SPAMライブラリ 迷惑メールや、詐欺事例などを紹介し、詐欺から身を守るための情報を発信しています。
カテゴリ

SPAM ALERT

リンク先URLの途中に潜む偽装とは?フィッシングの仕組みと見抜き方を徹底解説

公開: カテゴリ: ビジネスメール詐欺

NOTICE

通信・ビジネス詐欺に関する注意喚起

通信契約、請求、取引先連絡、業務メールを装う詐欺では、普段のやり取りに紛れて金銭や情報をだまし取る手口があります。連絡元と請求内容を必ず確認してください。

  • 請求書、支払い先、振込口座の変更連絡は、メールだけで判断しないでください。
  • 契約更新、未払い、アカウント停止などを理由に急がせる連絡には注意してください。
  • 取引先を名乗る場合でも、電話番号やメールアドレスが本物か別経路で確認してください。
  • 業務で使うID、パスワード、認証コードをメールやチャットで送らないようにしてください。

リンク先URLの途中に潜む偽装とは何か

メールやSMS、SNSで送られてくるリンクの中には、「表示されているURL」と「実際に遷移するURL」が異なるケースがあります。見た目は正規サイトのように見せかけつつ、クリックするとフィッシングサイトへ誘導される手口です。

特に近年は、銀行・配送業者・ECサイトなどを装った巧妙な偽装が増えており、一見しただけでは見抜けないケースも多くなっています。本記事では、代表的な偽装手法と見抜き方、対策を整理します。

よくある偽装の仕組み

リンク偽装は主に「ユーザーの目に見える部分」と「実際の遷移先」を分離することで成立します。代表的なパターンを見ていきましょう。

テキストとhrefの不一致

メール本文では「https://example.com」と正規URLが表示されているのに、実際のリンク先(href)は別のドメインというケースです。HTMLメールでは簡単に実装できるため、非常に多く使われています。

サブドメインを使った偽装

「example.com.secure-login.xyz」のように、本物のドメインが前半に含まれていることで安心させる手法です。しかし実際のドメインは「secure-login.xyz」であり、example.comとは無関係です。

似た文字(ホモグラフ攻撃)

アルファベットの「l」と数字の「1」、あるいは「o」と「0」など、見た目が似た文字を使ってドメインを偽装します。一見すると正規サイトと区別がつきにくいのが特徴です。

短縮URLの悪用

URL短縮サービスを使い、最終的な遷移先を隠す手口です。クリックするまで実際のドメインが分からないため、警戒が必要です。

リダイレクトを多重に使う

一度正規サイト風のページを経由し、その後別のサイトへ転送するケースもあります。途中経路を複雑にすることで検知を回避しようとします。

実際に多いスパム例

以下のような構造は典型的な偽装です。

表示テキスト: https://amazon.co.jp/secure
実際のリンク: https://amazon.secure-login.xyz/verify

この場合、クリックするとamazonとは無関係のドメインへ誘導されます。

見抜き方のポイント

リンクにカーソルを合わせる

PCの場合、クリック前にマウスを乗せるとブラウザ下部に実際のURLが表示されます。ここでドメインを必ず確認しましょう。

ドメインの「末尾」を確認する

重要なのは最後のドメイン部分です。「example.com.xxx」はexample.comではありません。必ず最後の「.com」や「.jp」の直前を確認します。

httpsでも安心しない

https(鍵マーク)は通信が暗号化されているだけで、サイトの信頼性を保証するものではありません。フィッシングサイトでも取得可能です。

日本語ドメインや微妙な違和感に注意

「paypaI.com(Iが大文字i)」など、見た目だけ似せたドメインは非常に多いです。違和感を感じたら一度立ち止まることが重要です。

公式アプリ・ブックマークからアクセスする

メール内リンクを使わず、普段使っているブックマークや公式アプリからアクセスすることで、偽装リスクを回避できます。

スポンサーリンク

さらに知っておくべき追加ポイント

HTMLメールは自由度が高い

メールはWebページと同じようにHTMLで作られているため、見た目はいくらでも偽装できます。「見た目で判断しない」ことが重要です。

スマホでは特に見抜きにくい

スマホはURL全体が表示されないことが多く、偽装に気付きにくい環境です。長押しでURLを確認する習慣をつけましょう。

企業名よりもドメインで判断する

メール本文の企業名やロゴは簡単にコピーできます。信頼すべきはドメインのみです。

対策

リンク偽装への基本的な対策は以下の通りです。

  • メール内リンクは安易にクリックしない
  • 必ずドメインを確認する
  • 怪しい場合は公式サイトから直接アクセス
  • 二段階認証を有効化する
  • パスワードを使い回さない

リンクを開いてしまった場合

すぐに情報入力を止め、ブラウザを閉じてください。もしID・パスワードを入力してしまった場合は、直ちに正規サイトで変更し、不正ログインの確認を行いましょう。

スポンサーリンク

まとめ

リンク偽装は非常にシンプルながら効果的な詐欺手法です。見た目ではなく「実際のURL」を確認する習慣が最大の防御になります。

特にスマホ利用時は油断しやすいため、少しでも違和感を覚えたらリンクを開かない判断が重要です。安全なアクセス経路を選ぶ意識を持ちましょう。

スポンサーリンク

迷惑メール対策についての外部リンク