実務チェックリスト
フィッシング確認チェックリスト
メール本文の違和感ではなく、送信元、URL、添付、QRコード、ログイン画面、SaaS同意画面を順番に確認するためのチェックリスト。
- 難易度
- 初級
- 想定読者
- 全社員・情シス・CSIRT
- 所要時間
- 約8分
何を確認するか
フィッシングメールを開く前、リンクを押す前、認証情報を入力する前に確認すべき項目を、個人と企業の両方で使える粒度に整理。
なぜ重要か
フィッシングはユーザーの判断速度を狙うため、毎回同じ順序で確認する仕組みがあると誤クリックや報告遅れを減らしやすい。
見落とすと何が起きるか
リンク先の偽ドメイン、添付ファイル、OAuth同意画面を見落とすと、認証情報漏えい、SaaS権限奪取、社内ファイル流出につながる。
メールを開いた直後
- 表示名だけで判断せず、差出人メールアドレスとドメインを確認する
- 本文が自分の業務、契約、直近の申請と自然につながるか確認する
- 「本日中」「停止」「至急」など判断を急がせる表現を検知する
- 社内メールを装う場合は、普段の署名、表記、依頼経路と違わないか見る
リンク・添付を触る前
- リンク文字ではなく、実際の遷移先ドメインを確認する
- 短縮URL、QRコード、HTML添付は別経路で公式通知を確認する
- Officeファイルでマクロ有効化や外部コンテンツ有効化を求められたら止める
- 添付ファイル名と拡張子が業務文脈と一致するか確認する
ログイン画面に進んだ場合
- アドレスバーが公式ドメインであることを確認する
- パスワードマネージャーが反応しない場合は入力しない
- MFAやパスキー入力後に不自然な再ログインを求められたら止める
- SaaS同意画面ではアプリ名、発行者、要求権限を確認する
迷ったときの対応
- メールを削除せず、ヘッダーや本文を保全して報告する
- 押した、入力した、添付を開いた事実を時系列で書く
- 公式アプリやブックマークから同じ通知が出ているか確認する
- 社内ルールがある場合は自己判断で転送せず指定窓口へ報告する