偽サイトに要注意!フィッシング詐欺対策に必須の【7つのポイント】
※当サイトはアフィリエイトプログラムを利用しています。
ある日突然届いた心当たりのないメールやSMSのリンク。
クリックした先に表示されたのは、まるで本物そっくりのウェブサイト。
もしかしたら、それはあなたの個人情報を狙うフィッシング詐欺かもしれません。
この記事では、そんな巧妙な偽サイトに騙されないために、誰もが実践できる7つの見分け方を具体的に解説します。
あなたのデジタルライフを守るために、ぜひご一読ください。
- 目次
- ①URLを隅々まで確認する
- ②不自然な日本語やぎこちない表現がないか
- ・明らかな誤字脱字
- ・不自然な言い回し
- ・全体的にぎこちない文章
- ③SSLサーバー証明書(鍵マーク)の有無と詳細
- ・SSLサーバー証明書とは
- ・・鍵マークの有無による違い
- ・鍵マークがある場合の確認ポイント(証明書の詳細)
- ・・「接続は安全です」または同様の表示
- ・鍵マークがあるから完全に安全とは限らない
- ④コピーされた連絡先・運営者情報に騙されない
- ・コピーされた情報を見抜くチェックポイント
- ⑤緊急性を煽るような文言に注意
- ⑥身に覚えのないメールやSMSからの誘導に警戒
- ・身に覚えのないメールやSMSに潜む危険
- ・身に覚えのないメールやSMSの典型的なパターン
- ⑦不自然な入力フォームや個人情報の要求
- ・不自然な入力フォームの特徴
- ・不自然な個人情報の要求の例
①URLを隅々まで確認する
正規サイトのURLと一字一句違わないか、注意深く確認することが重要です。
1. スペルミスやタイプミス
正規のURLと似ていても、わずかなスペルミスやタイプミスがあります。
例: www.example.com → www.example.com、www.example1.com など
2. 余計な文字列
正規のURLにない、覚えのない文字列や記号が含まれていることがあります。
例: www.example.com → www.secure-login-example.com、www.login.example.verify.ru など
3. ハイフンやアンダースコアの悪用
正規サイト名に使われていないハイフンやアンダースコアがURLに含まれていることがあります。
例: www.rakuten.co.jp → www.raku-ten.co.jp、www.amazon.co.jp → www.ama_zon.co.jp など
4. 見慣れないトップレベルドメイン
正規サイトが使用しない、見慣れないトップレベルドメイン(TLD)が使われていることがあります。
例: 正規サイトが .co.jp → 偽サイトが .com、.xyz など
5. サブドメインの悪用
正規サイトとは異なるサブドメインが悪用されていることがあります。
例: www.bank.co.jp → login.bank.co.jp、security-center.bank.co.jp など
フィッシング詐欺のURLは正規のURLと非常によく似ているため、注意深く確認しないと見抜くことが困難です。
常にURLを隅々まで確認し、少しでも不審な点があれば、安易にアクセスしないように心がけましょう。
「URLを隅々まで確認する」はこちらに詳細にまとめています。
あなたの身を守るURLチェック術を様々な例から伝授
②不自然な日本語やぎこちない表現がないか
これらの特徴は、偽サイトの作成者が日本語を母語としない場合や、翻訳ソフトなどを利用して作成している場合に顕著に現れます。
プロのウェブサイトであれば、通常は校正やチェックが行き届いているため、以下のようなミスは起こりにくいと考えられます。
また、AIが日々進化する中、フィッシングサイトやフィッシングメールの「不自然な日本語やぎこちない表現」というのは、どんどん少なくなります。
難しいと言われる日本語もAIを使えば不自然さを全く感じない文章を作成できてしまいます。
実際にフィッシングメールの文章はここ2~3年で、全体的な精度が上がっていると感じます。
「不自然な日本語やぎこちない表現がないか」は、あくまでもチェックポイントの一つとして捉えましょう。
明らかな誤字脱字
漢字の誤り
例:「情報」が「情砲」になっている、「登録」が「登緑」になっているなど、意味が通じない漢字が使われている。
同音異義語の誤用も多い(例:「御利用」が「ご利用」であるべきところが「御利用」になっているなど)。
ひらがな・カタカナの誤り
