「.cn」「.xyz」は危ないドメイン名であることを伝えよう
詐欺メールや標的型攻撃メールには、
**海外のドメイン名(例:.cn、.xyz、.ru など)**が使われることが多いです。
しかし、社員の中には――
「ドメイン名って何?」
「.cnが何か、考えたことなかった」
という人も少なくありません。ドメイン名自体については知っていても、ドメイン名とは何か?について改めて聞かれると、”知らない”という人は多いと思います。
例えば、差出人アドレスのドメイン名が service.gmkw7f.cn となっていても、.cnが中国のドメイン名だとは知らないばかりに、詐欺メールであることに気づけない。
毒キノコを目の前にしているのに、それが毒キノコだとわかっていないって、ちょっとマズイですよね。ドメイン名もそれと同じ。
そのまま放置していると、詐欺メールに気づかずにクリックしてしまうリスクは高まる一方です。
今回は、社員に「ドメイン名とは何か?」を正しく理解してもらうために、
訓練実施担当者が押さえておくべきポイントと、実際に使えるトレーニングワークの例をご紹介します!
🧠 そもそも「ドメイン名」とは?
メールアドレスやURLに含まれる「@以降」や「https://以降の最初の部分」のことを指します。
例)support@example.cn
| 部分 | 意味 |
|---|---|
| example | 組織名やブランド名 |
| .cn | 国別ドメイン(ccTLD)←重要! |
社員にとって身近なドメイン名にはこんなものがあります:
| ドメイン名 | 意味 | 危険性 |
|---|---|---|
.jp | 日本の企業・団体 | 比較的安全(ただし偽装もあり) |
.com | 商用ドメイン(世界共通) | 有名企業も多いが注意が必要 |
.cn | 中国 | 詐欺メールに多く使われる傾向 |
.ru | ロシア | 要警戒対象 |
.xyz | 誰でも取得しやすく無料も多い | スパム用途が目立つ |
✨TLDは“ネットの国籍”。知らない場所には足を踏み入れない
TLD(トップレベルドメイン)とは、ドメイン名の最後の部分(例:.com, .jp, .cn, .xyz など)を指し、そのドメイン名が「どこの国か」「どういう用途か」を示す重要な識別子です。
この“ドメイン名の最後の部分”こそが、詐欺メールを見抜く最もシンプルかつ効果的なサインになります。ゆえに、TLDについて社員に知ってもらい、理解を深めてもらうことは何よりも重要です。
🔸TLDの種類と意味
| TLD | 意味 | 説明・傾向 |
|---|---|---|
.jp | 日本 | 実在性の高い企業に多く利用される |
.com | 商用 | グローバルに利用。詐欺利用もある |
.cn | 中国 | 詐欺メールでの利用が多く要注意 |
.ru | ロシア | セキュリティリスクが高め |
.xyz | 誰でも取得可 | 無料取得が多く、スパムの温床に |
.top | 汎用 | 詐欺URLに多用される傾向あり |
TLDを知ることで、
- ✔ 企業メールのTLDパターンに気づくようになる
- ✔ 海外からの不審なTLDに反応できる(.xyz, .cn, .ru は要注意という前提を持てる)
- ✔ リンクをクリックする前に「ドメインを見る習慣」がつく
というように、詐欺メールかどうかに気がつきやすい感覚が養われます。
👀 教育担当者が考慮すべき3つのポイント
① 「比較」と「例」で教えるのが鉄則
抽象的な説明よりも、実際のメールやURLのスクリーンショットを使って比較すると効果的です。
✅ 例:
@hr.company.co.jp(本物)@support-company.cn(偽物)
② 「見落とし」がどれだけ危険か体感させる
- 疑似フィッシングメールや、訓練メールに
.cnや.xyzのURLを含めて、**「あとから気づく仕掛け」**を入れると印象に残ります。
③ ドメイン名を“住所”にたとえる
社員に伝えるときはこう言いましょう:
💬「ドメイン名はWeb上の“住所”です。
知らない国からの荷物が届いたら、普通は警戒しますよね?
URLも同じ。知らないドメインからの案内には、まず疑ってみることが大切です。」
📦 URLを見抜く!トレーニングワーク
社員研修で使える【ワーク形式】のトレーニング問題を紹介します。
以下のように使うことで、「見た目だけで信じるクセ」を減らせます!
🔹 ワーク①:URL見極めクイズ(○×形式)
次のURLは安全そうに見えますか?(○:安全そう/×:怪しい)
| 表示されているURL | ○/× | 解説 |
|---|---|---|
| https://login.microsoft.com | ○ | 本物のMicrosoftドメイン |
| https://microsoft-login.cn | × | 中国ドメインで偽装の可能性大 |
| https://secure-paypal.xyz | × | .xyzドメインに要注意 |
| https://amazon.co.jp.login-help.info | × | 本物のドメイン名を混ぜることで、本物に見せかけた詐欺URLの典型 |
🔹 ワーク②:メール差出人チェックゲーム
以下の差出人メールアドレスで、本物らしいものを1つ選んでください。
💡 正解は hr@company.co.jp。
他は偽装やフリー取得ドメインを用いた典型例。.co.jpのドメイン名は企業でなければ取得することができないドメイン名なので、上記の選択肢の中から一つ選ぶとした場合は、 hr@company.co.jp を選ぶのが正解です。
🔹 ワーク③:URLの「どこを見る?」チェック表
研修中にURLを見せて、社員に「どこに注意したか」を書き出してもらいます。
| 項目 | チェック内容 |
|---|---|
| ドメイン末尾 | .jp か?見慣れない ccTLD ではないか? |
| サブドメイン構造 | 本物のドメインが先頭にあるか? |
| https 表記 | 安全通信だが、これだけで安心していないか? |
📚 まとめ:URLを見て“違和感に気づく力”が社員を守る
| 教育の目的 | 実践方法 |
|---|---|
| ドメイン名の基礎理解 | 例と比較を使って視覚的に教える |
| 警戒心を養う | 引っかかる演習で気づきを得させる |
| 習慣として定着 | クイズ・ゲームで繰り返し練習する |
✨ 最後に:わからないから騙される、気づけば防げる
メールやURLのドメイン名を「見る習慣」は、
セキュリティリスクを大きく減らす第一歩です。
知識だけではなく、実際に目で見て判断するトレーニングを取り入れることで、
社員は「なんとなく違和感がある」という防御本能を身につけていきます。
ドメイン名を“読める社員”を一人でも増やすこと。
たったこれだけのことでも、組織全体のセキュリティを底上げする力になります!
