危険なリンクをクリックする前に!あなたの身を守るURLチェック術
※当サイトはアフィリエイトプログラムを利用しています。
インターネットバンキングやオンラインショッピングなど、私たちの生活に深く浸透しているインターネット。
しかし、その利便性の裏側で、フィッシング詐欺という危険も潜んでいます。
この記事では、フィッシング詐欺の入り口となるURLに焦点を当て、その巧妙な手口と、騙されないための具体的な対策を解説します。
URLを隅々まで確認する方法
URLを隅々まで確認するのはフィッシング詐欺を見抜くもっとも重要なポイントの一つです。
正規サイトのURLと一字一句違わないか、注意深く確認。
正規サイトのURLと偽サイトのURLの違いを例にして掲載しましたので、あなたと一緒に見ていきましょう。
スペルミスやタイプミス
正規のURLと似ていても、微妙にスペルが間違っていることがあります。
フィッシング詐欺犯は、正規のURLと非常に似た、しかし微妙に異なるURLを作成してユーザーを騙そうとします。
これは、人がURLを注意深く読んでいないことや、視覚的な類似性に気づきにくい心理を利用した手口。
具体的には、以下のようなパターンがよく見られます。
1. 文字の挿入
正規のURLに、意図しない文字を1文字または数文字挿入するケース。
正規: www.example.com
偽: www.ex**a**mple.com (「a」が一つ多い)
偽: www.exampl**e1**.com (数字の「1」が挿入されている)
偽: www.exampl**ee**.com (同じ文字が繰り返されている)
2. 文字の削除
正規のURLから、一部の文字を意図的に削除するケース。
正規: www.security.example.com
偽: www.securit.example.com (「y」が抜けている)
偽: www.exampl.com (「e」が抜けている)
3. 文字の置換
正規のURLから、一部の文字を、別の似たような文字に置き換えるケースです。
正規: www.google.com
偽: www.go**o**gle.com (「o」が二つになっている - これは実際によくある手口)
偽: www.exampl**e**.co**m** (「e」と「m」がそれぞれ別の文字に置き換わっている)
偽: www.rnicrosoft.com (「m」と「n」が入れ替わっている - キーボードで隣接している文字は特に間違いやすい)
4. ドット(.)の位置の変更や追加
ドットの位置を微妙に変えたり、本来ないはずのドットを追加したりするケース。
正規: www.example.com
偽: www.example**_.**com (アンダースコアに似た記号を使用)
偽: www.example.co**m.**jp (本来ないはずのドットが追加されている)
偽: www.examplecom.net (ドットが省略されている)
5. 大文字と小文字の悪用
URLは大文字と小文字を区別しないのが原則ですが、見た目の印象を似せるために意図的に大文字を使用する場合がある。
正規: www.example.com
偽: www.ExAmPlE.com (一見同じように見えます)
これはAmazonの偽サイトで時々見かけるタイプ。
「Amazon」が「Amazon」と表示されています。
フィッシング詐欺URLにスペルミスやタイプミスがある理由
フィッシング詐欺URLにスペルミスがある理由フィッシング詐欺のURLにスペルミスが含まれる理由は以下の通りです。
- ・フィルター回避
- セキュリティフィルターをすり抜けるため。
- ・注意をそらす
- ユーザーの注意をミスに向けさせ、他の不審点を見逃させるため。
- ・ユーザーを絞り込む
- 騙しやすいユーザーを絞り込むため。
- ・作成者の知識不足
- 単純なミスである可能性。
- ・不完全な模倣
- 正規サイトの模倣が不完全なため。
余計な文字列
正規のURLにはない、覚えのない文字列や記号が含まれている場合が。
正規のウェブサイトのURLは、通常、その運営組織やサービス内容と関連性の高い、シンプルで覚えやすい構造。
一方、フィッシング詐欺の偽サイトでは正規のURLに似せつつも、ユーザーを混乱させたり、別の悪意のあるサイトへ誘導したりするために、様々な「余計な文字列」が追加されているのです。
具体的には、以下のようなパターンが考えられます。
1. 正規サイト名とは無関係な単語やフレーズの追加
正規サイト名に、全く関係のない単語やフレーズが前後に付加されている場合。
例:正規: www.example.com
偽: www.secure-login-example.com (「secure-login」という正規サイトにはない文字列が付いている)
偽: www.example-official-support.net (「-official-support」という紛らわしい文字列が付いている)
偽: www.login.example.verify.ru (.ruというロシアのトップレベルドメインが付いている上に、「verify」という余計な単語がある)
2. 紛らわしいサブドメインの使用
正規サイトでは使用しないような、紛らわしい名前のサブドメインが使われている。
例:
正規: www.example.com
偽: login.example.phishing.com 「phishing」という単語が含まれている場合もありますが、より巧妙な例では「security」や「update」など、正規サイトでも使われそうな単語が使われる。
偽: account.example-support.info
正規サイトは「example.com」なのに、「example-support.info」という別のドメインになっている。
3. 特殊な記号や文字の混入
正規のURLではあまり使われないような、特殊な記号や文字が紛れ込んでいることがある。
例:
正規: www.example.com
偽: www.examp1e.com (数字の「1」が混ざっている)
偽: www.example!.com (感嘆符が含まれている)
偽: www.example_.com (アンダースコアが含まれている)
4. 長すぎる、不自然なURL
正規サイトのURLは、比較的短く、覚えやすいことが多い。
極端に長いURLや、意味不明な文字列が連なっている場合は、注意が必要。
例:
偽: www.example.com.login.authentication.verification.update.server.malicious.net (明らかに不自然に長い)
この様に長いURLは冒頭の「 www.example.com」部分を見せるのが目的、続いて「login.」とありますね。
「www.example.com.login」正規サイトのログインページのように見えるというわけです。
ハイフンやアンダースコアの悪用
正規サイト名にハイフンやアンダースコアが使われていないのに、URLに含まれている場合があります。
正規のウェブサイトのURL、特にドメイン名(例: example.com の example の部分)には、一般的にハイフンやアンダースコアはあまり使われません。
もし使われている場合でも、それはサイトの正式な名称の一部であることがほとんどです。
フィッシング詐欺犯は、この点を悪用し、正規サイト名には存在しないハイフンやアンダースコアをURLに含め、あたかも正規サイトであるかのように見せかけようとします。
具体的には、以下のような手口が考えられます。
1. 正規サイト名にハイフンを追加する
正規サイト名にはハイフンが含まれていないのに、偽サイトのURLにはハイフンが挿入されているケースです。
例:
正規: www.rakuten.co.jp
偽: www.raku-ten.co.jp (間にハイフンが入っている)
偽: www.rakuten-login.com (正規サイトは .co.jp なのに .com で、さらにハイフンと「login」という文字列が追加されている)
2. 正規サイト名にアンダースコアを追加する
正規サイト名にはアンダースコアが含まれていないのに、偽サイトのURLにはアンダースコアが挿入されているケース。
例:
正規: www.amazon.co.jp
偽: www.ama_zon.co.jp (間にアンダースコアが入っている)
偽: www.amazon_prime.net (正規サイトは .co.jp なのに .net で、さらにアンダースコアと「prime」という文字列が追加されている)
3. サブドメインやパスにハイフンやアンダースコアを不自然に使う
正規サイトではハイフンやアンダースコアを使用しないような箇所に、意図的に含めることで、URLを複雑に見せかけ、ユーザーの注意を逸らそうとします。
例:
正規: www.apple.com/support
偽: www.apple.com/-support (ハイフンがスラッシュの直前にある)
偽: www.apple.com/support_info (正規サイトでは「supportinfo」のように連結している可能性のある箇所にアンダースコアがある)
正規のURLにない覚えのない文字列や記号が含まれる理由
- ・偽装工作
- 正規のサイトに似せるための追加。
- ・誘導
- 悪意のあるサイトへ誘導するため。
- ・情報窃取
- ユーザー名やパスワードなど、特定の情報を入力させるため。
- ・フィルター回避
- セキュリティフィルターを回避するため
見慣れないトップレベルドメイン
正規サイトが使用しないトップレベルドメインが使われていることがあります。
トップレベルドメイン(TLD)とは、URLの末尾にある「.com」「.jp」「.org」などの部分のこと。