例:「ください」が「くだいさい」になっている、「パスワード」が「ぱスワード」になっているなど、明らかにタイプミスと思われるもの。
「ッ」や「ャ」などの促音・拗音の使い方が間違っている(例:「キヤンペーン」が「キャンペーン」であるべきなど)。
記号の誤りや抜け
句読点(、。)の抜けや誤った使用。
括弧()や引用符“”などの対応が取れていない。
全角と半角が混在している(特に英数字や記号)。
不自然な言い回し
主語と述語のねじれ
文の主語と述語が意味的に対応していない(例:「お客様にご満足いただけるよう、努力していく所存です。」のような、主体が曖昧な表現)。
不適切な敬語の使用
必要以上に丁寧すぎる、または逆にぞんざいな敬語が使われている。
二重敬語になっている(例:「お伺いさせていただきます」など)。
相手や状況に合わない敬語を使っている。
直訳調の表現
英語や他の言語から直訳したような、日本語として不自然な言い回し(例:「~することは可能です。」「~の故に」など)。
文脈に合わない言葉遣い
フォーマルな場面でくだけた表現が使われている、またはその逆。
全体的にぎこちない文章
文章のつながりが不自然
段落間の論理的な繋がりがなく、脈絡のない文章が続く。
接続詞の使い方が不適切で、文章の流れがスムーズでない(例:「しかし、~」「そして、~」などの多用)。
同じ表現の繰り返し
同じ単語や言い回しが何度も繰り返され、文章が単調で読みにくい。
類義語や言い換えが使われていない。
冗長な表現が多い
必要以上に長い修飾語句が使われている。
意味の重複する言葉が使われている(例:「~について説明させていただきます」など)。
句読点の使い方が不適切
読みにくいほど句読点が少ない、または多すぎる。
不自然な位置で改行されている。
これらの特徴が一つでも見られた場合は、そのウェブサイトが正規のものではない可能性を疑う必要があります。
特に、複数の不自然な点が組み合わさっている場合は、フィッシング詐欺サイトである可能性が非常に高いと言えるでしょう。
常に注意深く文章を読むように心がけ、少しでも違和感を覚えたら個人情報の入力は避けるようにしてください。
③SSLサーバー証明書(鍵マーク)の有無と詳細
多くの正規サイトでは、通信を暗号化するSSLサーバー証明書を使用しています。
ウェブサイトのアドレスバーに表示される鍵マークはその証です。
マイクロソフトは錠前アイコン、グーグルでは錠前ではないでアイコンが表示されます。
便宜上、通信が暗号化された安全なウェブサイトを示すアイコンを「鍵マーク」とします。
この部分ですね。
グーグル
マイクロソフト
SSLサーバー証明書とは
SSL (Secure Sockets Layer) およびその後継である TLS (Transport Layer Security) は、インターネット上でデータを安全に送受信するための暗号化プロトコルです。
SSLサーバー証明書は、ウェブサイトの運営者がこの暗号化技術を利用していると証明するデジタル証明書です。
鍵マークの意味
ウェブブラウザのアドレスバーに表示される鍵マーク(または錠前アイコン)は、そのウェブサイトとの通信がSSL/TLSによって暗号化されていることを示しています。
これは、あなたがウェブサイトに入力した情報(個人情報、パスワード、クレジットカード情報など)が、第三者に傍受・盗聴されるリスクを大幅に低減するものです。
鍵マークの有無による違い
鍵マークが表示されている場合(HTTPS接続)
ウェブサイトとあなたのブラウザ間の通信は暗号化されています。
ウェブサイトの運営者の身元が認証されている場合があります(証明書の種類によります)。
アドレスバーのURLが http:// ではなく https:// で始まります。https の「s」は Secure(安全)を意味します。
鍵マークが表示されていない場合(HTTP接続)
ウェブサイトとあなたのブラウザ間の通信は暗号化されていません。
入力した情報が暗号化されずに送信されるため、第三者に傍受される可能性があります。
アドレスバーのURLが http:// で始まります。
個人情報や機密情報の入力は非常に危険です。
鍵マークがある場合の確認ポイント(証明書の詳細)
鍵マークが表示されている場合でも、より安全性を確認するために、証明書の詳細を確認することが重要です。
確認方法はブラウザによって異なりますが、一般的には鍵マークをクリックすることで詳細が表示されます。
マイクロソフトブラウザだとこういった表示になっています。
