🎣 このURLは安全？フィッシング詐欺サイトの
見分け方と開いてしまった時の対処法

1. フィッシング詐欺とは何か？

フィッシング詐欺（Phishing）とは、本物そっくりの偽サイトや偽メールを使って、IDやパスワード、秘密鍵などを入力させて盗み取る詐欺だよ。

名前の由来は「fishing（釣り）」で、餌を使って魚を釣り上げるように、本物に見せかけた「餌（偽サイト）」でユーザーを釣るんだ。「ph」で始まるのはハッカー文化の言葉遊びだよ。

---

2. 開いてしまった！偽サイトの見分け方とURLの偽装手口

① 同形異字攻撃（Homograph Attack）

見た目が全く同じでも、実は異なる文字コードを使う偽URLを作る手法だよ。

// 本物
https://coincheck.com

// 偽物（「c」がキリル文字の「с」になっている）
https://coincheck.com（cがキリル文字のсになっている等の変形）

キリル文字やギリシャ文字には、ラテン文字と見た目が非常に似ている文字があるんだ。これを使ってドメインを登録することが技術的に可能なんだよ。
※最近のブラウザでは、こうした不審なドメインは「https://xn--...」というPunycode（ピュニコード）表記に自動変換されて警告されるため、そこでも見抜けるよ🐾

② サブドメインを悪用する手口

URLの構造をよく理解していないと、こんな偽装に騙されてしまうんだ。

// URLの構造：サブドメイン.ドメイン名.TLD/パス

// 本物のCoincheck
https://coincheck.com/ja/

// 偽物（「coincheck.com」がサブドメインに使われている）
https://coincheck.com.login-verify.test/
// ← ドメイン名は実際には「login-verify.test」。coincheck.comは飾り！

URLを読む時は「.com」や「.co.jp」などの一番最後にあるドメインの「一つ手前」の部分（本当のドメイン名）を見るのが鉄則だよ。上の偽URLの本当の所有者は「login-verify.test」なんだ。

③ ハイフンや文字の置換

https://coincheck.com ← 本物

https://coin-check.com ← 偽物（ハイフン追加）
https://coinchck.com ← 偽物（文字省略）
https://c0incheck.com ← 偽物（oを数字の0に）

④ HTTPSがあっても安全とは限らない

「🔒マーク（HTTPS）だから安全」と思っている人も多いけど、フィッシングサイトもHTTPS（SSL証明書）を取得できるんだよ。

⑤ URLを隠す短縮URLの悪用

「bit.ly/xxxx」などの短縮URLサービスを使うと、本来のリンク先が見えなくなる。SNSやメールでのフィッシングによく使われる手法だよ。クリックするまで本当のURLがわからないんだ。

---

3. なぜ「本物そっくり」のサイトが作れるのか？

ブラウザの開発者ツールを使えば、本物サイトのHTMLデザインをそのままコピーすることは技術的に簡単にできてしまうんだ。ロゴ・フォント・配色・レイアウト、全部再現できる。

だから「見た目が本物と同じかどうか」では判断できないんだよ。URLを見ること（そしてURLもよく見ること）が唯一の確実な判断軸だ。

---

4. MetaMaskを接続してしまった場合の緊急対応と特有の手口

さっきまでは一般的なパスワードを盗む手口を説明したけど、暗号資産の世界にはもっと恐ろしい特有のフィッシングがあるんだ。

MetaMaskを接続してしまった時の対処法（ドレイナー対策）

IDやパスワードを入力させなくても、「エアドロップ（無料配布）はこちら！」というボタンでMetaMaskなどのウォレットを接続させ、悪意のあるプログラムを承認させる手口（ドレイナー）だよ。
初心者が一番事故りやすいのが、以下の3つの違いを知らないことなんだ。

Approveを取り消す（Revoke）にはどうすればいい？

Google検索の広告（スポンサー枠）は安全なのか？

「Coincheck」と検索したとき、一番上に表示される「スポンサー」と書かれた広告枠がそもそもフィッシングサイトであるケースが頻発しているよ。検索結果のトップだからといって本物とは限らないんだ。

🚨 X（旧Twitter）の青バッジ（公式マーク）を過信しない
今は課金すれば誰でも青バッジがつくため、「青バッジをつけた偽の公式アカウント」が公式のフリをしてリプライ欄に偽URLを貼る手口が急増しているよ。公式っぽく見えても、SNSからのリンクは絶対に直接踏まないのが鉄則！

シードフレーズを入力してしまったら終わり？

「システムエラーを解除するため」と称して、ウォレットの12個〜24個の英単語（シードフレーズ）を入力させる手口だよ。もし入力してしまったら、犯人にウォレットのマスターキーを渡したのと同じ「極めて危険な状態」です。すぐに別の新しいウォレットを作成し、残っている資産を全速力で移動させるしか助かる道はありません。運営がシードフレーズを聞いてくることは絶対に100%あり得ないからね！

---

5. 絶対に騙されないための防衛策（暗号資産編）

• 検索エンジンを使わない（必ずブックマークから）
  前述の通り検索エンジンの「広告」には偽サイトが混ざるため、一度正しいサイトを登録したらブックマークからのみアクセスしよう。メールのリンクも絶対NGだよ。
• URLバーでドメイン名を必ず確認する
  TLDの直前にある名前が「coincheck」「zaif」など正しい名前か確認する習慣をつけよう。
• 二段階認証（2FA）を設定する
  仮にパスワードを盗まれても、2FAがあればログインできない。詳しくは二段階認証の記事を読んでね。
• 短縮URLには絶対クリックしない（特に急を要するメール）
  「口座が凍結されます」「今すぐ確認を」など緊急性を煽る文面は詐欺の典型手口。
• スマホの公式アプリを利用する（最強の対策）
  ブラウザを使わず、スマホの公式アプリからのみログイン・取引を行うようにすれば、そもそも偽URLにアクセスするリスクをゼロにできるよ。「初心者は最初の半年間、ブラウザを一切使わなくていい！アプリだけで十分！」と断言するくらい、アプリ最強説は有効なんだ。
• パスワードマネージャーを使う
  パスワードマネージャーは登録したドメインとURLが一致しないと自動入力しない。偽URLでは自動入力されないので、フィッシングに気づける。
• シードフレーズは絶対にウェブサイトに入力しない
  ウォレットの復元フレーズをウェブ上で求められたら、100%詐欺だと判定して即座にページを閉じよう。