私たちが日頃よく使っている

Google翻訳(translate.google.co.jp)Googleドライブ、短縮URLサービス――

これらは便利で信頼されている反面、実はフィッシング詐欺の隠れ蓑として悪用されることがあるのをご存知でしょうか?

本記事では、正規サービスの皮をかぶった巧妙な詐欺手口について解説します。


🎯 なぜ“信頼性の高いサービス”が狙われるのか?

詐欺師たちは、「これは本物のGoogleだ」「FacebookのURLだから安心」といった利用者の心理的油断を狙っています。

そのため、以下のような信頼性の高いドメインを利用し、ユーザーの警戒心を緩めた上で偽サイトへ誘導するのです。


🔎 代表的な“隠れ蓑”悪用パターン

① 【Google翻訳を使った偽装リンク】

「translate.google.co.jp」を悪用したフィッシング詐欺の手口とは?でご紹介していますが、次のURLのように、Google翻訳のサービスを悪用してフィッシングサイトに誘導する手口があります。

https://translate.google.co.jp/translate?hl=ja&u=http://phishingsite.com

▷ 手口

  • フィッシングサイトのURLをGoogle翻訳で翻訳
  • 表示されるリンクは translate.google.co.jp の正規ドメイン
  • クリックすると、Googleの翻訳ページ内に偽のログイン画面が表示される

▷ 騙されやすいポイント

  • 「Googleの中で表示されているから安心」と思い込んでしまう

② 【URL短縮サービスの悪用】

実際のURLを短いURLに変えるURL短縮サービスは、URLを覚えやすくするというメリットがある反面、実際にクリックしてみないと本当のリンク先がわからないという点で、フィッシング詐欺サイトへの誘導に利用されやすいものの一つです。

https://bit.ly/3ABCxyz

▷ 手口

  • 詐欺サイトのURLを短縮化して本来のドメインを隠す
  • SNSやメールに貼って拡散

▷ 騙されやすいポイント

  • URLだけではリンク先が分からず、開くまで本物か偽物か判断できない

③ 【Googleドライブ・Docsの共有リンクを悪用】

Googleドライブにフィッシングサイトにアクセスするドキュメントを置いておき、そこに誘導することでフィッシングサイトに誘導する手口です。

https://drive.google.com/file/d/abc123...

メールに記載されているリンクはGoogleの正規のサービスのURLであるため、システムでは不審なメールであることを判別できないこと、また、業務でGoogleドライブを使用することを許可している場合はGoogleドライブへのアクセスをブロックすることもできないといった点が、攻撃者にとっては付け入る隙になります。

▷ 手口

  • Googleドキュメントやスプレッドシートにフィッシングページへのリンクを記載
  • 共有リンクをメールやチャットで送信

▷ 騙されやすいポイント

  • Googleの正規サービスであり、企業内でも日常的に使われているため警戒されにくい

④ 【Facebook・LinkedInなどのリダイレクトURLの悪用】

Google翻訳と同様に、Facebookなどでも他のサイトにリダイレクトする機能があり、こうした機能を悪用して、実際にアクセスする先のURLを隠蔽しようとする手口があります。

https://www.facebook.com/l.php?u=http://phishingsite.com

知っている人からすると、こんな手口に騙されたりしないと思うかもしれませんが、最初のドメイン名だけしか見ずに不審かどうか判断してしまっていたり、慌てていたりすると、URLの後ろにある実際のリンク先までちゃんと見ずにアクセスしてしまうこともあるため、思いのほか、注意が必要な手口です。

▷ 手口

  • SNSの外部リンク確認用リダイレクト機能を悪用
  • 一度SNSのドメインを経由するため、“安全なサイトに飛ぶ”と誤認

🧠 騙されないためのチェックポイント

✅ 確認項目解説
🔍 URLの末尾を必ず確認u=redirect?url=の後に表示されるURLが「本当のリンク先」
🚫 正規サービス経由でも安心しないGoogle翻訳・SNS・共有リンクなども「中継地点」になる可能性がある
📚 よく使うサイトはブックマークからアクセス検索やリンクを辿らず、信頼できるルートを自分で作っておく
🧪 不審な画面にログインしない特に、翻訳画面や共有ドキュメント上にログイン画面が出てきたら即閉じる!

🏢 企業・団体で取るべき対策

  • 社内研修で 「信頼できるドメインでも油断は禁物」 という意識づけを行う
  • フィッシング訓練に Google翻訳・短縮URL・SNSリダイレクトの疑似パターンを導入
  • メールフィルタやURL検査エンジンに、translate.google.co.jp/translate?u=, facebook.com/l.php?u=などを要注意パターンとして登録

実際のリンク先をわからないようにする、また、隠蔽しようとする手口に騙されないようにするためには、手口を知っておくことが一番です。

様々な騙しの手口を知って、怪しいと気づくセンサー(感覚)のレンジを広げておくことで、不審なメールが送られてきてもすぐに気づきやすくなります。

しかし、会社が何も言わなくても、社員全員が日ごろから積極的にこのような情報を収集しているというような組織はほとんどないでしょう。

セキュリティ専業の会社でもない限りは、
そういった情報に詳しい人もいれば、全く関心がない人もいる。そういうものです。

だからこそ、このような情報は社員全員が知るべき情報として、会社が積極的に社員に知らせるようにするべきです。


✍️ サービスを悪用した手口は今後ますます増えていきます

表面上は「Google」や「Facebook」でも、
その中身は巧妙に仕掛けられた罠かもしれません。

今後も、「安心できるはずのサービスを装う」フィッシング手口は進化を続けていきます。
ユーザーとして、また管理者として、
“URLを正しく読む力”と“冷静な疑いの目”**を持つことが何よりの防御となります。

便利なサービスが登場し、複数のサービスが連携して更に便利になればなるほど、そこに悪用を許す隙が生まれやすくなります。

サービスを利用する側も作る側も、悪用される可能性に常に目を光らせ、攻撃者に付け入る隙を与えないよう、冷静に判断・対処する習慣を身につけるために。

社員に対するセキュリティ教育はますます重要になっていると考えます。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。