フィッシングメールを開いてしまった・リンクをクリックしてしまったら? 直後にやるべきことを時系列で解説【会社PC・スマホ対応】
「宅配業者からの不在通知だと思ってリンクを押してしまった」「取引先を装ったメールでパスワードを入れてしまった」——フィッシング被害は、どれだけ注意していても起こります。
重要なのは、開いてしまった後の数分〜数時間の行動です。正しく動けば被害を最小限にできますし、逆に「怖いから黙っておこう」が最悪の結果を招きます。
この記事は、緊急時にそのまま使えるよう**「何をしたか」の状況別に、やるべきことを時系列**で整理しています。今まさに困っている方は、自分の状況の章へ進んでください。
まず深呼吸:状況によって危険度はまったく違う
| 状況 | 危険度 | 急ぐべきこと |
|---|---|---|
| ① メールを開いただけ(プレビュー含む) | 低 | 基本的に実害なし。報告のみ |
| ② リンクをクリックしたが、何も入力していない | 中 | 端末の確認・報告 |
| ③ 偽サイトにID・パスワードを入力した | 高 | 即パスワード変更・MFA確認 |
| ④ 添付ファイルを開いた/ファイルを実行した | 高 | 即ネットワーク隔離・報告 |
| ⑤ クレジットカード番号等を入力した | 高 | カード会社へ連絡・利用停止 |
① メールを開いただけ → 落ち着いてOK
現在の一般的なメール環境(Microsoft 365、Gmail等)では、メールを開いた(本文を表示した)だけでウイルスに感染することは基本的にありません。
やるべきことは2つだけです。
- リンク・添付には触れず、情シスまたは上司に報告(後述のとおり、同じメールが他の社員にも届いている可能性が高いため、報告は「みんなを守る行動」です)
- 報告後、指示に従ってメールを削除
② リンクをクリックしたが、何も入力していない
リンク先を開いただけで即感染するケースは多くありませんが、ゼロではありません(ブラウザの脆弱性を突く攻撃や、偽のアップデート画面からのファイルダウンロード誘導など)。
- 開いたページを閉じる。 表示される警告や「ウイルスに感染しました」という画面の指示には絶対に従わない(それ自体が詐欺の続きです。偽のサポート画面が出た場合はサポート詐欺の対処法も参照)
- 何かダウンロード・実行していないか思い出す。 「インストールしますか?」に心当たりがあれば④へ
- ウイルス対策ソフトでフルスキャンを実行
- 情シスに報告し、クリックしたURLを伝える(社内でのブロック対応につながります)
③ ID・パスワードを入力してしまった【最優先:時間との勝負】
攻撃者は盗んだ認証情報を数分〜数時間以内に使い始めます。ここは1分を争います。
ステップ1:今すぐパスワードを変更する(5分以内)
入力してしまったアカウント(例:Microsoft 365、Google、銀行など)のパスワードを、正規のサイト・アプリから変更します。メール内のリンクからは絶対にアクセスしないでください。
ステップ2:同じパスワードの使い回し先も変更する
同じ・似たパスワードを他のサービスでも使っている場合、そちらも芋づる式に危険です。すべて変更します(これを機にパスワードマネージャーの導入を強くおすすめします)。
ステップ3:MFA(多要素認証)の状態を確認する
- MFAが有効なら、パスワードが盗まれてもただちに侵入されない可能性が高い。ただし「身に覚えのない認証リクエスト」が来たら絶対に承認しない
- MFAが未設定なら、パスワード変更後すぐに設定する
ステップ4:サインイン履歴と設定の改ざんを確認する
会社のアカウントの場合は情シスに依頼してください(Microsoft 365 / Google Workspaceのサインインログで不審なアクセスを確認できます)。あわせて確認すべき定番の改ざんポイントは、
- メールの転送設定(攻撃者が外部アドレスへの自動転送を仕込む)
- 受信トレイのルール(特定メールを隠すルール)
- 連携アプリの許可(身に覚えのないアプリ連携)
ステップ5:情シス・上司へ報告
会社のアカウントなら、ここまでの応急処置と並行して必ず報告します。管理者側ではサインインのブロック、全セッションの強制サインアウト、影響範囲の調査が必要です。
④ 添付ファイルを開いてしまった・実行してしまった
マルウェア感染の可能性を前提に動きます。
- ネットワークから切り離す: Wi-Fiをオフ、有線LANは抜く。電源は切らない(メモリ上の証拠が消え、調査が難しくなります。シャットダウンは指示があってから)
- その端末を操作しない: パスワード変更などは別の安全な端末から行う
- 即、情シス・上司へ報告: 「何時頃、どのファイルを開いたか」を伝える
- 以降は会社の指示に従う(EDR/ウイルス対策によるスキャン、必要に応じ初期化)
⑤ カード番号・口座情報を入力してしまった
- カード会社・銀行の緊急窓口へ即連絡し、利用停止と再発行を依頼
- 利用明細を確認し、身に覚えのない請求は補償手続きへ
- 警察(サイバー犯罪相談窓口 #9110)・フィッシング対策協議会への情報提供も検討
会社・情シス側の対応フロー(報告を受けたら)
従業員から報告を受けた管理者側のチェックリストです。
- 該当アカウントの保護: パスワードリセット、全セッション失効、サインインリスクの確認
- 改ざん確認: 転送設定・受信トレイルール・アプリ連携・MFA登録デバイスの変更有無
- 横展開の確認: 同じフィッシングメールが他の社員に届いていないか検索し、一斉削除・注意喚起
- 送信元のブロック: 該当ドメイン・URLをメールフィルタ/Webフィルタでブロック
- 記録: 時系列の対応記録を残す(再発防止と、取引先・監査への説明用)
そして最も大切なのは、報告した社員を絶対に責めないことです。責める文化は「次から黙って隠す」文化を生み、被害を最大化します。
再発防止:仕組みで守る
人の注意力だけに頼る対策は必ず破られます。仕組みでの防御を進めましょう。
- MFAの全社強制(パスワードが盗まれても侵入させない最後の砦。M365のMFA設定/GWSの2段階認証強制)
- パスキー対応(そもそも「入力するパスワード」をなくす。パスキー解説)
- 送信ドメイン認証(自社を騙るメールを防ぐDMARC/DKIM/SPF設定)
- 訓練(定期的なフィッシング訓練で「報告する習慣」を作る)
まとめ
- 開いただけなら実害はほぼなし。 慌てず報告を
- 入力してしまったら時間との勝負。 正規サイトから即パスワード変更→使い回し先も変更→MFA確認→転送設定等の改ざん確認
- 添付を開いたらネットワーク隔離(電源は切らない)→別端末から対処→即報告
- 会社側は「アカウント保護→改ざん確認→横展開確認→ブロック→記録」。報告者を責めないことが最大の防御文化
- 根本対策はMFA・パスキー・DMARC・訓練の「仕組み化」
情シス365では、フィッシング被害時の緊急対応支援から、MFA・パスキー・メール認証の導入、フィッシング訓練の実施まで一貫して支援しています。「いま被害に遭っているかもしれない」という緊急のご相談もお受けしています。