フィッシング詐欺は、正規のサービスを装った偽サイトにユーザーを誘導し、個人情報やログイン情報を窃取するサイバー攻撃です。短縮 URL はリンク先が隠蔽されるため、攻撃者にとって格好の隠れ蓑となっています。Anti-Phishing Working Group (APWG) の 2023 年 Phishing Activity Trends Report によると、2023 年に報告されたフィッシングサイトの総数は年間約 500 万件に達し、四半期あたり約 130 万件のペースで増加しました。そのうち短縮 URL を経由した攻撃は全体の約 8% を占め、前年比で 1.5 ポイント増加しています。短縮 URL 経由だけでも年間推定 40 万件以上のフィッシングサイトが存在する計算です。APWG はさらに、フィッシング攻撃の標的として最も多い業界は金融機関 (全体の 23.5%) であり、次いで SaaS / Web メール (19.4%)、EC サイト (14.6%) と報告しています。
短縮 URL を悪用したフィッシングの具体的な攻撃パターンを 5 つ紹介します。第一は、銀行やクレジットカード会社を装ったメール攻撃です。「お客様のアカウントに不審なアクセスがありました。24 時間以内にご確認ください」という件名で緊急性を煽り、本文中の短縮 URL をクリックさせます。遷移先は正規サイトと酷似したデザインの偽ログインページで、入力された ID・パスワード・ワンタイムパスワードをリアルタイムで窃取し、正規サイトへの不正ログインに使用します。この手口はリアルタイムフィッシング (Adversary-in-the-Middle) と呼ばれ、従来の静的なフィッシングサイトより検知が困難です。
第二は、EC サイト (Amazon、楽天など) を装った注文確認詐欺です。「ご注文の確認: 注文番号 #503-2847591」のように実在しそうな注文番号を記載し、「注文した覚えがない場合はこちらからキャンセル」という文面で短縮 URL へ誘導します。受信者は身に覚えのない注文に焦り、冷静な判断ができないまま偽サイトでクレジットカード情報を入力してしまいます。
第三は、 SNS のダイレクトメッセージを利用した攻撃です。乗っ取られたアカウントから「この写真に写っているのはあなた?」「このキャンペーンで当選しました」といった好奇心を刺激するメッセージとともに短縮 URL が送信されます。信頼する友人からのメッセージに見えるため警戒心が薄れ、マルウェアのダウンロードページや偽のログイン画面へ誘導されます。
第四は、SMS を利用した「スミッシング」です。「お荷物のお届けにあがりましたが不在のため持ち帰りました。再配達はこちら」という宅配便の不在通知を装い、短縮 URL から偽サイトへ誘導します。フィッシング対策協議会の 2023 年報告では、宅配便を装ったスミッシングの報告件数が前年比 35% 増加しています。スマートフォンではブラウザの URL バーが小さく、偽ドメインを見落としやすい点が攻撃者に悪用されています。
第五は、 QR コードに悪意のある短縮 URL を埋め込む「 QRishing」です。駐車場の料金精算機、レストランのメニュー、公共施設の案内板などに正規の QR コードの上から偽の QR コードステッカーを貼り付ける手口が報告されています。ユーザーは物理的な掲示物を信頼しやすいため、オンラインのフィッシングよりも警戒心が低くなる傾向があります。
これらの手口に共通するのは、緊急性を煽って冷静な判断を妨げる点です。正規のサービスが「今すぐクリックしないとアカウントが削除される」といった脅迫的な表現を使うことは稀です。メールやメッセージを受け取った際は、まず送信元のメールアドレスを確認しましょう。正規のサービスであれば公式ドメイン (例: @amazon.co.jp) から送信されます。ヘッダー情報の Return-Path や Received フィールドを確認すれば、実際の送信元サーバーを特定できます。Gmail では「メッセージのソースを表示」、Outlook では「メッセージのプロパティ」からヘッダー情報を確認できます。SPF、DKIM、DMARC の認証結果もヘッダーに記録されており、これらが FAIL の場合は送信元の詐称が疑われます。
プレビュー機能の活用は、フィッシング対策の基本です。信頼できる短縮 URL サービスでは、リンク先の URL 、ページタイトル、OGP 情報を事前に確認できます。リンク先のドメインが正規のサービスと一致するかを確認し、少しでも不審な点があればクリックを避けましょう。フィッシングサイトでよく使われるドメインの特徴として、正規ドメインの文字を数字に置換する (例: amaz0n-login.com)、サブドメインに正規名を含める (例: amazon.co.jp.fake-site.com)、ハイフンで区切った長いドメインを使う (例: amazon-account-verify.com) などがあります。プレビュー機能でドメインを確認する習慣をつけるだけで、多くのフィッシング攻撃を回避できます。
ブラウザのセキュリティ機能も重要な防御層です。Chrome の Safe Browsing、Firefox の Phishing Protection、Edge の SmartScreen はいずれもフィッシングサイトのデータベースと照合し、危険なサイトへのアクセス時に警告を表示します。Google の透明性レポートによると、Safe Browsing は 1 日あたり約 400 万件の警告を表示し、約 50 億台のデバイスを保護しています。ブラウザを常に最新バージョンに更新し、セキュリティ機能を有効にしておくことで、万が一フィッシングリンクをクリックしても被害を最小限に抑えられます。
二要素認証 (2FA) の設定は、フィッシング被害を軽減する最も効果的な対策の 1 つです。仮にログイン情報が漏洩しても、二要素認証が有効であれば不正ログインを防止できます。Google の調査では、SMS ベースの 2FA でアカウント乗っ取りの 96% を、セキュリティキーベースの 2FA では 100% を防止できたと報告されています。ただし、SMS ベースの 2FA は SIM スワップ攻撃やリアルタイムフィッシングに脆弱です。SIM スワップ攻撃では、攻撃者が携帯キャリアに成りすまして被害者の電話番号を別の SIM カードに移し、SMS 認証コードを傍受します。可能であれば TOTP アプリ (Google Authenticator、Authy など) やハードウェアセキュリティキー (YubiKey など) の使用が推奨されます。FIDO2 / WebAuthn 対応のセキュリティキーは、フィッシングサイトのドメインを自動検証するため、偽サイトでの認証を物理的に阻止できます。
デメリットとして、セキュリティ対策を厳格にしすぎると利便性が低下するトレードオフがあります。すべてのリンクをプレビューで確認する習慣は安全ですが、日常的なリンク操作の速度が低下します。リスクの高い場面 (不審なメール、知らない送信者からのメッセージ) では慎重に確認し、信頼できる送信者からのリンクは通常どおり操作するなど、状況に応じた判断が現実的です。また、2FA の導入はアカウントごとに設定が必要で、管理の手間が増える点も考慮が必要です。パスワードマネージャー (1Password、Bitwarden など) を併用すれば、パスワードと 2FA コードを一元管理でき、運用負担を軽減できます。
関連書籍: Web セキュリティやフィッシング対策について体系的に学びたい方には、Amazon で関連書籍を探す がおすすめです。