあっても、実際のアドレスがまったく別のドメインだったりする。必ずメールアドレスそのものを確認してみて。
フィッシングメールには特徴がある。「24時間以内にログインしないとアカウントが停止されます」のように、やたら急がせてくる。焦らせてリンクを踏ませるのが手口なので、急かされるほど一度立ち止まったほうがいい。
ただし正直なところ、メールの見た目だけでは完全に判別できない場合もある。だからこそ、メールのリンクは使わない。これが鉄則になる。
Microsoftアカウントの「最近のアクティビティ」で確認する手順
メールが本物だろうと偽物だろうと、やることは同じ。ブラウザを開いて、自分の手で account.microsoft.com にアクセスする。メール内のリンクは絶対に使わない。
ログインできたら、以下の手順で確認していく。
- 画面上部の「セキュリティ」タブを選ぶ
- 「最近のアクティビティ」を開く
- サインインの日時・場所・デバイスの一覧が表示される
- 身に覚えのないサインインがあれば「自分ではありません」を選ぶ
「自分ではありません」を選ぶと、Microsoftにそのサインインを不正と報告できる。逆に、自分の操作だったなら「問題ありません」を選べばOK。
ちなみに、旅行先からログインしたり、新しいアプリで初めてサインインしたときにも通知が届く場合がある。心当たりがあるなら、それは誤検知。慌てなくて大丈夫です。
不正アクセスが見つかったあとにやること
- パスワードをすぐに変更する
- 多要素認証(MFA)を有効にする
- 他のサービスで同じパスワードを使い回していないか確認する
パスワードの変更は、Microsoftアカウントの公式サイトから行う。「セキュリティ」タブの中にある「セキュリティの基本」を開くと、パスワード変更のボタンがある。ここから新しいパスワードを設定する。
パスワードを変えたら、次は多要素認証(ログイン時にスマホへ通知が飛ぶ仕組み)を設定しておく。同じ「セキュリティの基本」画面から設定できる。おすすめはMicrosoft Authenticatorというアプリ。スマホにインストールして、Microsoftアカウントと紐づけるだけで使える。
多要素認証を入れておけば、仮にパスワードが漏れても、スマホで承認しない限りログインできない。これだけで安全性がまるで違う。
パスワードの使い回しも要チェック
意外と見落としやすいのが、他のサービスとのパスワード使い回し。Microsoftアカウントと同じパスワードを、通販サイトやSNSでも使っていたら、そちらも変更しておく必要がある。むしろ、今回のタイミングでパスワードを全部バラバラにしてしまうのがいい。
まとめ
- 結論:メール内のリンクは使わず、ブラウザからMicrosoftアカウント公式サイト(account.microsoft.com)へ直接アクセスする
- 次にやること:「最近のアクティビティ」でサインイン履歴を確認し、心当たりがなければ「自分ではありません」を選ぶ
- 覚えておくこと:パスワード変更だけで終わらず、多要素認証(Microsoft Authenticator等)まで設定しておく
「最近のアクティビティ」の確認と多要素認証の設定、この2つをやっておけば、次に不審なサインイン通知が来ても慌てずに済みます。