鍵を展開した状態だとスクショnできなかったので、スマホで撮影しました。
マイクロソフトの鍵を展開
マイクロソフトの鍵から「接続がセキュリティで保護されています」を展開
確認すべき主な項目は以下の通りです。
「接続は安全です」または同様の表示
ブラウザがSSL/TLS接続が確立されていることを示しています。
証明書の情報
・発行者 (Issued to)
証明書が誰(どのドメイン)に対して発行されたかを示しています。
アクセスしているウェブサイトのドメイン名と一致しているか確認してください。
・発行元 (Issued by)
証明書を発行した認証局 (Certificate Authority - CA) の名前が表示されます。
信頼できる認証局によって発行されているかを確認することも重要ですが、一般のユーザーが判断するのは難しい場合があります。
有名な認証局であれば比較的信頼性が高いと言えます。
・有効期間 (Valid from ... to ...)
証明書の有効期限が切れていないか確認してください。
有効期限切れの証明書は、セキュリティ上リスクの可能性があります。
詳細情報(技術的な情報)
暗号化スイート (Cipher Suite)
使用されている暗号化アルゴリズムの種類が表示されます。
最新の強固な暗号化方式が使用されているかを確認できます(一般のユーザーが詳細を理解する必要はありませんが、情報として表示されます)。
プロトコル (Protocol)
使用されているSSL/TLSのバージョンが表示されます。
比較的新しいバージョン(TLS 1.2、TLS 1.3など)が推奨されます。
鍵マークがあるから完全に安全とは限らない
SSLサーバー証明書は通信を暗号化するだけであり、ウェブサイト自体が本物であることや、悪意のあるコンテンツが含まれていないことを保証するものではありません。
フィッシング詐欺サイトでもSSLサーバー証明書を取得している場合があります。
EV SSL証明書(より厳格な認証)
一部のウェブサイトでは、より厳格な認証プロセスを経た EV (Extended Validation) SSL証明書を使用しています。
この場合、アドレスバーに鍵マークだけでなく、組織名や運営者の名前が表示されることがあります。
これは、ウェブサイトの信頼性をより高く示す指標となります。
警告が表示される場合
「この接続は完全に安全ではありません」などの警告が表示される。
証明書の一部に問題がある(有効期限切れ、発行者の検証ができないなど)場合に表示されます。
このような警告が出ているサイトには、個人情報や機密情報を絶対に入力しないでください。
④コピーされた連絡先・運営者情報に騙されない
フィッシング詐欺サイトの手口はますます巧妙化しており、見た目だけでなく、連絡先や運営者情報まで正規のウェブ
サイトからそっくりそのままコピーして掲載するケースが増えています。
これにより、「連絡先が載っているから安心」と油断してしまうユーザーを狙っています。
しかし、これらの情報はあくまで偽装されたものであり、実際に連絡を取ろうとしても繋がらなかったり、全く別の人物・組織に繋がったりする可能性があります。
コピーされた情報に騙されないために、以下の点に十分注意してください。
コピーされた情報を見抜くチェックポイント
電話番号
電話番号記載されている電話番号に実際に電話をかけてみてください。
繋がらない。
全く関係のない人物・組織が出る。
不自然なガイダンスが流れる。
常に話し中である。
メールアドレス
記載されているメールアドレスに問い合わせメールを送ってみてください。
返信がない。
自動返信のような、一般的な内容の返信しか来ない。
不自然な日本語や内容の返信が来る。
住所
記載されている住所を地図検索などで確認してみてください。
実在しない住所である。
全く関係のない建物(個人の住宅、廃墟など)が表示される。
バーチャルオフィスやレンタルオフィスの住所である場合、そのサービス自体が悪用されている可能性も考慮する。
会社名・団体名
記載されている会社名や団体名をインターネットで検索してみてください。
正規の会社・団体のウェブサイトが存在しない。
全く異なる事業内容の会社・団体である。
評判や口コミが極端に悪い(ただし、競合他社による悪評の可能性も考慮する)。
代表者名
記載されている代表者名を検索してみてください。
正規の会社・団体の代表者名と一致しない。
情報が全く出てこない、または不審な情報しか出てこない。
ウェブサイト全体との整合性を確認
・サイトのデザインや内容
