フィッシング詐欺に遭わないためのＵＲＬとメールアドレスの基礎知識

昨今は非常に巧妙なフィッシング詐欺メールが増えています。
迷惑メールフィルターは完全には機能せず、クレジットカード会社、Amazon、大手銀行などを名乗った詐欺メールが受信トレイに頻繁に入ってきます。

以前は文面の日本語がいかにも不自然だったりして見分けがつきやすかったのですが、最近は「これは騙される人がいそう」と思える巧妙なものが多くあります。

ここでは、フィッシング詐欺に遭わないための URL とメールアドレスの基礎知識を紹介したいと思います。これで見抜けない詐欺メールには出会ったことがありません。

その方法とは、ウソをつけない URL の表示位置をチェックし、その URL のドメインを確認する方法です。この方法なら、メールアドレスに騙されることもなく、電子署名を確認する必要もありません。

実際の例とともにこの方法を詳しく紹介します。

チェックすべきはメールアドレスではなく一部のURL
1. メールアドレスは信じられない
2. URL のチェック方法
偽のURLを見抜くドメイン名の基礎知識
1. ベースのドメイン名とは？
2. サブドメインに注意！
その他の対策

チェックすべきはメールアドレスではなく一部のURL

フィッシングメールは偽のページに誘導してアカウントとパスワードのセットを取得することが目的なので、アクションを起こすためのURLは確実に偽物になっています。アクションを起こすための URL とは、「請求書をご確認ください」などの文に続く位置にある URL です。

チェックするのはここだけで充分ですが、チェック方法については後述します。

メールアドレスは信じられない

一方、それ以外の箇所では、信憑性を増すために実在する本物の URL やメールアドレスが使用されていることがよくあります。

特に信用してはいけないのが、差出人として表示されるメールアドレスです（以下は詐欺メールの例）。

この表示はいくらでも誤魔化せます。これを見抜くには「ソースを表示」するという方法もありますが、これは難しく、その必要もありません。本当にその会社からのメールかどうかを見抜くよりも、アクションを起こすための URL をチェックするほうがカンタンです。

ちなみに、上記のような詐欺メールに返信した場合、本物の会社にメールが送信される可能性もあります。このような詐欺メールはメールに返信してもらうことを期待していないので、詐欺師にとってはメールがどこに送られようが関係ないのです。

URL のチェック方法

アクションを起こすための URL がわかったら、その URL をチェックすればよいのですが、チェックすべきはメールの文面に表示されるＵＲＬではありません。

ここも詐称できるので、実際に飛ばされるＵＲＬは、文面のＵＲＬとは違うことがあります。

クリックしたりタップしたりしたときに移動されるＵＲＬのチェック方法は、スマホかＰＣかによって異なります。

【ＰＣの場合】
パソコンでは、ＵＲＬの上にマウスのカーソルを合わせると、メールソフトや Web ブラウザの左下にもＵＲＬが表示されます。
この左下に表示される URL が、実際にクリックした場合にアクセスすることになる URL です。
ここは詐称できないため、ここがチェックすべき URL となります。

以下は詐欺メールの URL（青字）にカーソルを合わせた場合のメールソフトの表示例です。

青字の URL にカーソルを合わせたときに左下に表示される URL は、青字の URL とは異なることがわかります。チェックすべきは、詐称できない左下のほうです。

このような詐欺メールはそもそも詐欺メールとして分類されやすい傾向がありますが、注意は必要でしょう。

【スマホの場合】
スマホの場合、アクセス先の URL をチェックするには、URL を長押しする必要があります。

長押しすると、以下のようなポップアップが表示されます。

この長押しで表示される URL こそが、チェックすべき URL です。

これは Android スマホの例ですが、iPhone なども同様です。

偽のURLを見抜くドメイン名の基礎知識

チェックすべき URL がわかったら、URL が本物であるかどうかを見分けます。
この判別には、URL の基本ルールを知っておく必要があります。

ベースのドメイン名とは？

URL は Web 上の住所で、たとえば楽天市場なら、「https://www.rakuten.co.jp/」です。
重要なのはベースとなるドメイン名「rakuten.co.jp」で、「https://」の次にあるスラッシュ「/」の直前の部分です（末尾のスラッシュは省略されることもあります）。

この部分が「rakuten.co.jp」であるのは、公式のサイト内だけです（「rakuteh.co.jp」のような誤字を含む微妙な詐欺ＵＲＬも多いので、その点もご注意ください）。

補足しておくと、「www」の有無が異なる「https://rakuten.co.jp/」は、「rakuten.co.jp」のドメインをもつ楽天市場のものです。通常、自動的に「https://www.rakuten.co.jp/」に転送されるように設定されています。

また、「co.jp」の部分をトップレベルドメインといいます。「.jp」、「.com」などのほかにも多数あり、一部の法人や国民でしか使用できないトップレベルドメインと、だれでも自由に所有できるトップレベルドメインがあります。

公式サイトのドメインは、その企業名で検索してトップに表示されることから確認できます。

とはいえ、URL に「rakuten.co.jp」が入っているからといって、安心してはいけません。

サブドメインに注意！

注意したいのは、ドメイン名の左側のサブドメインです。ここは、ドメインをもっている人が自由に設定できます。楽天トラベルの URL が「https://travel.rakuten.co.jp/」であるように。

この赤字部分を自由に設定できることは、フィッシングサイトによく悪用されます。

たとえば、「erwtuio.cn」というドメインをもっている人は、悪意があれば「http://rakuten.co.jp.erwtuio.cn/」という URL のページを作成することができてしまいます。

また、ドメインに続くスラッシュ「/」以降の URL も、自由に設定できます。この例だと、「http://erwtuio.cn/rakuten-co-jp/」のような URL も可能です。このような偽のＵＲＬに引っかからないようにしましょう。

重要な点を繰り返します。

ドメインで重要なのは、「https://」の次にあるスラッシュ「/」の直前の部分です。

その他の対策

上記の点をきっちり理解しておけば、判別できないフィッシング詐欺メールに出会ったことはありません。

とはいえ曖昧な点がどうしても残るという場合は、文面の一部を選択して検索してみることをお勧めします。

同様の文面の詐欺メールがある、という情報が見つかるかもしれません。