怪しいURLの見分け方

見出し

1 怪しいURLの見分け方

怪しいURLは、フィッシング詐欺や偽サイトへの誘導でよく使われます。メール本文やSMSの文面が自然でも、URLをよく見ると本物とは異なることがあります。逆に、見た目が整っていても、ドメイン構造や転送のされ方に違和感があれば注意が必要です。

この記事では、URLそのものをどう見るかに絞って、初学者向けに判定の観点を整理します。フィッシング全体の手口やメール本文の見分け方ではなく、ドメイン名、サブドメイン、短縮URL、Whois、HTTPSやSSL表示の見方といった、URL判定の技術的な基礎に集中します。

なぜURL確認が重要なのか

フィッシング詐欺では、本文よりURLの方が本質的な判断材料になることがあります。送信者名やロゴは簡単に偽装できますが、最終的にどのドメインへアクセスさせるかは攻撃者側でも完全には隠せません。そのため、URLの構造を読む習慣があるだけで、見抜けるケースは増えます。

特にスマートフォンでは、URL全体が省略表示されたり、短縮URLがそのまま表示されたりして、遷移先を見落としやすくなります。請求、配送、本人確認など急がせる文脈では、本文ではなくURLを見ることが重要です。

怪しいURLに共通する特徴

ドメイン名が微妙に違う

本物に似た文字列を使いながら、一部だけ違うドメインは典型例です。1文字違い、ハイフン追加、数字置換、似た英字の混在などが使われます。たとえばブランド名が含まれていても、登録ドメインの末尾部分が正規と違えば別サイトです。

サブドメインで本物らしく見せる

brand.example.com.fake-domain.com のように、左側へ正規ブランド名を長く並べて本物らしく見せる手口もあります。実際に見るべきは右端の登録ドメインであり、左側に有名企業名があるからといって正規サイトとは限りません。

短縮URLや転送で遷移先を隠す

SMSやSNSでは、短縮URLや転送リンクを使って最終遷移先を隠すケースがあります。短縮URL自体が即危険というわけではありませんが、送信元が不明、本文が急かす内容、遷移先が表示されないといった条件が重なる場合は慎重に確認すべきです。

Whoisで確認できること

Whois情報を確認すると、ドメインの登録時期や登録事業者などが分かることがあります。急に登録されたばかりのドメイン、有名ブランド名に似ているのに正規企業と関係が見えないドメインなどは判断材料になります。Whoisだけで安全・危険は断定できませんが、補助的な確認として有効です。

HTTPSやSSL表示をどう見るか

URL欄に鍵マークがある、HTTPSで始まっている、といった表示だけで安全と判断するのは危険です。HTTPSやSSL証明書は「通信が暗号化されている」ことを示すものであり、「そのサイトが正規運営者である」ことを保証するものではありません。

攻撃者も無料または安価に証明書を取得できるため、偽サイトでもHTTPS表示は普通に使われます。つまり、鍵マークは「安全の証拠」ではなく、「暗号化されている通信」でしかありません。URLの登録ドメイン、ページ内容、文脈、Whois情報などを合わせて確認する必要があります。

URLを確認するときの手順

URLを確認するときは、次の順で見ると判断しやすくなります。

右端の登録ドメインを見る
ブランド名が左側に長く並んでいないか確認する
不自然なハイフン、数字、似た文字が混ざっていないか確認する
短縮URLや転送リンクなら、安易に開かず文脈を確認する
必要に応じてWhois情報を確認する

このとき重要なのは、「ブランド名が含まれているか」ではなく、「正規ドメインそのものか」を見ることです。少しでも違和感がある場合は、メール本文やSMSのリンクから開かず、公式アプリやブックマークから入り直す方が安全です。

入力前にやるべきこと

ログインやカード情報を入力する前に、まず正規サイトへ自分でアクセスし直してください。ブックマーク済みのURLや公式アプリから開けば、本文内リンクに依存せず確認できます。企業サービスなら、正規サイトのお知らせやサポート情報に同じ通知が出ているかを見るのも有効です。

ドメインに違和感があるときは、Whois情報検索ツールのような補助手段で確認するのも1つの方法です。ただし、ツールだけで安全性を断定するのではなく、文脈、URL、画面の内容を合わせて判断する必要があります。

URL判定の文脈で危険度が高いケース

同じURLでも、文脈によって危険度の見え方は変わります。特に注意すべきなのは、「本人確認」「請求失敗」「アカウント停止」「配送通知」など、すぐ反応したくなる文脈で、なおかつURL側に違和感がある場合です。たとえば、本文は自然なのにドメインが違う、短縮URLで遷移先が分からない、ブランド名が左側に長く並んでいる、といった条件が重なる場合は、危険度が高いと考えるべきです。

反対に、文面が怪しいだけでURLは見ていない、あるいはURLだけ見て本文の文脈を無視する、といった片方だけの確認では判断を誤りやすくなります。メール自体の見分け方はこちら、という形でフィッシング全体の記事と行き来しながら確認するのが有効です。

まとめ

怪しいURLを見分けるときは、ブランド名が含まれているかではなく、登録ドメイン、サブドメイン構造、短縮URL、Whois情報、そして文脈を合わせて確認することが重要です。HTTPSや鍵マークだけで安全と判断しないことも基本です。アクセス後に不安がある場合や、自社だけで判断が難しい場合は、外部の専門家への相談も選択肢になります。

この記事の執筆・監修について

本記事は、サイバーセキュリティメディアCCSI編集部が執筆・監修しています。当メディアでは、実際のフィッシングメールや誘導先URLの技術検証を継続しており、ドメインの違和感や遷移先の特徴を個別事例として確認してきました。本記事では、その知見を初学者向けに一般化し、URL判定の基本として整理しています。