🎣 フィッシング詐欺はなぜ見破りにくい?
URLの技術的な偽装手口と対策
もふねこだよ。🐾 フィッシング詐欺って「怪しいサイトに気をつけて」とは言われるけど、なぜあんなに見分けにくいのか疑問に思わない?今日は騙す側の技術的な手口を丸裸にするよ。手口を知れば、絶対に騙されない!
1. フィッシング詐欺とは何か?
フィッシング詐欺(Phishing)とは、本物そっくりの偽サイトや偽メールを使って、IDやパスワード、秘密鍵などを入力させて盗み取る詐欺だよ。
名前の由来は「fishing(釣り)」で、餌を使って魚を釣り上げるように、本物に見せかけた「餌(偽サイト)」でユーザーを釣るんだ。「ph」で始まるのはハッカー文化の言葉遊びだよ。
暗号資産の取引は原則として取り消しができないんだ。銀行の振込なら被害届を出して凍結・返金を求めることができるけど、ビットコインなどの送金は「一度完了したら取り戻せない」んだよ。だからフィッシング詐欺師が集中的に狙うんだ。
2. URLの偽装手口5選
① 同形異字攻撃(Homograph Attack)
見た目が全く同じでも、実は異なる文字コードを使う偽URLを作る手法だよ。
// 本物https://coincheck.com
// 偽物(「c」がキリル文字の「с」になっている)
https://coincheck.com(cがキリル文字のсになっている等の変形)
キリル文字やギリシャ文字には、ラテン文字と見た目が非常に似ている文字があるんだ。これを使ってドメインを登録することが技術的に可能なんだよ。
※最近のブラウザでは、こうした不審なドメインは「https://xn--...」というPunycode(ピュニコード)表記に自動変換されて警告されるため、そこでも見抜けるよ🐾
② サブドメインを悪用する手口
URLの構造をよく理解していないと、こんな偽装に騙されてしまうんだ。
// URLの構造:サブドメイン.ドメイン名.TLD/パス// 本物のCoincheck
https://coincheck.com/ja/
// 偽物(「coincheck.com」がサブドメインに使われている)
https://coincheck.com.login-verify.test/
// ← ドメイン名は実際には「login-verify.test」。coincheck.comは飾り!
URLを読む時は「.com」や「.net」などのTLD(トップレベルドメイン)の直前のドメイン名だけを見るのが鉄則だよ。上の偽URLの本当の所有者は「login-verify.test」なんだ。
③ ハイフンや文字の置換
https://coincheck.com ← 本物https://coin-check.com ← 偽物(ハイフン追加)
https://coinchck.com ← 偽物(文字省略)
https://c0incheck.com ← 偽物(oを数字の0に)
④ HTTPSがあっても安全とは限らない
「🔒マーク(HTTPS)だから安全」と思っている人も多いけど、フィッシングサイトもHTTPS(SSL証明書)を取得できるんだよ。
HTTPS(鍵マーク)が保証するのは「通信が暗号化されていること」だけ。「そのサイト自体が本物であること」は保証していないんだ。鍵マークは「盗聴されていない」という意味であって「サイトが正規である」という意味じゃないよ。
⑤ URLを隠す短縮URLの悪用
「bit.ly/xxxx」などの短縮URLサービスを使うと、本来のリンク先が見えなくなる。SNSやメールでのフィッシングによく使われる手法だよ。クリックするまで本当のURLがわからないんだ。
3. なぜ「本物そっくり」のサイトが作れるのか?
ブラウザの開発者ツールを使えば、本物サイトのHTMLデザインをそのままコピーすることは技術的に簡単にできてしまうんだ。ロゴ・フォント・配色・レイアウト、全部再現できる。
だから「見た目が本物と同じかどうか」では判断できないんだよ。URLを見ること(そしてURLもよく見ること)が唯一の確実な判断軸だ。
4. 暗号資産(Web3)特有の恐ろしいフィッシング手口
さっきまでは一般的なパスワードを盗む手口を説明したけど、暗号資産の世界にはもっと恐ろしい特有のフィッシングがあるんだ。
① 偽の「Wallet Connect(ウォレット接続)」とドレイナー
IDやパスワードを入力させなくても、「エアドロップ(無料配布)はこちら!」というボタンでMetaMaskなどのウォレットを接続させ、悪意のあるプログラムを承認させる手口だよ。これを「ドレイナー(Drainer)」と呼び、間違って「Approve(承認)」をクリックしただけで、資産が一瞬で全て引き出されてしまうんだ。
② Google検索やSNSの「偽広告(スポンサー枠)」
「Coincheck」と検索したとき、一番上に表示される「スポンサー」と書かれた広告枠がそもそもフィッシングサイトであるケースが頻発しているよ。検索結果のトップだからといって本物とは限らないんだ。
③ シードフレーズ(リカバリーフレーズ)の聞き出し
「システムエラーを解除するため」と称して、ウォレットの12個〜24個の英単語(シードフレーズ)を入力させる手口だよ。運営がシードフレーズを聞いてくることは絶対に100%あり得ないからね!
5. 絶対に騙されないための防衛策(暗号資産編)
- 検索エンジンを使わない(必ずブックマークから)
前述の通り検索エンジンの「広告」には偽サイトが混ざるため、一度正しいサイトを登録したらブックマークからのみアクセスしよう。メールのリンクも絶対NGだよ。 - URLバーでドメイン名を必ず確認する
TLDの直前にある名前が「coincheck」「zaif」など正しい名前か確認する習慣をつけよう。 - 二段階認証(2FA)を設定する
仮にパスワードを盗まれても、2FAがあればログインできない。詳しくは二段階認証の記事を読んでね。 - 短縮URLには絶対クリックしない(特に急を要するメール)
「口座が凍結されます」「今すぐ確認を」など緊急性を煽る文面は詐欺の典型手口。 - スマホの公式アプリを利用する(最強の対策)
ブラウザを使わず、スマホの公式アプリからのみログイン・取引を行うようにすれば、そもそも偽URLにアクセスするリスクをゼロにできるよ。 - パスワードマネージャーを使う
パスワードマネージャーは登録したドメインとURLが一致しないと自動入力しない。偽URLでは自動入力されないので、フィッシングに気づける。 - シードフレーズは絶対にウェブサイトに入力しない
ウォレットの復元フレーズをウェブ上で求められたら、100%詐欺だと判定して即座にページを閉じよう。
📝 まとめ:Web3時代のフィッシング詐欺から身を守るために
- フィッシングサイトは「見た目」で見抜けない。必ずURLの構造(ドメイン)を確認する
- Google検索のトップ広告やSNSのURLは絶対に信じず、ブックマークからアクセスする
- スマホの公式アプリを利用するのが最も間違いがなく強力な防衛策
- ウォレット接続(Approve)を安易に行わない。ドレイナーの恐怖を知る
- 何があってもシードフレーズ(12〜24の英単語)をWeb上に入力しない
「怪しいと思ったら開かない」の一言で済む話なんだけど、フィッシングは「怪しく見えない」から怖いんだよ。だから手口を知ること自体が最大のワクチンになるよ🐾 ブックマークと2FA、この2つさえやっておけば大半のリスクは防げるから!
さあ、あなたも暗号資産の世界へ!
まずは国内大手の取引所で無料口座を作って、少額から始めてみましょう🐾
※Coincheckの紹介リンク以外から登録・移動した場合、1500円分のBTCプレゼント付与は無効になるためご注意ください。
※暗号資産取引は元本保証がなく損失のリスクがあります。まずは無くなってもいい余剰資金で小額から始めるのがプロの鉄則です。