詐欺メールに騙されるな!リンク先URLの正しい読み方と最新の手口
目次
はじめに — お客様の相談がきっかけでした
先日、長年お付き合いのあるお客様から「大変なことになった!」と慌てた様子で連絡が入りました。受信したメールを転送してもらって確認すると、一目で詐欺メールとわかりました。
それは「~web.core.windows.net」のリンク先のアドレスです。
具体的にメールに埋め込まれたリンク先のアドレスを抜き出すと、
hxxps://dubizilip[.]z12[.]web[.]core[.]windows[.]net/
ちなみに、このアドレスをクリックするとセキュリティソフトのESETが次のように警告を出してくれました。
このアドレスに見覚えのないパターンが含まれていました。末尾の「windows.net」というドメインです。
これは私がこれまで使ってきた判断基準では判断できないケースでした。AIツールに確認して詐欺メールと確定できましたが、この体験を通じて「自分の知識が5年以上古くなっていた」ことに気づきました。
同じ状況に陥る方が他にも必ずいると思い、この記事を書くことにしました。パソコン初心者の方はもちろん、「自分はある程度わかる」と思っている方にこそ、読んでいただきたい内容です。
第1章 リンクの「見た目」を信用してはいけない
表示されている文字とURLは別モノ
メールやウェブページでは、「見える文字列」と「実際のリンク先」を別々に設定できます。
たとえば、メールに次のように書いてあっても……
▶ exampleo.co.jp 本人確認およびアカウントの安全確保を開始する
実際のリンク先は全く関係のない詐欺サイトということが普通に起こります。
まずマウスを乗せてURLを確認する(パソコンの場合)
パソコンでメールを読んでいる場合、リンクの文字の上にマウスカーソルをかざすと(クリックせずに!)、画面の左下などに本当のリンク先アドレスが表示されます。
スマートフォンの場合は、リンクを長押しすると実際のURLが表示されるケースがあります。
第2章 URLの構造を理解する — どこを見ればよいか
URLの各部分の役割
URLは次のようなパーツに分かれています。今回の詐欺メールのURLを例に見てみましょう。
| URLの部分 | 今回の詐欺URLの例 | 意味 |
| プロトコル | https:// | 通信の方式。httpsでも詐欺サイトは存在します |
| サブドメイン① | dubizilip | 攻撃者が自由に決めたランダム文字列 |
| サブドメイン② | z12 | Azure ストレージの識別番号 |
| サブドメイン③ | web.core | Microsoft のクラウドサービス識別子 |
| 主ドメイン | windows.net | このドメインの本当の所有者(Microsoft) |
| パス | /(末尾) | ページの場所 |
主ドメインとは? — 判断の基本
主ドメインとは、URLの「右から2〜3番目のピリオドで区切られた部分」のことです。
- google.com → 主ドメインは「google.com」
- amazon.co.jp → 主ドメインは「amazon.co.jp」
- windows.net → 主ドメインは「windows.net」
サブドメインとは、主ドメインの左側にある部分で、サービス提供者(または攻撃者)が自由に作れます。
第3章 「主ドメインが正しくても詐欺」という落とし穴
ここが今回の記事で最も伝えたい部分です。
以前は「末尾に .cn や見知らぬドメインがあれば怪しい」という判断が有効でした。しかし今は違います。
クラウドサービスを使った巧妙な手口
Microsoft・Amazon・Google などのIT大手は、誰でも使えるクラウドサービスを提供しています。攻撃者はこれを悪用します。
| 主ドメイン | 所有企業 | 悪用されるクラウドサービス | 危険度 |
| windows.net | Microsoft | Azure Blob Storage(静的サイトホスティング) | 🔴 高 |
| github.io | GitHub | GitHub Pages(誰でも無料でサイト公開可能) | 🔴 高 |
| amazonaws.com | Amazon | Amazon S3 / CloudFront | 🔴 高 |
| web.app | Firebase Hosting | 🔴 高 | |
| notion.site | Notion | Notionの公開ページ機能 | 🟡 中 |
| vercel.app | Vercel | Vercelホスティング | 🟡 中 |
なぜ「windows.net」が特に危険なのか
今回の詐欺メールのURLに含まれていた「windows.net」は、Microsoftが所有する正規のドメインです。しかしMicrosoftはAzureというクラウドサービスを通じて、
- Microsoftアカウントを作れば誰でも利用可能
- 自分のファイルやウェブページを公開できる
- URLに自動的に「windows.net」が含まれる
そのため、攻撃者がAzureを使って詐欺サイトを作ると、URLに「windows.net」が含まれてしまいます。しかもSSL証明書(ブラウザに表示される「鍵マーク」)が正規のものとして発行されるため、セキュリティソフトも検知しにくいという厄介な問題があります。
第4章 今回の詐欺メールを実際に分析する
メールの内容(再現)
お客様が受け取った詐欺メールの内容を分析してみましょう(ドメインは架空のものに変更しています)。
exampleo.co.jp ユーザーの皆様
お客様のアカウント(office@exampleo.co.jp)において、通常とは異なる不審なサインインアクティビティが検出されたため、セキュリティ保護の観点からアカウントへのアクセスを一時的に制限いたしました。
【検出されたアクティビティ】発生地:ウクライナ, キーウ(IP: 184.171.161.XX)ステータス:危険度「高」
セキュリティプロトコルに基づき、本メール受信後30分以内に以下の安全なリンクより本人確認を完了させてください。
詐欺メールのチェックポイント
| チェックポイント | 今回のメールの内容 | なぜ怪しいか |