正規のウェブサイトは、その運営主体や地域、目的などに応じて適切なTLDを使用しています。
フィッシング詐欺犯は、正規サイトが通常使用しない、見慣れないTLDを意図的に使用することで、
ユーザーを混乱させたり、正規サイトとは異なる国や組織が運営しているように見せかけたりする手口を使います。
代表的なトップレベルドメイン(TLD)の種類
まず、一般的なTLDには以下のようなものがあります。
gTLD(分野別トップレベルドメイン)
特定の分野や目的を表すTLDです。
- .com: 商業組織(現在では用途が広がっています)
- .org: 非営利組織
- .net: ネットワーク関連組織
- .edu: 教育機関(主に米国)
- .gov: 政府機関(主に米国)
- .mil: 米国軍
- .info: 情報提供
- .biz: ビジネス
- .name: 個人
ccTLD(国別コードトップレベルドメイン)
ISO 3166-1で規定された国や地域に割り当てられたTLDです。
- .jp: 日本
- .us: アメリカ合衆国
- .uk: イギリス
- .cn: 中国
- .kr: 韓国
- .ru: ロシア
- .de: ドイツ
- .fr: フランス
- .ca: カナダ
- .au: オーストラリア
新gTLD
近年、ICANN(インターネット割当番号管理機構)によって導入された新しいgTLDです。
非常に多くの種類があります。
- .xyz
- .online
- .shop
- .club
- .app
- .blog
- その他多数
フィッシング詐欺における見慣れないTLDの悪用例
フィッシング詐欺サイトでは、正規サイトが通常使用しない、以下のようなTLDが使われることがあります。
正規サイトがccTLDを使用しているのに、gTLD(特に .com や .net など)を使用している場合
例: 正規サイトが .co.jp を使用しているのに、偽サイトが .com を使用している。
正規サイトと異なるccTLDを使用している場合
例: 日本のサービスなのに .ru(ロシア)や .cn(中国)などのTLDを使用している。
比較的新しいgTLDを使用している場合
悪意のあるサイトが比較的安価に取得しやすい新しいgTLDを使用する場合があります。
必ずしも新しいgTLD全てが危険というわけではありませんが、見慣れない場合は注意が必要です。
例: 正規サイトが .com を使用しているのに、偽サイトが .xyz や .online などのTLDを使用している。
見慣れないトップレベルドメイン (TLD) が使われる理由
主に以下のようなものがあります。
- ・ユーザーの不慣れさを利用する
- ユーザーが普段見慣れないTLDを使い、正規のサイトとの違いに気づきにくくする。
- ・目新しさで注意を引く
- 新しいTLDは、ユーザーにとって目新しく、興味を引く可能性があるため。
- ・コストが安い場合がある
- 比較的新しいTLDは、ドメイン登録費用が安い場合があるため。
実際にフィッシング詐欺で使われているドメインは中国のドメイン「.cn」をよく見かけます。
「コストが安い」という理由が一番多いのかな?と。
サブドメインの悪用
正規サイトとは異なるサブドメイン(例:security.〇〇.com のように、本来サブドメインがないサイトに付いている)が使われていることがあります。
サブドメインとは、ドメイン名の前に付加される文字列で、ウェブサイトの特定のセクションや目的を示すために使われます(例: blog.example.com、support.example.com など)。
正規のウェブサイトでは、サイトの構造や機能に応じて適切なサブドメインが使用されます。
フィッシング詐欺犯は、正規サイトが通常使用しない、または存在しないサブドメインを悪用することで、ユーザーを誤認させ、あたかも正規サイトの関連ページであるかのように見せかけようとします。
本来サブドメインがないサイトに紛らわしいサブドメインを付加する
正規サイトが www.example.com のようにサブドメインを使用していない場合、偽サイトでは security.example.com、login.example.com、update.example.com のように、ユーザーがアクセスしそうなキーワードを含むサブドメインを付加することがあります。
これは、セキュリティ関連やログインページであると信じ込ませるための手口です。
例:
正規: www.bank.co.jp
偽: login.bank.co.jp
偽: security-center.bank.co.jp
偽: notice.bank.co.jp
正規サイトとは異なる紛らわしい名前のサブドメインを使用する
正規サイトが特定のサブドメインを使用している場合でも、偽サイトでは非常に似た、しかし異なる名前のサブドメインを使用することがあります。
例:
正規: support.example.com
