マイルを狙う偽メールやSMSは、どこで見分ければいいですか？

「マイルが失効します」「マイル加算手続きのご案内」など、不安や得を強調してリンクを踏ませようとするものは要注意です。航空会社の公式は、メールやSMSのリンク先で会員番号・パスワード・クレジットカード番号・暗証番号などを入力させることはありません。差出人アドレスやリンク先のドメインが公式と違う、日本語が不自然、急かす——このいずれかがあれば、リンクは踏まず、公式アプリやブックマークから自分でログインして確認してください(2026-06時点)。

二段階認証を設定していれば、乗っ取りは防げますか？

二段階認証は有効な防御ですが、万能ではありません。航空会社の中には、ワンタイムパスワードを登録メールアドレス宛てに送る方式があり、そのメールアカウント自体が乗っ取られると、ワンタイムパスワードごと盗まれてしまうことがあります。だからこそ、ログイン用のパスワードと、認証メールを受け取るメールアカウントのパスワードは別々にし、使い回しを避けることが重要です(2026-06時点)。

偽サイトにマイル口座の情報を入力してしまいました。どうすればいいですか？

まず、そのサービスのパスワードを公式サイト(ブックマークや検索から)で変更します。同じパスワードを使い回している他のサービスも変更してください。ワンタイムパスワードの設定や通知先が勝手に変えられていないかを確認し、クレジットカード番号を入力した場合はカード会社に連絡します。会員ページでマイル残高・登録情報・交換履歴に身に覚えのない動きがないかも確認を。手続きはサービスごとに異なるため、各社の公式案内に従ってください(2026-06時点)。

盗まれたマイルやポイントは、戻ってきますか？

戻る場合もありますが、必ずではありません。各社が調査のうえ復旧に応じることもありますが、対応や条件はサービスごとに異なり、保証されたものではありません。だからこそ「取り返す」より「盗まれない・早く気づく」ほうが現実的です。気づいたらすぐ各社の窓口へ連絡し、やり取りの記録を残してください。具体的な対応は各社の公式・会員規約でご確認ください(2026-06時点)。

貯めたマイルを盗まれないために

TRAVEL · 情報基準日 2026-06-18 · 約3,000字 · 約7分

何年もかけてコツコツ貯めたマイルやポイントは、本人にとっては立派な資産です。ところが、現金やカードと違って「盗まれている実感」が持ちにくい。気づいたら残高が減っていた、見知らぬ交換がされていた——そういう被害が、航空会社のマイレージ口座をねらって実際に起きています。

先に結論を言います。マイルの乗っ取りは「メールやSMSのリンクを踏ませる」ところから始まる。 だから守りの中心は、難しいセキュリティ知識ではなく、リンクを踏まずに自分でログインして確かめるというたった一つの習慣です。あわせて、入力してしまったあとの「動く順番」を知っておけば、被害は小さくできます。

マイル：「マイルって、お金みたいにサイフから消えるわけじゃないから、盗まれても気づきにくいんだ…。」

ポルト：「そこが狙われる理由じゃ。通知をオンにして『早く気づける』状態を作り、怪しいリンクは踏まない。この二つでほとんど防げる。」

執事H：「『見分ける』と『動く順番を知っておく』。本日はこの二段構えでまいりましょう。」

なぜマイル口座が狙われるのか

クレジットカードの不正利用に比べ、マイルやポイントの口座は本人が残高をこまめに見ないことが多く、乗っ取りに気づかれにくいという特徴があります。盗んだマイルは電子マネーやギフトにすばやく交換されてしまうこともあり、現金化の経路になりやすいのです。実際、航空会社をかたるフィッシングは継続的に確認されており、フィッシング対策協議会の月次報告でも、航空・旅行系をかたる事例が一定の割合を占める月があります(数値は時期により変動します)。

つまり「自分のような一般会員は狙われない」という思い込みこそが、いちばんの隙になります。

📖 関連『マイルで得する貯め方・使い方』 — ANA/JALマイルの貯め方・特典航空券の取り方を体系的に整理。検索で最新版を確認できる。

典型的な手口を知っておく

敵の型を知ると、見分けやすくなります。マイル・ポイントを狙う詐欺は、おおむね次の入口から始まります。

「マイルが失効します」系のメール・SMS：期限切れの不安をあおり、「今すぐ手続きを」とリンクへ誘導する。
「マイル加算のご案内」「未積算マイルの反映手続き」系：得をエサにする。航空会社の公式注意喚起でも、こうした件名をかたる偽メールが報告されています。
本物そっくりの偽ログイン画面：リンクをクリックすると、公式そっくりのログイン画面が開き、会員番号・パスワード・さらにはクレジットカード番号・有効期限・セキュリティコードまで入力させようとする。
SNS上の偽広告・偽キャンペーン：「マイルが当たる」などの広告から偽サイトへ誘導するパターンも確認されています。

入口は違っても、ゴールはいつも同じ——あなたに「公式そっくりの画面」へ情報を入力させることです。

マイル：「『失効します』って言われると、つい焦ってリンクを押しちゃいそう…。」

執事H：「その『焦り』こそが相手の狙いです。急かされたときほど、いったん手を止めるのが正解でございます。」

📖 関連『地球の歩き方』 — 渡航先が決まったら定番のガイド。最新版で現地情報・モデルプランをチェック。

見分け方 — この4点でほぼ判定できる

完璧な真贋判定は難しくても、次の4点を見れば多くは見抜けます。

リンク先のドメインを確かめる：本物の航空会社のドメインかどうか。ana.co.jp や jal.co.jp といった公式ドメインと、少しだけ違う綴り・余計な文字列がついていないか。スマホは特に確認しづらいので、迷ったら踏まない。
「入力を求める内容」で判断する：航空会社の公式は、メールやSMSのリンク先で、会員番号・パスワード・カード番号・暗証番号などを入力させることはありません。求めてきたら、それだけで偽物と判断してよい。
急かす・不安をあおる文面：「本日中に」「失効します」「アカウントを停止しました」など、焦らせる文言は危険信号。
日本語や差出人の違和感：不自然な敬語・文字化け・見覚えのない差出人アドレス。

そして、いちばん確実なのは——メールのリンクを踏まず、公式アプリかブックマークから自分でログインして確かめること。本物のお知らせなら、ログイン後の会員ページにも同じ案内があるはずです。

📖 関連『地球の歩き方』 — 渡航先が決まったら定番のガイド。最新版で現地情報・モデルプランをチェック。

「二段階認証があるから安心」の落とし穴

二段階認証(ワンタイムパスワード)は強力な防御です。ただし、設定していれば絶対安全、ではありません。

航空会社の中には、ワンタイムパスワードを登録したメールアドレス宛てに送る方式があります。この場合、攻撃者があなたのメールアカウントそのものを乗っ取ると、ログインに必要なワンタイムパスワードまで盗み取り、本人になりすましてマイル口座へ入り込めてしまいます。実際、こうしたメール乗っ取り経由の不正ログインが確認されています。

だからこそ、守りの土台は次の二つです。

パスワードを使い回さない：マイル口座、メール、ほかのサービスで同じパスワードを使わない。一つ漏れると芋づる式に破られます。
ログイン用パスワードと、認証メールを受け取るメールアカウントのパスワードを別にする：この二つが同じだと、二段階認証の意味が薄れます。

パスワードを覚えきれない場合は、パスワード管理ツールを使うと、長くてバラバラなパスワードを安全に扱え、偽サイトに自動入力されない(=本物のドメインでしか反応しない)という副次的な防御にもなります。

ポルト：「鍵を増やしても、その鍵を入れた引き出しが共通なら意味がない。メールの鍵とマイルの鍵は、別々にしておくのじゃ。」

入力してしまったら — 動く順番

「やってしまった」と思っても、すぐ動けば被害は止められます。慌てる場面なので、そのまま実行できる順に並べます。

パスワードを変更する：偽サイトのリンクからではなく、公式アプリ・ブックマーク・検索から本物のサイトへ入って変更する。
使い回している他サービスも変更：同じパスワードを使っていた他のサービスもすべて変える。
ワンタイムパスワードの設定・通知先を確認：勝手に変更されていないか、通知の宛先(メールやSMS)が自分のものかを確認する。
カード番号を入力したならカード会社へ：利用停止・再発行・補償の相談を。利用通知をオンにして「早く気づける」状態にする。
会員ページを点検：マイル残高・登録情報・交換履歴に身に覚えのない動きがないか確認し、あれば各社の窓口へ連絡する。
記録を残す：受け取った偽メール、入力した日時、各社とのやり取りの番号を保存しておくと、その後の調査や相談がスムーズです。

盗まれたマイルが戻るかは、各社の対応次第で、保証されたものではありません。だからこそ「取り返す」より「早く気づいて止める」を優先します。

相談先 — 一人で抱えない

こんなとき	相談先
マイル口座の不正・乗っ取りの疑い	各航空会社・ポイントサービスの窓口(利用停止・調査・復旧の相談)
カード番号を入力してしまった	カード会社の窓口(利用停止・再発行・補償の相談)
フィッシングメールの報告・相談	フィッシング対策協議会(情報提供窓口)
消費生活トラブル全般	消費者ホットライン「188」(最寄りの消費生活センターへ)