| 緊急度の演出 | 「30分以内に」「24時間以内に」 | 焦らせて冷静な判断を奪う典型的な手口 |
| 発生地の具体性 | 「ウクライナ、キーウ」 | 恐怖を煽るために詳細に見せている |
| 日本語の不自然さ | 「所有権の再検証」 | 正規の企業は使わない不自然な表現 |
| 矛盾した指示 | 「身に覚えがない場合でも必ずリンクをクリック」 | 本物ならクリック不要。矛盾しています |
| リンク先URL | windows.netドメインのサブドメイン | 正規サービスのドメインとは異なる |
第5章 よく使われる詐欺ドメインの手口一覧
① サブドメインにブランド名を入れる
主ドメインは別のサイトなのに、左側(サブドメイン)にブランド名を含めて本物に見せかける手口です。
| 詐欺サイトのURL | 本物のサイト | なぜ騙されるか |
| amazon.jp.example.com | www.amazon.co.jp | 「amazon.jp」が含まれている |
| google.secure-login.info | google.com | 「google」という文字が含まれている |
| paypal.account-verify.net | paypal.com | 「paypal」が含まれている |
| apple.id-confirmation.com | apple.com | 「apple」が含まれている |
② 1文字だけ変える「タイポスクワッティング」
| 詐欺サイト | 本物 | 違い |
| amaz0n.co.jp | amazon.co.jp | 「o」が数字の「0」になっている |
| gooogle.com | google.com | 「o」が1つ多い |
| microsft.com | microsoft.com | 「o」が抜けている |
| appIe.com | apple.com | 小文字「l」が大文字「I」になっている |
③ 接頭辞・接尾辞を加える「コンボスクワッティング」
| 詐欺サイト | 本物 | 付け加えられた文字 |
| amazon-login.co | amazon.co.jp | -login を追加 |
| google-security.com | google.com | -security を追加 |
| paypal-verify.net | paypal.com | -verify を追加 |
| support-apple.jp | apple.com | support- を追加 |
第6章 URLのパスとパラメータにも注意
パス(/の後)で警戒すべき文字列
リンク先のURLで「/」の後に以下の文字列が含まれていたら注意が必要です。
| パスの文字列 | 危険度 | 意味 |
| /redirect | 🔴 高 | 別のサイトに転送する機能 |
| /url | 🔴 高 | URLをリダイレクトする機能 |
| /go | 🔴 高 | 別サイトへ移動させる機能 |
| /verify | 🟡 中 | 本人確認ページを装うことが多い |
| /login または /signin | 🟡 中 | 偽のログイン画面の可能性 |
| /secure | 🟡 中 | 安全に見せかけるための文字 |
| /confirm | 🟡 中 | 確認ページを装うことが多い |
パラメータ(?の後)で警戒すべき文字列
URLの「?」以降の部分にも注意が必要です。特に「?の後に別のURLが続いている」場合は要注意です。
| パラメータ | 危険度 | 例 |
| ?url= | 🔴 高 | ?url=https://evil.com |
| ?redirect= | 🔴 高 | ?redirect=https://evil.com |
| ?goto= | 🔴 高 | ?goto=https://evil.com |
| ?next= | 🔴 高 | ?next=https://evil.com |
| ?return= | 🔴 高 | ?return=https://evil.com |
| ?utm_source= | 🟢 低(通常は安全) | 広告効果の計測用(一般的なトラッキング) |
| ?q= や ?query= | 🟢 低(通常は安全) | 検索キーワード |
第7章 詐欺メールにひっかからないための実践チェックリスト
メールに怪しいリンクが含まれていたと思ったら、以下の手順で確認しましょう。
- リンクにマウスを乗せて(クリックせずに!)URLを確認する
- 主ドメインを確認する(右から数えて2〜3番目のピリオドで区切られた部分)
- microsoft.com、amazon.co.jp など正規のドメインか?
- *.web.core.windows.net、*.github.io などクラウド系サブドメインではないか?
- サブドメイン(左側)を確認する
- ランダムな文字列(dubizilip など)ではないか?
- ブランド名がサブドメインに入っていないか?(amazon.悪いサイト.com など)
- パス(/の後)を確認する
- /redirect、/url、/go、/verify などが含まれていないか?
- パラメータ(?の後)を確認する
- ?url= や ?redirect= の後に別のURLが続いていないか?
- 判断できなければ、リンクは絶対に開かない
- ブラウザに公式サイトのアドレスを直接入力してアクセスする
- Microsoft:account.microsoft.com
- Google:myaccount.google.com
- Amazon:www.amazon.co.jp
おわりに — 「お客様は先生」という気づき
今回、慌てて連絡をくれたお客様のおかげで、私自身のセキュリティ知識が5年以上古くなっていたことに気づくことができました。
経験が長くなるほど、「自分はわかっている」という思い込みが生まれやすくなります。しかし詐欺の手口は毎年新しくなります。今年通用した判断基準が、来年には通用しなくなることも珍しくありません。
大切なのは、知識をアップデートし続けることです。困ったお客様の相談は、私にとって最良の学びの機会でもあります。
この記事がお役に立てれば幸いです。不安なメールを受け取ったら、一人で悩まず、ぜひご相談ください。