偽: supp0rt.example.com (数字の「0」で置き換えている)
偽: customer-support.example.com (余計な文字列を追加している)
存在しないはずの階層的なサブドメインを作成する
正規サイトではありえないような、深く階層化されたサブドメインを使用することで、URLを複雑に見せかけ、ユーザーの注意を逸らそうとします。
例:
正規: www.example.com
偽: login.secure.verify.example.com (複数の階層的なサブドメインを使用している)
無料のサブドメインサービスを悪用する
一部の無料ウェブホスティングサービスなどが提供するサブドメインを悪用し、正規サイト名に似た文字列を含むサブドメインを作成するケースがあります。
この場合、メインのドメイン名自体は見慣れないものだったりします。
例:
正規: www.company.com
偽: company.freewebhostingservice.net
サブドメインの悪用悪用する理由
フィッシング詐欺でサブドメインを悪用する理由は、主に以下の3点です。
- ・信用
- 正規サイトのサブドメインに見せかけるため。
- ・複雑化
- URLを長くし、詳細確認を避けるため。
- ・誘導
- 個人情報を入力しやすいページへ誘導するため。
その他の確認事項
・URL短縮サービスの利用
短縮URLサービス(bit.lyなど)を利用している場合、クリックする前に展開して実際のURLを確認する。
・検索結果のURL
検索エンジンの結果に表示されるURLも、完全に信頼できるとは限りません。不審な点があれば、直接ブラウザにURLを入力してアクセスする。
・ホバー表示の確認
メールやウェブサイト上のリンクにカーソルを合わせた際に表示されるURL(ホバー表示)を必ず確認し、リンク先が正規のURLと一致するか確認する。 (スマートフォンでは長押しで確認できます。)
フィッシング詐欺URLを見抜くための実践的チェックリスト
フィッシング詐欺のURLは巧妙に偽装されています。
以下の七つのポイントを一つずつ確認し、安全なウェブサイトであることを確認しましょう。
1.基本
正規URLとの完全一致を確認正規サイトのURLを正確に把握し、一字一句、記号の一つまで完全に同じか確認しましょう。
2.スペルミスやタイプミスに注意
正規URLと似ていても、わずかなスペルミスやタイプミスがないか確認しましょう。
例: example が exmaple になっていないか
3.不審な文字列の有無を確認
正規URLにない、覚えのない単語や記号が含まれていないか確認しましょう。
例: -login、.verify など不自然な追加がないか
4.ハイフンやアンダースコアの不自然な使用に注意
正規サイト名にないハイフンやアンダースコアが、不自然な位置に挿入されていないか確認しましょう。
例: ドメイン名の途中に - や _ がないか
5.見慣れないトップレベルドメイン(TLD)に警戒
正規サイトが使用しない、見慣れない TLD(.xyz、.ru など)が使われていないか確認しましょう。
6.不審なサブドメインに注意
正規サイトにない、または不自然なサブドメイン(login.、security-center. など)がないか確認しましょう。
階層が深すぎるサブドメインにも注意が必要です。
7.その他の確認事項
短縮URLは展開して実際のURLを確認しましょう。
検索結果のURLも鵜呑みにせず、不審な点があれば直接入力して確認しましょう。
リンクにカーソルを合わせた際に表示されるURLが、表示されているテキストと一致するか確認しましょう(スマートフォンは長押し)。
一つでも不審な点があれば、そのリンクやウェブサイトへのアクセスは控え、個人情報の入力は絶対に行わないでください。
これらの記事は様々な角度からフィッシングの見抜き方を解説、また対処法もありますので、ぜひご一読ください。
知識があれば詐欺を恐れることも詐欺に遇うこともなくなります。
フィッシング関連記事
これらの記事は様々な角度からフィッシングの見抜き方を解説、また対処法もありますので、ぜひご一読ください。
知識があれば詐欺を恐れることも詐欺に遇うこともなくなります。
フィッシング被害に遇ったら?フィッシングを防ぐ確実な方法とは<
見破れる?AIが仕掛ける最新フィッシング詐欺 脅威の裏側と対策
偽サイトに要注意!フィッシング詐欺対策に必須の【7つのポイント】
危険なリンクをクリックする前に!あなたの身を守るURLチェック術
【ボイスフィッシング(ビッシング)】の手口と被害を防ぐための対策ガイド
危険な罠を見抜け!【SNSフィッシング詐欺】の最新手口と自衛策
巧妙化する【SMSフィッシング】の脅威と対策あなたのスマホは大丈夫?
そのメール、本当に本物?個人情報を守るメールフィッシング完全対策ガイド
偽物Amazonのログイン画面にメアドとパスワードを入力してみた