「文面で判断」では防げない ~ フィッシング対策の本質はURLと送信元の確認にある

「怪しい文面を見抜く」という前提の落とし穴

 

多くのフィッシング対策研修では、「日本語が変」「宛名がない」「急を要する表現がある」といった文面上の特徴を手がかりに判断するよう指導する。しかし、この方法論には根本的な欠陥がある。

現代のフィッシングメールは、正規サービスの通知をほぼ完璧に模倣できる。差出人の表示名、メール本文のレイアウト、ロゴ画像、さらには送信者情報の詳細ヘッダーまで、肉眼では区別がつかないレベルで偽装される。

文面の巧拙はもはやフィッシングの判別指標にならない。攻撃者は正規メールをそのまま流用するか、生成AIで自然な文体を生成できるためである。

 

Google Jigsawクイズが問うもの

 

Google Alphabetの技術シンクタンクであるJigsawは、フィッシング識別能力を試すオンラインクイズを公開している(phishingquiz.withgoogle.com)。世界中の約1万人のジャーナリスト・活動家・政治指導者に対するセキュリティトレーニングの知見を基に設計されたもので、実際のフィッシング事例(2017年のGoogle Doc大規模フィッシングや、2016年米大統領選キャンペーンへの攻撃に類似したケースなど)を題材にしている。

上記URLをクリックしていただくと、Jigsaw | Phishing Quizということで、8〜10問の模擬メール・通知画面を提示し、「正規」か「フィッシング」かを二択で回答するクイズである。また、各問の解説でフィッシングを示す具体的な手がかりが示されている。無料で利用できるし、日本語に対応しているので、利用していただくのが良いと思われる。

 

このクイズの設計において重要なのは、判断の根拠として文面の内容を問うていない点である。正解の鍵は一貫して次の二点に集約される。

  • 送信元アドレスのドメイン: 表示名ではなく、実際の送信元メールアドレスのドメイン部分を確認する
  • リンク先URLのドメイン: リンクテキストではなく、マウスオーバー時に表示される実際のURL(特にドメイン部分)を確認する

 

ドメインのどこを読むか

 

URLの判定で最も重要なのは「最初のスラッシュより前の、末尾のドメイン」である。サブドメインや長いパスで本物らしく見せる手口が多用されるため、右から読む習慣が有効だ。以下の例を参考にしていただきたい。

  • フィッシング例(一見 Google Drive に見える)
    https://drive--google.com/doc/share?id=abc123
  • 正規例
    https://drive.google.com/doc/share?id=abc123
  • サブドメイン偽装の例
    https://mail-google.securitycheck.fuzzlebutt.com/verify

読み方のポイントは、最初のスラッシュ(//ではなく、最初に出てくる/)より前の部分を「右から」確認することである。「.com」「.jp」などの末尾の直前にある単語が、実際の運営組織を示す。たとえば drive.google.com であれば「google」が組織名だ。いかに左側に google や amazon という文字列が含まれていても、その直前の単語が別の組織を指していれば偽物と判断できる。

 

クリック前にURLを確認する方法

 

メール内のリンクは、表示されているテキストと実際のリンク先URLが異なる場合がある。クリックする前に、以下の方法で実際のURLを目で確認することが不可欠である。

  • PCの場合:リンクにマウスオーバーする
    クリックせずにリンクの上にマウスカーソルを乗せると、ブラウザやメールクライアントの左下に実際のリンク先URLが表示される。そのドメインを右から読んで正規かどうか確認する
  • スマートフォンの場合:リンクを長押しする
    リンクを長押し(ロングタップ)すると、実際のURL全体がポップアップ表示される。タップして開く前に必ずドメインを確認する
  • 不安な場合はURLチェックツールを使う
    URLをコピーしてVirusTotalやaguse.jpに貼り付けると、悪意あるサイトかどうかを判定できる。少しでも疑わしければこの手順を踏む
  • リンクテキストだけで判断しない
    URLの確認は「クリックする前」に行う。確認できないURL、あるいは確認して少しでも疑わしいURLは、クリックしないことがデフォルトの行動であるべきだ。

「内容評価型」テストの問題点と代替設計

 

企業のセキュリティ研修でよく見られる「このメールは怪しいか」という問い方は、受講者を誤った判断基準に誘導するリスクがある。「この文体は自然か」「差出人に見覚えがあるか」「内容に緊急性があるか」などの内容評価型における避けるべき設問例である。

推奨されるのは、技術確認型で「送信元メールアドレスのドメインは正規か」「リンクが示すドメインは正規か」という設問例である。

 

推奨する確認フロー

 

最後に、メールの確認フローとして推奨されるステップを記述する。

  1. 送信元ドメインの確認
    表示名でなく、差出人欄に表示されている「送信者名 <[email protected]>」の山かっこ内のメールアドレスを展開して、そのドメイン部分が正規か確認する
  2. リンク先URLの確認
    クリック前にマウスオーバーまたは長押しで実際のURLを確認し、ドメインの正当性を判断する
  3. 疑わしい場合はリンクをクリックせず直接アクセス
    ブラウザのブックマークや公式アプリから直接ログインして確認する
  4. 不明な場合は報告・確認
    自己判断で操作を完結させず、セキュリティ担当者や公式窓口に確認する

 

まとめ:フィッシング対策の核心

 

フィッシング詐欺の巧妙化が進む中、「内容が不自然かどうか」を基準にした識別訓練はもはや有効な防御手段とは言い難い。Jigsawクイズが実証しているように、フィッシング判定の本質は技術的な確認行為――送信元ドメインとリンク先URLの検証――にある。

研修設計においても、この観点を中心に据えることで、受講者が実際の攻撃に直面したときに機能する判断力を養うことができる。文面の巧拙に関わらず適用できる確認手順を、組織の標準的な行動規範として定着させることが重要である。

以上