連絡先・運営者情報だけが本物に見えても、サイト全体のデザインや日本語が不自然な場合は、情報の信憑性を疑うべきです。
・他のページとの矛盾
サイト内の他のページに記載されている情報(例:利用規約、プライバシーポリシーなど)と、連絡先や運営者情報が矛盾していないか確認してください。
本物とどんなにそっくりでも、サイト内の他のページへアクセスできない、アクセス出来ても偽のログインページがまた表示されるだけといったフィッシングサイトもあります。
私自身の経験では、サイト内の他のページへアクセスして一見完璧に見えるようでも、実は本物のウエブサイトへのリンクで、ページを移動すると本物のウエブサイトへ移動するというフィッシングサイトもありました。
情報が画像として掲載されている場合
連絡先や運営者情報がテキストとしてコピーできないように、画像として掲載されている場合があります。
これは、検索エンジンのクローラーによる情報収集を逃れ、偽装を発覚しにくくする手口の一つです。
テキストとして選択・コピーできない場合は、警戒が必要です。
情報を画像として掲載するのは悪徳業者や詐欺師共通の手口でしょう。
最も重要なのは、「連絡先や運営者情報が記載されている」という事実だけで安易に信用せず、常に疑いの目を持つことです。
⑤緊急性を煽るような文言に注意
フィッシング詐欺犯は、ユーザーを焦らせ、冷静な判断力を失わせることで、ID・パスワード、クレジットカード情報、個人情報などを入力させようとします。
そのため、あたかも「今すぐ対応しないと大変なことになる」と思わせるような、時間的な制約や危機感を強調する文言を多用します。
緊急性を煽る文言の具体的な例と注意点
「本日中にご対応ください。」
「〇月〇日までに手続きが必要です。」
「今すぐアカウントを更新してください。」
「〇時間以内にアクセスしないと無効になります。」
「すぐにパスワードを変更してください。」
「期限切れ間近!」
・注意点
正規のサービスからの重要な連絡であれば、通常は数日以上の猶予期間が設けられていたり、複数の連絡手段で通知されたりすることが多い。
「今すぐ」「本日中」といった極端に短い期限を強調するものは、警戒が必要です。
アカウントやサービスの中断・停止を警告する表現
「アカウントがロックされます。」
「サービスが停止されます。」
「ポイントが失効します。」
「登録が抹消されます。」
「特典が無効になります。」
・注意点
正規のサービスがアカウントをいきなり停止したり、ポイントを即座に失効させたりする前に、通常は事前に複数回の警告や通知があるはずです。
一方的な警告文言には注意が必要です。
セキュリティ上の脅威を強調する表現
「不正アクセスの疑いがあります。」
「ウイルス感染が確認されました。」
「第三者による不正利用の可能性があります。」
「お客様のアカウントが危険な状態です。」
・注意点
これらの文言は不安を煽り、冷静な判断を妨げます。
もし本当にセキュリティ上の問題が発生している場合は、具体的な状況や対応方法が明確に記載されているはずです。
曖昧な表現で危機感を煽るものは疑ってかかるべきです。
手続きの遅延による不利益を強調する表現
「手続きが遅れると、損害が発生します。」
「期日までに完了しない場合、法的措置が取られることがあります。」
「更新を怠ると、不利な条件に変更されます。」
・注意点
法的な措置や金銭的な損害をちらつかせることで、ユーザーを脅迫し、指示に従わせようとする手口です。
正規のサービスであれば、このような強迫的な表現は避けるはずです。
特別な機会や限定性を強調する表現
「今だけの特別オファー!」
「期間限定のキャンペーンです。」
「先着〇〇名様限定!」
・注意点
これらは購買意欲を刺激する一般的なマーケティング手法ですが、フィッシング詐欺では個人情報を入力させるための口実として使われることがあります。
「限定」という言葉に焦らず、本当に信頼できる提供元かどうかを確認することが重要です。
⑥身に覚えのないメールやSMSからの誘導に警戒
フィッシング詐欺の最も一般的な手口の一つが、ユーザーが予期していない、または身に覚えのないメールやSMSを送りつけ、そこに記載されたリンクをクリックさせることで偽サイトへ誘導するものです。
警戒心が薄れた状態でリンクをクリックしてしまうと、ID・パスワード、クレジットカード情報、個人情報などを騙し取られる危険性が高まります。
こちらは、一見ありふれた通知を装う「SMSフィッシング」に関してまとめています。
【SMSフィッシング】の脅威と対策あなたのスマホは大丈夫?
身に覚えのないメールやSMSに潜む危険
偽のログインページ
銀行、クレジットカード会社、ECサイト、SNSなどのログインページを装った偽サイトに誘導し、IDやパスワードを入力させて不正にアカウントを乗っ取ります。
偽の個人情報入力フォーム
氏名、住所、電話番号、生年月日などの個人情報を入力させ、不正利用や二次被害に繋げます。
偽のクレジットカード情報入力フォーム
クレジットカード番号、有効期限、セキュリティコードなどを入力させ、不正に決済を行います。
マルウェア感染
悪意のあるリンクをクリックさせることで、スマートフォンやパソコンにウイルスなどのマルウェアを感染させ、個人情報を盗み取ったり、デバイスを遠隔操作したりします。
こちらの記事は、マルウェア対策として感染の兆候や感染予防をまとめていますので、ぜひ、ご一読ください。
【マルウェア対策】感染の兆候や感染予防まとめ
身に覚えのないメールやSMSの典型的なパターン
アカウント情報の確認や変更を求める
例:「お客様のアカウントに不審なアクティビティが確認されました。至急、以下のリンクからログインしてご確認ください。」
例:「セキュリティ上の理由により、パスワードの再設定が必要です。以下のURLをクリックしてください。」
注意点: 正規のサービスからの連絡であれば、通常はアプリ内通知や公式サイトでの告知も行われるはずです。
メールやSMSだけで突然このような連絡が来る場合は、警戒が必要です。
緊急性の高い通知を装う
例:「お客様の注文がキャンセルされました。詳細はこちらでご確認ください。」(身に覚えのない注文の場合
でも、不安を煽ってクリックさせようとします)
例:「不在通知:お届け物があります。再配達の手続きはこちらからお願いします。」(宅配業者を装い、偽サイトに誘導します)
例:「〇〇(公共機関名など)から重要なお知らせです。必ずご確認ください。」
・注意点
緊急性を強調する文言は、ユーザーを焦らせて冷静な判断力を奪うための常套手段です。
キャンペーンや特典を装う
例:「〇〇サービスのポイントが失効間近です。今すぐクリックして特典を受け取る!」
例:「アンケートにご協力いただくと、豪華賞品が当たります!」
・注意点
甘い言葉で誘い込み、個人情報を入力させようとする手口です。
法的な通知や警告を装う
例:「〇〇裁判所からの重要なお知らせです。」
例:「未払い料金があります。本日中にご連絡ください。」
・注意点
法的な機関や料金未払いを装うことで、ユーザーに不安を与え、指示に従わせようとします。
最も重要なのは、「身に覚えのない連絡はまず疑う」という意識を持つことです。
正規のサービスからの重要な連絡は、通常、複数の手段で通知され、安易にリンクをクリックさせるような誘導は行いません。
不審なメールやSMSには十分警戒し、冷静に対処するように心がけましょう。
⑦不自然な入力フォームや個人情報の要求
フィッシング詐欺サイトは、正規のサイトを模倣して作られていますが、細部を見ると不自然な点が見られる場合があります。
特に、入力フォームや個人情報の要求には、フィッシング詐欺特有の特徴が現れやすいので、注意が必要です。
不自然な入力フォームの特徴
デザインの粗雑さ
レイアウトが崩れている。
フォントや文字サイズが統一されていない。
画像の解像度が低い、または表示されていない。
ボタンや入力欄の配置が不自然。
全体的にプロフェッショナルな印象に欠ける。
SSL暗号化(HTTPS)が適用されていない
URLが「http://」で始まっている(「https://」であるべき)。
