🎣 フィッシング詐欺はなぜ見破りにくい？
URLの技術的な偽装手口と対策

1. フィッシング詐欺とは何か？

フィッシング詐欺（Phishing）とは、本物そっくりの偽サイトや偽メールを使って、IDやパスワード、秘密鍵などを入力させて盗み取る詐欺だよ。

名前の由来は「fishing（釣り）」で、餌を使って魚を釣り上げるように、本物に見せかけた「餌（偽サイト）」でユーザーを釣るんだ。「ph」で始まるのはハッカー文化の言葉遊びだよ。

---

2. URLの偽装手口5選

① 同形異字攻撃（Homograph Attack）

見た目が全く同じでも、実は異なる文字コードを使う偽URLを作る手法だよ。

// 本物
https://coincheck.com

// 偽物（「c」がキリル文字の「с」になっている）
https://coincheck.com（lがeに…等の変形）

キリル文字やギリシャ文字には、ラテン文字と見た目が非常に似ている文字があるんだ。これを使ってドメインを登録することが技術的に可能なんだよ。

② サブドメインを悪用する手口

URLの構造をよく理解していないと、こんな偽装に騙されてしまうんだ。

// URLの構造：サブドメイン.ドメイン名.TLD/パス

// 本物のCoincheck
https://coincheck.com/ja/

// 偽物（「coincheck.com」がサブドメインに使われている）
https://coincheck.com.login-verify.net/
// ← ドメイン名は実際には「login-verify.net」。coincheck.comは飾り！

URLを読む時は「.com」や「.net」などのTLD（トップレベルドメイン）の直前のドメイン名だけを見るのが鉄則だよ。上の偽URLの本当の所有者は「login-verify.net」なんだ。

③ ハイフンや文字の置換

https://coincheck.com ← 本物

https://coin-check.com ← 偽物（ハイフン追加）
https://coinchck.com ← 偽物（文字省略）
https://c0incheck.com ← 偽物（oを数字の0に）

④ HTTPSがあっても安全とは限らない

「🔒マーク（HTTPS）だから安全」と思っている人も多いけど、フィッシングサイトもHTTPS（SSL証明書）を取得できるんだよ。

⑤ URLを隠す短縮URLの悪用

「bit.ly/xxxx」などの短縮URLサービスを使うと、本来のリンク先が見えなくなる。SNSやメールでのフィッシングによく使われる手法だよ。クリックするまで本当のURLがわからないんだ。

---

3. なぜ「本物そっくり」のサイトが作れるのか？

ブラウザの開発者ツールを使えば、本物サイトのHTMLデザインをそのままコピーすることは技術的に簡単にできてしまうんだ。ロゴ・フォント・配色・レイアウト、全部再現できる。

だから「見た目が本物と同じかどうか」では判断できないんだよ。URLを見ること（そしてURLもよく見ること）が唯一の確実な判断軸だ。

---

4. 絶対に騙されない5つの対策

• 公式サイトをブックマークして、毎回そこからアクセスする
  メール・SNSのリンクからは絶対にログインしない。これが最強の対策。
• URLバーでドメイン名を必ず確認する
  TLDの直前にある名前が「coincheck」「binance」など正しい名前か確認する習慣をつけよう。
• 二段階認証（2FA）を設定する
  仮にパスワードを盗まれても、2FAがあればログインできない。詳しくは二段階認証の記事を読んでね。
• 短縮URLには絶対クリックしない（特に急を要するメール）
  「口座が凍結されます」「今すぐ確認を」など緊急を通じた主張は詐欺の典型手口。
• パスワードマネージャーを使う
  パスワードマネージャーは登録したドメインとURLが一致しないと自動入力しない。偽URLでは自動入力されないので、フィッシングに気づける。

← 詐欺の防衛策まとめに戻る