「不審なURLはクリックしないように」と言われても、
そもそも“何をもって不審なのか”がわからないという声、よく耳にします。
実際、社員からこのような質問を受けて、答えに困ってしまった方もいらっしゃるのではないでしょうか?
詐欺メールやフィッシングサイトの被害は、たった1回のクリックから始まります。
しかし、その“1回”を防ぐには、リンクの見分け方=URLを見る力が不可欠です。
本記事では、社員の皆さんが実際の業務で使えるよう、
URLの見分け方を6つの視点から解説します!
📌 1. URLの基本構造を知ろう
まずはURLの仕組みを理解することから始めましょう。例えば、以下のURLがあったとします。
https://www.example.com/login/index.php?user=abc
🔍 この中身は以下のように分解できます:
| 項目 | 内容 | 例 |
|---|---|---|
| スキーム | 通信方式 | https:// |
| ドメイン | サイト名 | example.com |
| サブドメイン | サブサイト名 | www |
| パス | ページの場所 | /login/index.php |
| クエリ | 追加情報 | ?user=abc |
💡 最も注目すべきは「ドメイン名」です!
なぜなら、「正規のサイトかどうか」はドメイン名で判断されるからです。
ドメイン名とは何か?を理解することは、もはや社会人としての必須知識と言えます。
🕵️♂️ 2. ドメイン名の“なりすまし”に注意
たとえば…
| 本物 | https://amazon.co.jp/order |
| 偽物 | https://amazon.co.jp.secure-login-info.com |
偽物は一見似ていますが、本当のドメインは .comまでの部分です。
この例だと「secure-login-info.com」が本体であり、Amazonとは無関係です。
ドメイン名の部分はレジストラによって管理されているため、自由に決めることができませんが、サブドメイン名の部分はドメイン所有者が自由に設定することができるため、サブドメイン名に正規のドメイン名と同じ文字列を設定して誤認をさせようとするのはよくある手口です。
✅ 正しいドメインを見分けるコツ:
- ピリオドの直前を確認(例:
xxx.〇〇.comの「〇〇.com」が本体) - 「rn」と「m」など、似た文字のすり替えに注意
- 正しいドメインを事前に把握(ブックマーク推奨)
🔒 3. 「http://」ではなく「https://」かを確認
「https://」は通信の暗号化を意味します。
今どき「http://」のままのサイトは、セキュリティ意識が低い可能性大です。
業務で使用しているサイトであれば、http://で始まるサイトを使用することはありません。
👎 「http://」=情報が盗み見られる恐れあり
👍 「https://」=安心の鍵マーク付き(ただし過信は禁物)
🔐 注意! 鍵マークが付いていても、偽の安全証明を使っているケースもあります。
ドメイン名との組み合わせで総合判断を!
🧩 4. 短縮URLや意味不明な文字列は慎重に!
SNSなどでよく見かける bit.ly や t.co などの短縮URL。
中身が見えないため、フィッシングに悪用されやすいです。
🛑 不安な短縮URLは、「CheckShortURL」などの展開ツールで中身を確認してからクリック!
また、以下のように、意味不明な文字列がパス名などに使われている場合も要注意です。
https://abc.example.com/1k2j3i1j/4n2f1x4/?h=ybb3r8
✅ 本当に必要な情報かどうかを見極めましょう。
不自然に長いパスや、ランダムな文字列が続くURLはクリック厳禁です!
🧨 5. 見た目そっくりな偽URLにも警戒
以下の2つ、見分けがつきますか?左側の表示では、どちらも同じ**apple.com**と表示されているように見えますが、右側のHTMLコードを見ると、明らかに違う文字列が使われています。
この例のように、見た目は同じでも中身が違う文字を使うことで、見かけ上のURLを本物であるかのように見せかけて、実際には違うドメイン名のサイトにリンクさせるという手口が使われています。
🔍 対策:
- ブラウザのアドレスバーをコピーしてテキストエディタで貼り付けて確認
xn--で始まる文字列がメール本文中やURLに使われていたら疑ってかかる
🚨 6. 知らないドメイン名はまず確認
普段の業務で見たことが無い、また、これまでアクセスしたことがない知らないドメイン名を目にしたら、クリックする前に、そのドメイン名がどこの会社のドメイン名であるかを確認することです。
・似たようなドメイン名だから自社に関係があるんじゃないか。
・たぶんシステム部で使っているドメイン名なんだろう。
・そういうドメイン名もあるのかもしれない。
など、自分が知らないドメイン名について、自分の推測に基づいて勝手に判断をすることは厳禁です。わからないことは上長などに確認する。セキュリティに限らず、報連相は業務の基本であり、基本動作として徹底することが大切です。
✅ 安易な自己判断で進まないこと。
アクセスしても問題ないと確信が持てない限りは、周囲への確認を行いましょう。
✅実践!不審なURLかどうかを見極めるチェックリスト
リンク先をクリックする前に、以下の項目について確認しましょう!
| チェック項目 | OKの目安 |
|---|---|
| ドメイン名は正しいか? | 会社の公式ドメイン名と一致 |
| 誤認させるような文字が使われていないか? | ドメイン名の綴りが正しいか |
| 「https://」になっているか? | 暗号化されている |
| サブドメイン名が変ではないか? | amazon.co.jp.secure-login-info.comなど、ドメイン名がサブドメイン名に使われている場合は怪しい |
| 鍵マークが正しく表示されているか? | 発行元が確かな有効な証明書か |
| パスやクエリが異常に長くないか? | 短く整理されており、意味不明な文字列などが含まれていない |
| 短縮URLの中身は確認したか? | 安全ツールで確認済み |
| Punycodeが使われていないか? | xn--で始まる文字列ではない、表示が自然 |
| 見知らぬドメイン名でないか? | ドメイン名の所有者が明確で、正規の会社が所有しているドメイン名である |
| 普段から利用されているURLか? | 業務でよく利用しているURLである |
🧰 おまけ:安全性チェックに使える便利ツール
| ツール名 | 用途 | URL |
|---|---|---|
| CheckShortURL | 短縮URLの展開 | https://checkshorturl.com |
| VirusTotal | サイトの安全性チェック | https://www.virustotal.com |
| URLVoid | ドメイン評価ツール | https://www.urlvoid.com |
📝 まとめ
「不審なURLはクリックしない」と言われても、知識がなければ判断のしようがありませんが、
具体的に何を見ればよいかがわかれば、判断は確実に上達します。
日々の業務の中で、「ん?」と気づくためには、
まずURLを観察する習慣をつけることが何よりも重要です。
普段から不審かどうかを判断する練習を繰り返すことで、URLを見ただけで不審かどうかに自然と気づけるようになります。
また、URLだけでは不審かどうか判断できなかったとしても、安易にクリックしてはいけなさそうだと勘が働き、安易なクリックによる被害の発生は格段に減らすことができるはずです。
訓練実施担当者は、不審なURLを見極めるポイントを社員に伝え、常日頃からURLを観察する習慣を持ってもらうよう、訓練の実施などを通じて、根気よく繰り返し伝えていくようにしましょう!
