失礼致します。 Apple IDのパスワードを変更されたのは適切な対応だと考えます。
1)こちらのサポートも確認しておくと良いと思います。
→ Apple ID の不正利用が疑われる場合 - Apple サポート
2)メール内のリンクをタップする前に、そのリンクに指を合わせた状態で少し待つと、メールアプリがリンク先のURLを表示してくれます。 それが、Appleのものとは明らかに異なる場合や、暗号化されたサイトを示す『https://』で始まらない場合は、フィッシングメールだと判断した方が良さそうです。
→ 不正な「フィッシング」メールを特定する - Apple サポート
3)既に実施済みかもしれませんが、Apple IDに2ステップ確認、あるいは、2ファクタ認証を設定しておくとApple IDのセキュリティーを強めることができると思います。
4)『早急にアカウントとパスワードを変更』なさったとのことです。 パスワードの変更は理解できるのですが、アカウントを変更されたのは事実でしょうか? また、それは、Apple IDの主要メールアドレスを変更されたということでしょうか?