ドメイン番人
フィッシング報告なりすましWeb 担当者

フィッシング報告先 日本|窓口一覧と手順

ドメイン番人6 分で読めます
目次

この記事でわかること

  • 日本国内のフィッシング・偽メール正規報告先の一覧と使い分け
  • 報告メールに含めるべき5つの最小情報
  • 受信した「物」の種類別に、どこへ最優先で報告するかの判断フロー

報告先がバラバラで迷う問題

フィッシングメールや偽メールを受信したとき、「どこに報告すれば正しく対処されるのか」が一覧で出てこない、というのが現場でよくある悩みです。日本国内には複数の公的窓口と業界団体、そして各サービス事業者ごとの個別通報フォームが並存しており、報告先選びを誤ると対処が遅れます。

本記事では、用途別に整理した報告先と、報告メールに含めるべき最小情報を、Web 担当者がすぐ実務で使えるかたちでまとめます。

受信物の種類で報告先を判断する

最初の判断は「受信したものが何か」で行います。下のフローチャートをイメージしておくと、迷ったときに30秒で報告先が決まります。

受信物の種類別 報告先フローチャート

報告先の主要な使い分けは次の4区分です。

  1. フィッシングメール(一般) → フィッシング対策協議会(情報提供)+ JPCERT/CC(必要に応じ)
  2. 企業ドメインを騙る偽メール(自社や取引先名義) → フィッシング対策協議会 + 騙られた企業のセキュリティ窓口
  3. 不正アクセス・実害が発生済み → 警察庁(サイバー警察局)+ 都道府県警サイバー犯罪相談窓口
  4. 個別サービス(銀行・SNS・EC等)の偽サイト・偽メール → 該当サービスの公式通報フォーム(後述)

国内の主要報告先一覧

フィッシング対策協議会(推奨される最初の窓口)

フィッシングメールや偽サイトの情報を集約し、国内のフィルタリングサービスやブラウザに共有している民間の業界団体です。最も汎用的な報告先で、迷ったらここに送るのが安全な選択になります。

報告先メールアドレスや受付方法はフィッシング対策協議会 報告窓口で公開されています。メールの転送形式(ヘッダ情報込み)が推奨される受付フォーマットです。

JPCERT/CC(インシデント全般・国際連携が必要なケース)

JPCERT コーディネーションセンター(一般社団法人 JPCERT コーディネーションセンター)は、国内外の CSIRT(コンピュータセキュリティインシデント対応チーム)と連携してインシデント対応を行う組織です。海外サーバーがフィッシングサイトのホスティング元になっているケースなど、国際的な調整が必要な場面で機能します。

報告窓口の詳細はJPCERT/CC インシデント報告を参照してください。

IPA(独立行政法人 情報処理推進機構)

IPAは情報セキュリティ全般の相談窓口を運営しています。フィッシングそのものというより、その先で発生したウイルス感染・不正アクセス・情報漏えいの相談に強い窓口です。

BECに発展した場合の対策ガイドは姉妹記事のBEC対策|中小企業の現実解5つを参照してください。

警察庁・都道府県警サイバー犯罪相談窓口

実害(不正送金、認証情報の漏えい、不正利用など)が発生した、または発生する恐れが高いと判断したら警察に通報します。被害届の受理は、銀行の送金組戻しや国際送金停止の根拠にもなります。

消費者庁(一般消費者の被害が大規模に発生しているケース)

事業者の自社対応というより、消費者保護の観点で発信や規制が必要なケースで活用します。一般消費者向けの注意喚起は消費者庁が窓口です。

各サービス事業者の通報窓口

実際にフィッシングメールで多いのは、特定の銀行・SNS・EC事業者を騙るものです。それらは騙られた事業者本人に通報することで偽サイトテイクダウンが最も早く進みます。

大手SNS・プラットフォーム

  • Google(Gmailの迷惑メール報告・Googleアカウント不正利用): Gmail受信箱の「フィッシングを報告」ボタン
  • Microsoft(Microsoft 365・Outlook.com の偽メール): Outlookの「迷惑メール > フィッシング」報告
  • Meta(Facebook / Instagram): 各サービスのヘルプセンター内「なりすまし報告フォーム」
  • LINE: 公式ヘルプの「不正利用報告フォーム」

