No222 ドメインでフィッシング詐欺を見抜く

この数年、メールやショートメッセージで不安をあおるような通知
をしてそこに書かれたURLをクリックさせる、いわゆるフィッシング
詐欺の被害が拡がっています。

こういったフィッシング詐欺は知識があれば実はカンタンに見抜け
るのですが、一般の方には意外と知られていないようです。

今回は、軽目の話題としてフィッシング詐欺を見抜くためのドメ
インについて解説します。

1. ドメインふたたび

かなり前になりますが、このメルマガの No134（2019年11月配信）
でドメインのことを詳しく書きました。

バックナンバーをお持ちでない方はこちらをご覧ください。
　「No134 ドメインの話」
　　https://note.com/egao_it/n/nedeb4797364a

この時も最後にフィッシング詐欺（メール詐欺）でのドメインの
悪用についてごく簡単に書いたのですが、印象は薄かったと思い
ます。

今回は視点を変え、フィッシング詐欺対策としてのドメインでの
見抜き方を解説します。

2. フィッシング詐欺

フィッシング(phishing)というのは造語で、fishing（獲物を釣り
上げる）の'f'と同じ発音の'ph'に入れ替えた俗語として使われる
ようになったものです。

犯罪者はホンモノにソックリのページを用意し、それらしい理屈
を付けて、そこに書かれたURLをクリックさせて、詐欺サイトに
誘導しようとします。

その理屈というのは、例えば「支払いが滞っている」「アカウント
が不正利用された」「不在だったので荷物を持ち帰った」といった
あたりが定番です。

そのメールやショートメッセージを見た人が不安に思ってURLを
クリックさせれば、犯罪者側の勝ちです。

これはソーシャルエンジニアリングと呼ばれる騙しのテクニック
の一種です。
ソーシャルエンジニアリングでは本人に誤解をさせることで、本人
から自主的に情報を得ようとします。
人に誤解させて、何らかの行動を取らせるという点ではオレオレ
詐欺や振り込め詐欺と同じ構図です。

振り込み詐欺の被害を受けた人も「今考えると怪しかった」と
いうのと同様で、ついメールのリンクをクリックしてしまった
というケースも多いだろうと思います。

ですが、そのメールに書かれているURLをよく見れば、それが
本物かニセものかは意外に簡単に判別できるのです。

3. URLの中のドメイン

ごくおおざっぱですが、URLは次のような構成になっています。

　https://ドメイン名/パラメタ/パラメタ?パラメタ....

わかりやすくするため、フィッシング詐欺対策に関係ない要素は
ばっさり省いています

URLには、必ずドメイン名というものが付いています。
書かれているのは"//"の次の文字から最初の"/"の手前までです。

具体例でいきましょう。

https://www.google.co.jp/
というURLであれば、 www.google.co.jp がドメイン名です。

補足
　正確には、ドメイン名は google.co.jp で、www.google.co.jpは
　サイト名というのですが、ここでは両者を合わせてドメイン名と
　表記しています。

もう一つ別の例です。

https://www.bing.com/?toWww=1&redig=7EE....（後略）
今度は、 www.bing.com がドメイン名です。/の後にいろいろと
付くことも多いですが、これは全てそのサイトに与えるパラメタと
考えていただいて問題ありません。

4. ドメインの記述順は欧米の住所と同じ

ですが、ドメイン名といっても前に別の文字が付いていたり、逆に
後に文字が付いていることもあります。そういった場合はどう判断
すれば良いのでしょうか？

ドメイン名やメールアドレスは欧米式の住所の書き方と同じです。
ご存知の方もおられると思いますが、欧米では手紙の宛先欄には
最初に地番を書き、次に地域名、市、州といった具合で小さな単位
から大きな単位に書いていきます。

ドメイン名も同じ構造です。

つまり、末尾が一番大きな単位（例えば国名）その手前がその中の
グループ（例えば会社グループ）、さらにその前がその中の区分
（例えば会社名）といった具合です。

これも具体例でいきましょう。

例１：rakuten.co.jp
　　　→日本(jp)の会社(co)の楽天(rakuten)
例２：jma.go.jp
　　　→日本(jp)の政府団体(go)の気象庁(jma)
例３：wikipedia.org
　　　→非営利団体(org)のウィキペディア(wikipedia)

このように末尾から団体名までの部分が正しければ、それより前
（左側）が違っていても確実に正しいサーバに接続できます。

逆に言えば、末尾から団体名までの部分が一致しなければ、それ
は全く関係ない別のドメインです。

これが理解できると、以下のようなドメインは全く信用できない
こともわかるでしょう。

例４：rakuten.evil.com
　　　→営利団体(com)のevilという会社(evel)の中のrakutenと
　　　　称するサイト

例５：amazon-co-jp.evil.com
　　　→営利団体(com)のevilという会社(evel)の中のamazon-co-jp
　　　　と称するサイト

既にお気付きの方もおられると思いますが、一般にフィッシング
詐欺に使われるドメインは末尾によくわからないドメインが付与
されます。

例６：www.au.lwea.xyz
　　　→XYZ(何でも登録できる）の中のlweaという所有者のauを
　　　　称するサイト（実際にフィッシングで使われたもの）

つまり、ドメイン名の末尾が自分の日常的にアクセスしている
ドメインと同じなら問題はなく、知らなければヤバいという
ことです。

このドメイン部分が正しければ（＝知っているところなら）クリック
しても基本的には問題は起きません。

逆に言えば、このドメイン名が知らないところだとダメだという
意味でもあります。

5. アクセスしてるドメインなんて知らんよ...

とはいうものの、自分がアクセスしている相手のドメインなんか
知らないよ、という方がフツーでしょう。

そんな場合は、面倒ですが、まず本家のサイトに（googleなどで
検索して）アクセスします。そこで表示されるURLのドメインの末
尾を確認し、メールに書かれたURLと比べてみてください。

末備の部分が違っていれば、詐欺メールの可能性が大（というか
ほぼ間違いなく詐欺メール）です。

もっとも、詐欺でない可能性もわずかですが、残っています。
例えば、業務を他社に委託し、委託先のドメインでメールを発信
している場合などがそうです。

そういったケースが心配であれば、公式サイトのサポート窓口に
電話やメールで相談をするのが良いでしょう。

なお、詐欺メールで使われるドメイン名はものすごく短時間で
閉じるものが多いため、Googleなどで検索をしても詐欺ドメイン
としてひっかかることは少ないです。

6. まとめ

フィッシング詐欺では、必ずといっていいほどニセのサイトに
誘導するためのURLが付いています。

これが詐欺かどうかを見抜くには、URL中のドメイン名の末尾
に着目します。

末尾が例えば、rakuten.co.jp であれば、楽天であることが、
mufg.jp であれば、三菱UFJグループであることがわかります。

逆に末尾が見たこともないドメインになっている場合は危険信号
です。

その場合は、本家のサイトにGoogleなどで検索してアクセスし、
ブラウザ上に表示されたドメインとメールに書かれたドメインを
比べてください。

末尾が１文字でも違っていれば、それはほぼ100%詐欺メールです。

それでも心配な場合は公式サイトのサポート窓口に電話やメール
なりで相談をしてください。

今回は、ドメインを見て、フィッシング詐欺を見抜く方法について
解説しました。

次回もお楽しみに。