URL は「住所」ではなく「指示書」- 読み方を知れば騙されない

フィッシング詐欺の多くは、偽の URL をクリックさせることから始まります。メールや SMS に記載されたリンクが本物かどうかを判断できるかどうかが、被害に遭うかどうかの分かれ目です。

URL は単なる文字列ではなく、ブラウザへの「指示書」です。どのプロトコルで、どのサーバーに、どのリソースを要求するかが構造的に記述されています。この構造を理解すれば、フィッシングサイトの URL を見抜く力が格段に上がります。

URL の構造 - ドメインの読み方が最重要

URL の基本構造は以下のとおりです。

https://sub.example.com:443/path/page?query=value#fragment

  • スキーム (https://): 通信プロトコル。HTTPS なら暗号化通信
  • サブドメイン (sub): ドメインの前に付く補助的な名前
  • ドメイン (example.com): サーバーの所在を示す核心部分
  • ポート (:443): 通常は省略される (HTTPS は 443、HTTP は 80)
  • パス (/path/page): サーバー内のリソースの場所
  • クエリ (?query=value): サーバーに渡すパラメータ
  • フラグメント (#fragment): ページ内の特定位置

フィッシング URL を見抜く上で最も重要なのは、ドメイン部分の正確な読み取りです。ドメインは右から左に読みます。example.com なら、まず .com (トップレベルドメイン)、次に example (セカンドレベルドメイン) です。この「右から左」の読み方が、攻撃者のトリックを見破る鍵になります。

サブドメイン詐称 - 最も一般的な手口

攻撃者が最も頻繁に使う手口が、サブドメインに正規のドメイン名を含めるトリックです。

  • amazon.co.jp.evil-site.com → 実際の接続先は evil-site.com
  • login.google.com.attacker.net → 実際の接続先は attacker.net
  • www.rakuten.co.jp.secure-login.xyz → 実際の接続先は secure-login.xyz

ドメインを右から読む習慣があれば、これらのトリックは一目で見抜けます。amazon.co.jp.evil-site.com を右から読むと、TLD は .com、セカンドレベルドメインは evil-site です。amazon.co.jp の部分はサブドメインに過ぎず、接続先とは無関係です。

見分けるコツ

正規のドメインの直後にスラッシュ (/) が来ているかを確認します。amazon.co.jp/ なら正規ですが、amazon.co.jp. のようにドットが続く場合はサブドメイン詐称です。

ホモグラフ攻撃 - 見た目が同じ別の文字

ホモグラフ攻撃は、見た目が同じまたは酷似した別の文字を使ってドメインを偽装する手法です。国際化ドメイン名 (IDN) の仕組みを悪用します。

正規 偽装例 使われる文字
apple.com аpple.com 先頭の「а」がキリル文字 (U+0430)
google.com ɡoogle.com 先頭の「ɡ」がラテン小文字スクリプト G (U+0261)
paypal.com pаypal.com 2 文字目の「а」がキリル文字

肉眼では区別がほぼ不可能です。現代のブラウザ (Chrome、Firefox、Safari) は、複数のスクリプト (文字体系) が混在するドメインを Punycode (xn-- で始まる ASCII 表記) で表示する対策を実装しています。アドレスバーに xn-- で始まる文字列が表示された場合は、ホモグラフ攻撃の可能性を疑ってください。

短縮 URL と QR コードのリスク

短縮 URL

bit.ly、t.co、tinyurl.com などの短縮 URL サービスは、元の URL を隠してしまいます。bit.ly/3xYz123 というリンクが、正規のサイトに向いているのかフィッシングサイトに向いているのか、クリックするまで分かりません。

対策として、短縮 URL の展開サービス (CheckShortURL、Unshorten.It など) を使って、クリック前に実際の URL を確認する方法があります。また、多くの短縮 URL サービスは URL の末尾に + を付けるとプレビューページを表示します (例: bit.ly/3xYz123+)。

QR コード

QR コードも短縮 URL と同じリスクを持ちます。QR コードを読み取るまで、どの URL に誘導されるか分かりません。公共の場に貼られた QR コードの上に、攻撃者が別の QR コードを重ね貼りする「QR コードジャッキング」も報告されています。

スマートフォンの QR コードリーダーは、読み取った URL をプレビュー表示する機能を持っています。URL を確認してからブラウザで開く習慣をつけてください。

安全な確認手順 - 実践チェックリスト

不審なリンクを受け取った場合の確認手順をまとめます。

  1. リンクにカーソルを合わせる: クリックせずにマウスカーソルを合わせ、ブラウザ左下に表示される実際の URL を確認する
  2. ドメインを右から読む: TLD → セカンドレベルドメインの順に確認し、正規のドメインかどうかを判断する
  3. HTTPS を確認する: HTTPS であることを確認する。ただし、HTTPS は通信の暗号化を意味するだけで、サイトの正当性を保証するものではない。フィッシングサイトも Let's Encrypt で無料の SSL 証明書を取得できる
  4. 短縮 URL は展開する: 短縮 URL は展開サービスで実際の URL を確認してからアクセスする
  5. 直接アクセスする: メールや SMS のリンクを使わず、ブラウザのアドレスバーに正規の URL を直接入力するか、ブックマークからアクセスする。これが最も確実な方法

安全なオンラインショッピングの基本でもありますが、「急がせるメッセージほど慎重に」が鉄則です。「アカウントが停止されます」「24 時間以内に対応してください」といった緊急性を煽る文面は、フィッシングの典型的な手口です。

不審なリンクをクリックしてしまった場合は、IP 確認さんで現在の接続情報やセキュリティスコアを確認し、意図しない通信が発生していないかチェックしてみてください。

フィッシング対策を体系的に学びたい方には、フィッシング対策の関連書籍も参考になります。

この記事の関連用語

フィッシング 偽の URL やサイトで個人情報を騙し取る攻撃手法。URL の読み方が最大の防御。 SSL/TLS HTTPS の基盤技術。通信の暗号化は保証するが、サイトの正当性は保証しない。 ドメイン URL の核心部分。右から左に読むことで、サブドメイン詐称を見抜ける。