クリック前に — 正しい心構え
最大の防御は「いったん落ち着く」ことです。フィッシングの多くは、ターゲットの感情を揺さぶることで成立します(未払い金の通知、割引、アカウント失効の警告など)。リンクを開くよう急かされていると感じたら、それ自体が警告サインです。30 秒だけ手を止め、以下のチェックを行ってください。
ステップ 1: 表示されているテキストではなく、本物の URL を確認する
リッチテキストメール・チャット・一部の Web サイトでは、リンクとして表示される文字列と実際のリンク先がまったく別の URL になっていることがあります。デスクトップではリンクの上にカーソルを乗せ、モバイルでは長押しして実際の URL を確認しましょう。必要ならテキストエディタにコピーします。表示は「amazon.com」でも、実体は「amaz0n-security.example.com」かもしれません。
ステップ 2: ホスト名を注意深く読む
- ホスト名は右から左に読みます。一番右に近いラベルが「登録済みドメイン」で、サイトを管理している主体を表します。
- 登録済みドメインが信頼しているブランドと一致するかを確認します。「paypal-security.com」は PayPal ではなく、本物は「paypal.com」だけです。
- ハイフンや余分なラベルに注意します。「apple.com.secure-login.example」は apple.com ではなく example.com のサブドメインです。
- 文字の置き換えにも注意します。「o」を「0」、「m」を「rn」、「l」を大文字の「I」に置き換えるパターンが頻出します。
ステップ 3: punycode・ホモグラフ攻撃を見抜く
国際化ドメイン名(IDN)はキリル文字・ギリシャ文字など、ラテン文字と見分けがつかない Unicode を含むことがあります。たとえば「аpple.com」の「а」がキリル文字(U+0430)であれば、本物の「apple.com」とは完全に別のドメインです。最近のブラウザは punycode 形式(xn--...)で表示して警告することが多いですが、URL Security Checker に貼り付けて確認するのが確実です。
ステップ 4: スキームと TLS の状態を確認する
HTTPS であること自体は「信頼できる」ことを意味しません。Let's Encrypt などで誰でも無料で証明書を取得できるため、フィッシングサイトでも HTTPS が使われます。HTTPS が保証するのは通信が暗号化されていることと、証明書がそのドメインに対して発行されていることだけです。ただし、ログイン画面・決済画面で HTTPS が使われていない場合は強い警告サインです。
ステップ 5: クエリ文字列とユーザーインフォを確認する
「https://[email protected]/」のような URL は、実際には phishing.example へアクセスします。「@」の前はユーザー名情報として扱われ、ホスト名ではありません。また、エンコード済みの URL・Base64 文字列・ランダムなトークンを含む極端に長いクエリ文字列は、リダイレクトやトラッキングの連鎖になっており、最終的に悪質サイトに到達する可能性があります。
ステップ 6: リダイレクトを安全に追跡する
フィッシングの多くは URL 短縮サービスやリダイレクトチェーンを使って最終目的地を隠します。クリックして確認するのではなく、リダイレクトを展開して見せてくれるサービス(expandurl.com や本サイトの URL Security Checker など)を使ってください。SNS で共有された短縮 URL も、正規のサービスが攻撃に流用される場合があるため油断は禁物です。
ステップ 7: 公式チャネルで確認する
「銀行」「オンラインショップ」「配送業者」などからのリンクは、そのリンクで確認してはいけません。公式アプリを開く、または公式 URL を手入力します。連絡先はメールではなく、カード裏面や過去の明細に書かれた番号から確認してください。
ステップ 8: 疑わしいときは悪質と判断する
正規のメールを無視するコストは通常低いです(送信元が再送してくれるか、別の方法で連絡してきます)。一方、悪質リンクをクリックするコストは、アカウント乗っ取り・金銭被害・端末感染と非常に大きくなります。少しでも違和感があれば、独立した経路で確認するまで何もしないのが鉄則です。