銀行・クレジットカード会社

各金融機関は公式サイトに「フィッシング・なりすましメールに関する注意喚起」と通報フォームを設けています。「(銀行名) フィッシング 報告」で検索すると、たいてい上位に専用ページが出ます。メール本文の URL は絶対にクリックせず、必ずブックマークまたは検索からアクセスしてください。

EC・配送業者

Amazon・楽天・ヤマト運輸・日本郵便などの偽SMS/偽メールは大量に出回っています。これらも公式サイトに専用窓口があるので、騙られた事業者を直接通報するのが最短ルートです。

報告メールに含める5つの最小情報

どの窓口に報告する場合も、ヘッダ情報込みのメール原本を送るのが原則です。これは送信元IPや経由サーバーの情報が含まれており、調査の精度が大きく変わるためです。

報告メールに含めるべき5つの情報

最低限含めるべき情報は次の5点です。

  1. メールヘッダ全文(Gmail なら「メッセージのソースを表示」、Outlook なら「プロパティ > インターネットヘッダー」)
  2. メール本文全文(HTML 形式の場合はソースも)
  3. 受信日時とタイムゾーン(自動でヘッダに含まれますが、念のため本文に明記)
  4. クリックしたか・情報を入力したかの有無(実害の有無で対応が変わる)
  5. 報告者の連絡先(フォローアップが必要な場合の確認用)

メールを転送するときは、転送形式によってヘッダが落ちることがあるため、「添付として転送」または「.eml ファイルとして添付」 を選んでください。

ドメインを騙られた側になったら

自社ドメインや取引先ドメインがフィッシングに使われていることが判明した場合、報告先の優先順位は次の通りです。

  1. フィッシング対策協議会 に情報提供(フィルタリングサービスへの共有が早い)
  2. 騙られた企業のセキュリティ窓口 に連絡(取引先が騙られているなら速やかに通知)
  3. 偽サイトの ホスティング事業者・レジストラ へテイクダウン依頼(必要に応じ JPCERT/CC 経由)
  4. 自社の顧客・取引先への注意喚起

自社ドメインが既にフィッシングに使われているかの確認方法は自分のドメインがなりすまされているか確認する方法で整理しています。また類似ドメインによる偽装の手口はタイポスクワッティングとはを、なりすまし防止の技術側施策はメールなりすまし防止策を併読してください。

やってはいけない3つの行動

  • メール内のURLをクリックして確認しに行く: 認証情報が盗まれる、または訪問ログを残して標的化される
  • 「配信停止」リンクを押す: 配信停止ではなく「アクティブな受信者」として認識され、攻撃が増える
  • 返信して相手に確認する: 攻撃者にメールアドレスがアクティブだと知らせるだけ。確認は必ず別チャネル(電話・公式サイト経由)で行う

よくある質問

一通の報告で複数の窓口に同時に送ってよいですか

問題ありません。フィッシング対策協議会と、騙られた事業者の双方に同時送付するのが実務的です。重複報告で混乱が起きることはほぼなく、むしろ対処スピードが上がります。

偽SMS(スミッシング)はどこに報告すればよいですか

メールと同じくフィッシング対策協議会が窓口になります。あわせて携帯キャリアの迷惑メッセージ報告(NTTドコモ、KDDI、ソフトバンクそれぞれに専用窓口あり)にも送ると、ネットワーク側でブロックされる可能性が上がります。

報告したあと、返信や対応報告は来ますか

組織によります。フィッシング対策協議会や JPCERT/CC は基本的に個別返信を行わず集約処理する方針です。警察に被害届を出した場合は捜査の進捗が連絡されます。

まとめ

  • 報告先は受信物の種類で判断する。汎用ならフィッシング対策協議会、実害発生済みなら警察、海外サーバー絡みなら JPCERT/CC
  • 個別サービスを騙るフィッシングは、騙られた事業者本人の通報窓口が最も早く効く
  • 報告メールにはヘッダ込みの原本 + 5つの最小情報を添える。「添付として転送」が基本

まずは現状を把握しましょう

自社ドメインがフィッシングに使われていないか、設定状況がわからない方は、無料のドメイン番人 診断ツールでSPF・DKIM・DMARCを数十秒で確認できます。

報告先の選定や、騙られた際の対応フローでお困りの場合は、お問い合わせからご相談ください。実務経験のある専門家がサポートします。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから