URLの確認 - アクセス先 URL の確認
リンクをクリックする前にアクセス先の URL を確認する習慣が、フィッシングやクリックジャッキングなどの攻撃から身を守る基本的な対策になる。
概念図
実例
正規 URL と偽装 URL の比較
bash
// 正規: https://accounts.google.com/login
// 偽物: https://accounts-google.evil.com/login
// https://accounts.goog1e.com/loginURL の構造と確認すべき箇所
bash
// アドレスバーの確認ポイント
https://example.com/path
^^^^^ ^^^^^^^^^^^
プロトコル ドメイン名 ← ここが最も重要なぜ URL の確認が重要か
多くの攻撃は、ユーザーを偽のサイトに誘導することで成立します。
アドレスバーの URL を確認するだけで防げる攻撃は少なくありません。
| 攻撃 | URL で見抜けるポイント |
|---|---|
| フィッシング | ドメイン名が正規サイトと異なる |
| クリックジャッキング | アドレスバーに表示される URL が正規サイトではなく罠ページのもの |
| オープンリダイレクト | リダイレクト先パラメータに不審な URL が含まれる |
攻撃シナリオと URL 確認の効果
フィッシング攻撃は「メールを送る → ユーザーがリンクをクリックする → 偽サイトで認証情報を入力する」という流れで成立します。
URL 確認はこの流れの クリック直前 で発動する防御策で、ユーザー自身がワンステップ追加するだけで攻撃チェーン全体を断ち切ることができます。
- 確認した場合: 登録ドメインが正規と異なることに気づき、クリックせずにメールを削除できる。被害ゼロ。
- 確認しなかった場合: 偽ログイン画面に ID・パスワードを入力してしまい、攻撃者にそのまま送信される。本物のサイトにリダイレクトされるため被害に気づきにくい。
技術的な防御(メールフィルタ・EDR 等)をすり抜けた最後の砦がユーザー自身の URL 確認習慣です。
URL 確認のチェックポイント
- ドメイン名を目視確認:
google.comとgoog1e.com、amazon.co.jpとamazon-co-jp.comのような紛らわしい偽装に注意 - プロトコルの確認:
https://であることを確認する。http://のみのサイトでは通信が暗号化されていない - メール内リンクはホバーして確認: 表示テキストとリンク先が異なるケースが多い。クリック前にリンク先 URL をホバーで確認する
- 短縮 URL に注意:
bit.lyやt.coなどの短縮 URL は本来のリンク先が隠されている。展開サービスで確認してからアクセスする - ブックマークからアクセス: 重要なサービス(銀行、メール等)はメール内リンクではなくブックマークや直接入力でアクセスする