フィッシング詐欺に遭いたくないなら、メールやSMSに記載されているURLは開かないこと！

　フィッシング詐欺メールは年々増加しており、大きな被害が発生しています。メールをフィッシング詐欺だと見抜ければいいのですが、実際はそうはならず、記載されたURLを開いて、偽サイトに誘導され、IDやパスワードなどの情報を入力してしまうためです。

　巧妙なフィッシング詐欺を確実に見分けることは難しいので、メールやSMSのリンクは一律開かないことにして、あらかじめ登録しておいたブックマークを使えばいいのですが、面倒に感じる人が多いのも事実です。自分は偽サイトを見破れるので大丈夫というのですが、本当でしょうか？

　以前は、本物を偽装しているとはいえ、いろいろと見た目に不自然な点があり、注意深く見れば偽サイトと見破ることができました。例えば、日本語表現やフォントが不自然ではないか、画像の解像度が低くないか、などを見ると判別できたのです。しかし、現在はクレジットカード会社やオンラインバンキング、ネットショップなどのデザインをまるっとそのまま正確にコピーするようになっており、もはや見た目では判断できなくなっています。

　ただし、ウェブサイトのURLだけは本物のサイトと完全に同じ文字列にすることができません。そのため、URLでドメイン名を確認することが有効とされています。しかしこれも、「サイバースクワッティング」という行為で騙す手口があるのです。

　サイバースクワッティングとは、他人が権利を持つ社名やブランド名などの文字列を含むドメイン名を、その権利者よりも先に登録して手に入れてしまう行為のことです（スクワット：squatは、他人の土地や建物に不法に居座ったり占拠したりするという意味があります）。

　サイバースクワッティングを行う目的としては、手に入れたドメイン名を高値で転売することで金銭的な利益を得るといったものや、競合の営業妨害、正規サイトと誤認してやってくるアクセス数を獲得する狙い、あるいはフィッシング詐欺の偽サイトとして利用するため、といったものが考えられます。

　つまり、フィッシング詐欺では、サイバースクワッティングで手に入れた、有名企業やブランドの文字列に似せたドメイン名を使った偽サイトを開設することで、消費者を騙して誘い込むわけです。

　このサイバースクワッティングには、いくつかのバリエーションがあります。クラウド／セキュリティ事業などを手掛けるAkamaiの調査によると、最も多く検出されたのは「IDNホモグラフ」によるドメイン名で、第2位が「コンボスクワッティング」、第3位が「タイポスクワッティング」でした。

Akamaiによって検出された「サイバースクワッティング」の内訳（グラフ画像はAkamai Blogの2022年3月10日付記事「DNS Cybersquatting: The Case for Edge DNS Zone Protect」より）

　IDNホモグラフとは、見た目がそっくりな異なる文字に置き換えるパターンです。IDN（国際化ドメイン名）というのは、アルファベットや数字にとどまらない、多言語の文字を使ったドメイン名のことで、そこで用いられる異なる言語の文字の中には、人間の目には同じに見える文字（ホモグラフ）が存在します。ラテン文字の「a」や「p」をキリル文字の「а」や「р」に置き換えるのです。これは、なかなか見破ることができないでしょう。

　コンボスクワッティングは、企業名やブランド名を示す文字列に何らかの文字列を追加するパターンです。例えば、楽天がこうした偽サイトの注意喚起を行っています。本物の楽天のURLは「https://www.rakuten.co.jp/」ですが、コンボスクワッティングの例として「https://www.rakutencojp.com/」「https://www.bestrakuten.com/」「https://www.rakutentojp.com/」などを挙げています。

　コンボスクワッティングで追加される文字列としては、「support」が最も多く、以下、「com」「login」「help」「secure」と続きます。日本を示す文字列の「jp」もよく使われます。例えば、「jp-rakuten.com」のように日本のウェブサイトであるように見せかけるのです。

　Akamaiの調査によると、アクセス数（DNSクエリ）が最も多いのは、このコンボスクワッティングによる偽サイトで、サイバースクワッティングの最大の脅威とみなしています。

「コンボスクワッティング」による楽天の偽サイトのURLの例が公開されています（楽天の注意喚起ページより）

　タイポスクワッティングは、ユーザーのタイプミス（打ち間違い）を想定して、正規サイトのドメイン名の文字列から、文字を削除したり置き換えたりするパターンです。例えば、「b」と「d」や「q」と「p」など見た目が紛らわしい文字に入れ替えたり、「f」と「g」のようにキーボードで隣接しているキーを押し間違える人を狙うのです。1文字抜けてしまったり、逆に同じ文字を余分に打ってしまうケースを狙うこともあります。

　「.com」を打ち間違えた「.om」なども狙われます。本物のサイトが.comのドメイン名を使っている場合に、同じ文字列を「.net」や「.org」で取得するケースもあります。

　数は少ないですが、「ドットスクワッティング」というパターンもあります。正規ドメイン名のドット「.」を意図的に省略したドメイン名を悪用するもので、例えば「example.com」と入力するところを、誤って「examplecom」と入力してしまったときに偽サイトに誘導するといったものです。

　また、海外では、同音異義語を使用した「サウンドスクワッティング」と呼ばれるパターンも見かけます。

　URLを一瞥しただけで、本物か偽物かを見破るのは困難です。面倒であっても、やはり、登録しておいたブックマークからアクセスすることをお勧めします。これだけで、フィッシング詐欺の被害を回避できるのです。簡単な自衛策なので、ぜひ今日から実践してください。

NPO法人DLIS（デジタルリテラシー向上機構）

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。

※ネット詐欺に関する問い合わせが増えています。万が一ネット詐欺に遭ってしまった場合、まずは以下の記事を参考に対処してください
参考：ネット詐欺の被害に遭ってしまったときにやること、やってはいけないこと