アドレスバーに鍵マーク(または錠前アイコン)が表示されていない。
入力項目の不自然な多さ
正規のサイトでは求められないような情報(例:クレジットカードのセキュリティコードを何度も要求する、銀行口座の暗証番号を要求するなど)の入力を求める。
利用頻度の低いサービスに関する情報(例:ほとんど使わないサービスのログインIDやパスワード)の入力を求める。
エラーメッセージが不親切、または不正確
エラーメッセージが英語のまま表示される。
エラーメッセージの内容が具体的でない、または意味不明。
何度入力してもエラーが表示され、先に進めない。
自動入力機能が正常に動作しない
ブラウザのパスワード自動入力機能が機能しない。
住所などの自動入力機能が利用できない、または誤った情報が入力される。
不自然な個人情報の要求の例
クレジットカード情報の詳細な入力を求める
カード番号、有効期限だけでなく、セキュリティコード(CVV/CVC)の入力を何度も求める。
クレジットカードの裏面の署名欄に記載された番号の入力を求める。
銀行口座情報の詳細な入力を求める
口座番号だけでなく、暗証番号やキャッシュカードのPINコードの入力を求める。
銀行のログインIDやパスワードの入力を求める。
ID・パスワードの組み合わせを複数回入力させる
ログインIDとパスワードを別々に入力させた後、確認のためにもう一度同じ情報の入力を求める。
複数のサービス(例:メール、SNS、オンラインバンキングなど)のID・パスワードをまとめて入力させようとする。
機密情報を求める
指紋認証、顔認証などの生体認証情報の登録を求める。
マイナンバーや、マイナンバーカードの暗証番号の入力を求める。
必要のない情報を求める
趣味、嗜好、家族構成など、サービス利用に直接関係のない個人的な情報の入力を求める。
最も重要なのは、個人情報の入力には常に慎重になり、少しでも不審な点があれば、安易に入力しないことです。
こちらの記事はフィッシングメールにあるURLにアクセス、フィッシングサイト「偽物Amazon」のログイン画面にメアドとパスワードを入力してみるという実験を行ったものです。
偽物Amazonのログイン画面にメアドとパスワードを入力してみた
フィッシング詐欺から身を守るための7つの心構え
巧妙化するフィッシング詐欺から大切な情報を守るには、常に警戒心を持つことが重要です。
偽サイトは本物そっくりに作られていますが、注意深く確認すれば必ず見抜けるポイントがあります。
特に以下の7つの点を意識し、「少しでも怪しいと感じたら、立ち止まって確認する」 習慣をつけましょう。
1. URLを隅々まで確認する
本物と一字一句同じか、不審な記号やドメインが含まれていないかチェックしましょう。
2. 不自然な日本語に注意する
誤字脱字やぎこちない言い回しは、偽サイトのサインかもしれません。
3. 鍵マーク(SSL証明書)の詳細を確認する
鍵マークがあっても安心せず、証明書の発行元や有効期限を確認しましょう。
4. 連絡先・運営者情報は必ず裏付けを取る
記載されている情報が本当に機能するか、別の方法で確認することが大切です。
5. 緊急性を煽る文言に騙されない
「今すぐ対応しないと大変なことになる」といった表現は、冷静な判断を奪う手口です。
6. 身に覚えのないメールやSMSからの誘導を疑う
不審なリンクは絶対にクリックせず、公式サイトから直接アクセスしましょう。
7. 不自然な入力フォームや個人情報の要求に警戒する
過剰な情報要求や、デザインの粗雑さがないか確認しましょう。