フィッシングメールとは
あなたを狙う巧妙な手口と、身を守るための知識
フィッシング(Phishing)とは
フィッシングとは、信頼できる企業や組織になりすまして、パスワード、クレジットカード情報、個人情報などを盗み取ろうとするサイバー攻撃の一種です。 「fishing(釣り)」と「sophisticated(洗練された)」を組み合わせた造語で、まさに「獲物を釣り上げる」ように、巧妙な手口であなたの情報を狙っています。
送信者(From)の偽装
メールの「送信者」欄は、実は簡単に偽装できます
なぜ偽装できるのか
メールのプロトコル(SMTP)は、1980年代に設計された古い仕組みです。 当時はインターネットが学術・研究機関で使われており、「悪意のある利用」を想定していませんでした。 そのため、送信者のアドレスを自由に設定できてしまう構造になっています。
攻撃者はこれを悪用し、「amazon.co.jp」「apple.com」などの有名企業からのメールに見せかけることができます。
「From」に表示されているアドレスだけでは、本物かどうか判断できません。
【推奨画像】偽装されたFromアドレスの例。
表示名は「Amazon.co.jp」だが、実際のアドレスは「amazon-security@fake-domain.com」のような不審なドメインになっている様子。
メールクライアントのヘッダー部分を拡大したスクリーンショット。
サイズ: 500x300px程度
送信ドメイン認証とは
こうした偽装を防ぐために、現在は「SPF」「DKIM」「DMARC」という3つの送信ドメイン認証技術が使われています。 これらは、メールが本当にそのドメインから送られたものかを検証する仕組みです。
SPF
Sender Policy Framework「このドメインからメールを送れるサーバーはこれだけ」というリストを公開。 リストにないサーバーから送られたメールは偽物の可能性が高い。
DKIM
DomainKeys Identified Mailメールに電子署名を付与。受信側で署名を検証し、メールが改ざんされていないことを確認できる。
DMARC
Domain-based Message AuthenticationSPFとDKIMの結果を基に、認証に失敗したメールをどう扱うか(拒否・隔離・許可)をドメイン所有者が指定できる。
【推奨画像】Link Sentinelでの認証結果表示。
SPF: ✅ pass / DKIM: ✅ pass / DMARC: ❌ fail のような形式で、
各認証の結果がアイコンと共に表示されている様子。
メールヘッダーの詳細パネルを開いた状態。
サイズ: 800x400px程度
Link Sentinelは、これらの認証結果を自動的にチェックし、わかりやすく表示します。認証に失敗しているメールは注意が必要です。
リンク(URL)の偽装
見た目は正しくても、クリックすると全く違う場所に連れて行かれます
表示テキストと実際のリンク先は別物
HTMLメールでは、リンクの「表示テキスト」と「実際の移動先URL」を別々に設定できます。 攻撃者はこれを悪用し、表示上は「https://amazon.co.jp」と書いてあるのに、 実際にクリックすると「https://amaz0n-security.com」(0はゼロ)のような偽サイトに誘導します。
https://amazon.co.jp/account/verify
https://amaz0n-security.com/phishing
【推奨画像】メール内のリンクにカーソルを合わせた状態。
ブラウザのステータスバーまたはツールチップに実際のURLが表示され、
表示テキストとの違いが明確にわかる様子。
Link Sentinelが「不一致を検出」と警告を出している状態。
サイズ: 500x350px程度
巧妙な類似ドメイン
攻撃者は、本物のドメインと見分けがつきにくい「類似ドメイン」を使用します。 人間の目では気づきにくい微妙な違いを利用しています。
amazon.co.jp
amaz0n.co.jp
「o」が数字の「0」
paypal.com
paypal.com
「l(エル)」が「1(イチ)」
google.com
google.com
「l」がキリル文字の「і」
【推奨画像】Link Sentinelが類似ドメインを検出した様子。
「amazon.co.jp に似たドメインです」のような警告メッセージと、
どの文字が違うかをハイライト表示している画面。
サイズ: 600x300px程度
短縮URLによる隠蔽
「bit.ly」「t.co」などの短縮URLサービスを悪用し、本当の行き先を隠すケースもあります。 クリックするまで、どこに連れて行かれるかわかりません。
https://bit.ly/3xYz123
