Yahoo!ウォレット「お支払い方法確認のお願い」は詐欺？ID入りでも本物とは限らない

Yahoo!ウォレットから「お支払い方法確認のお願い」というメールが届いた。差出人は wallet-remind@mail.yahoo.co.jp。しかも本文には、自分のYahoo! JAPAN IDまで書いてある。これは本物なのか、それとも詐欺なのか。そう検索してきた人向けの記事です。

結論から言うと、IDが合っていても本物とは限りません。Yahoo!ウォレットをかたるフィッシング詐欺（にせメールでだます手口）は、わざと正しいYahoo! JAPAN IDを載せて信じ込ませるからです。

IDが本文にあると、自分の情報を握られているようで怖いですよね。でも、それだけで本物とは決められません。この記事では、本物か偽物かを見分けるポイントと、最初にやることを整理していきます。

Yahoo! JAPAN IDが合っているのに本物と断定できない理由

まず言い切ります。IDが正しい＝本物、ではないです。

フィッシング詐欺は、どこかで流出した情報や、推測した情報を使います。そこにあなたのYahoo! JAPAN IDを載せる。すると受け取った人は「これは自分宛ての正規のメールだ」と感じてしまう。これがねらいです。

差出人名が「Yahoo! JAPAN」でも根拠にはなりません。本文のIDが合っていても同じです。むしろ、IDが正しいことを安心材料にさせるのが詐欺のやり方です。実在する「LINEヤフー株式会社」という社名が書いてあっても、それも正しさの証明にはなりません。

そもそも送信元の表示名やアドレスは、見た目をいくらでも作れます。wallet-remind@mail.yahoo.co.jp のような公式っぽい表記も、そのまま信じる材料にはなりません。表示されているアドレスと、実際に送られてきた経路が違うこともあります。だから「アドレスが公式っぽいから安心」とは言えないです。

メールが来たら最初にやること（リンクは押さない）

やることはシンプルで、ポイントは1つ。メール内のリンクは絶対にクリックしないことです。これを最初の約束にしてください。

確認は、メールからではなく公式側から入ります。手順はこうです。

ブラウザのブックマークか公式アプリ（Yahoo! JAPANアプリ）からログインする
ログイン後の「お知らせ」「通知」に、同じ案内があるか確認する
「ご利用中のサービス」やYahoo!ウォレットの登録情報を開いて、勝手に変更されていないか見る
ログイン履歴を開いて、身に覚えのないアクセスがないか確認する

同じ通知が公式側のお知らせにもあれば、本物寄りと考えられます。何もなければ、メールだけが勝手に来た、という見方になります。メール本文のIDが正しくても、この順番は変えないほうがいいです。

送信元ドメインとリンク先URLの見分けポイント

見るところを先に並べます。

送信元ドメインが @mail.yahoo.co.jp など、公式のものになっているか
リンク先URLが短縮URLや、yahoo.co.jp ではない別ドメインになっていないか
件名が「パスワード初期化のご連絡」「登録情報ご確認のお願い」など、急かす内容になっていないか

「お支払い方法確認」や「Yahoo! JAPAN IDを制限いたしました」なども定番の件名です。緊急性を出して、考える前に押させようとする。これが詐欺メールの共通点です。リンク先のURLは、本文の文字だけ公式っぽく見せて、実際の飛び先は別、というケースもあります。

ただし、見た目だけで完全に見分けられないこともあります。にせサイトのURLが、本物そっくりに作られている場合があるからです。だからこそ、メールの中ではなく、公式アプリやブックマークから入るのが確実です。

断定できること、できないこと

ケースで分けると分かりやすいです。公式アプリの「お知らせ」に同じ通知があるなら、本物寄りと考えられます。逆に、メールのIDが正しいだけでは本物と断定できません。ここは線を引いておきます。

IDの一致は「あなたの情報がどこかで知られている」ことは示します。でも、メールそのものが正しいかどうかまでは示しません。これは別の話です。だから「IDが合っている」と「メールが本物」は、分けて考えてください。

不安が残るなら、守りを固めておくといいです。二段階認証（ログインに2つ目の確認を足す機能）を有効にしましょう。あわせて、ログインアラート（不審なログインを知らせる機能）もオンにします。そうすれば、知らないアクセスがあったときに気づけます。確かめたいときは、Yahoo!セキュリティセンターや、LINEヤフーセキュリティポータルの案内をもとに確認できます。