https://malicious-site.com/steal-password
【推奨画像】Link Sentinelが短縮URLを展開している様子。
短縮URL → 展開後のURL が矢印で示され、
展開後のURLに対しても安全性チェックが行われている画面。
サイズ: 600x300px程度
HTMLメールの罠
テキストメールに見せかけて、実はHTMLメール
2種類のメール形式
メールには「テキストメール」と「HTMLメール」の2種類があります。
- テキストメール: 文字だけで構成。URLは表示されたままのアドレスに移動する。比較的安全。
- HTMLメール: Webページのように装飾が可能。リンクの見た目と実際のURLを別々に設定できる。
テキストに見せかけたHTMLメール
攻撃者は、あえて装飾を控えめにした「テキストメールのように見えるHTMLメール」を送ることがあります。 ユーザーは「テキストメールだから安全」と思い込み、URLをそのままクリックしてしまいます。 しかし実際はHTMLなので、表示されているURLとは全く違う場所に誘導されます。
【推奨画像】テキストメールのように見えるHTMLメールの例。
装飾がなく、プレーンテキストに見えるが、
URLの上にカーソルを置くと違うURLが表示される様子。
「これがHTMLメールだとは思わなかった」という状況を示す。
サイズ: 500x400px程度
見た目の比較
テキストメール(本物)
アカウント確認はこちら:
https://amazon.co.jp/verify
↑ クリックするとこのURLに移動
テキスト風HTMLメール(偽物)
アカウント確認はこちら:
https://amazon.co.jp/verify
↑ 見た目は同じでも、クリックすると偽サイトへ
【推奨画像】Link Sentinelがメール形式(Text/HTML)を判定している様子。
HTMLメールの場合は、すべてのリンクの実際のURLを自動的にチェックし、
表示テキストとの不一致を検出・警告している画面。
サイズ: 800x350px程度
装飾がないからといって「テキストメール」とは限りません。Link SentinelはHTMLメールのリンクを自動解析し、実際のURLを表示します。
正規のメールでも確認が必要なケース
すべてのリンクがFromドメインと一致するとは限らない
正規メールに含まれる外部リンク
企業からの正規のメールでも、以下のようなリンクはFromドメインとは異なることがあります:
-
SNS公式アカウントへのリンク
twitter.com、facebook.com、instagram.com など
-
問い合わせ・サポートシステム
zendesk.com、freshdesk.com などのサポートツール
-
アンケート・フォームサービス
typeform.com、surveymonkey.com など
-
メール配信サービス経由のリンク
トラッキング用にリダイレクトされることがある
【推奨画像】正規企業からのメールに含まれる外部リンクの例。
From: news@company.com だが、
「公式Twitterはこちら」→ twitter.com/company
「お問い合わせ」→ company.zendesk.com
のように、Fromドメインと異なるリンクが含まれている様子。
サイズ: 500x350px程度
外部リンクの確認方法
ドメインが異なるからといって、すぐに不正なリンクとは限りません。 以下の方法で確認しましょう:
公式サイトから確認
メールのリンクをクリックせず、ブラウザで公式サイトに直接アクセスして同じ情報を探す
SNSアカウントを確認
企業の公式SNSで、本当にそのサービスを使っているか確認する
URLのドメインを確認
Link Sentinelで展開されたURLが、信頼できるサービスのドメインかどうか確認する
【推奨画像】Link Sentinelでリンク詳細を確認している様子。
外部サービスへのリンクが「Conditionally Safe」として表示され、
「外部サービス(twitter.com)へのリンクです。正規のものか確認してください」
のようなガイダンスが表示されている画面。
サイズ: 800x400px程度
Link Sentinelは判断材料を提供しますが、100%の安全を保証するものではありません。少しでも不審に感じたら、メールのリンクは使わず、公式サイトに直接アクセスしてください。
身を守るためのポイント
送信者を鵜呑みにしない
From欄は偽装可能。送信ドメイン認証の結果を確認する
リンクはクリック前に確認
表示テキストと実際のURLが一致しているか、類似ドメインではないか確認
メール形式に惑わされない
テキストに見えてもHTMLの可能性がある。ツールで確認を
公式サイトから確認
怪しいと感じたら、リンクを使わず公式サイトに直接アクセス