タイポスクワッティングは、有名ドメインのスペルミスを狙って類似ドメインを取得し、誤って訪れたユーザーをフィッシングサイトや広告ページに誘導する手口です。 ICANN と Symantec の長期調査では、 1 万以上の主要ブランドで毎月数千件のタイポドメインが新規登録されており、 2024 年は GitHub、 Microsoft 365、 PayPal、 LINE、 Mercari の偽装ドメインが特に多く確認されました。短縮 URL の運営者と利用者の両方が、この攻撃を理解した上で対策を打つ必要があります。
典型的な手口は 4 種類に分けられます。第一が文字置換 ( 「twitter.com」 → 「twltter.com」 )、第二が文字位置入れ替え ( 「amazon.co.jp」 → 「amzaon.co.jp」 )、第三が文字省略 ( 「microsoft.com」 → 「microsft.com」 )、第四がホモグラフ攻撃 ( ASCII の 「a」 をキリル文字の 「а」 に置換) です。第四のホモグラフ攻撃はブラウザの URL バー上で見分けがつかないことがあり、 Punycode 表示への切り替え設定が無いと検出が難しくなります。
短縮 URL を運営する側の防御は、登録時の URL 検査が中心です。短縮 URL に登録される URL を Google Safe Browsing API、 PhishTank、 Cloudflare Radar Threat Intelligence などのフィードに照合し、フィッシング判定が出たものは登録自体を拒否する仕組みが基本です。さらに、自社ブランド名や有名ブランド名に似たドメインを許可リストではなく拒否リストで管理し、検出時に自動で確認フローに送る運用が効果的です。
短縮 URL を業務で利用する側の防御は、リンク先プレビューと社員教育の二段構えです。プレビュー機能のある短縮 URL サービスを選び、メールや Slack で受け取ったリンクを開く前にリンク先のドメインを確認する習慣を全社で徹底します。 Microsoft 365 の Safe Links や Google Workspace の Email Threat Protection と組み合わせると、メール経由のタイポドメインへのアクセスを大幅に減らせます。
ブランド側の防御では、自社の主要ドメインに対する類似ドメインを継続的にモニタリングし、悪用が確認されたドメインは UDRP (統一ドメイン名紛争処理方針) に基づいて移管請求を行います。 WIPO 仲裁・調停センターの 2024 年統計では、 UDRP 提訴の約 92% が請求側の勝訴となっており、攻撃ドメインへの法的対応は実用的な選択肢です。並行して、自社の正規短縮 URL ドメインを社員と顧客に周知し、「公式サイト以外の短縮 URL ドメインからの案内は信用しない」という運用ルールを浸透させると、フィッシング被害の発生率が下がります。情報セキュリティの体系を学ぶには、関連書籍は Amazon でも探せます。
個人ユーザーの防御は、リンクをすぐにクリックせず、まず URL のドメイン部分を確認する習慣に集約されます。スマートフォンではリンクを長押しすると遷移先 URL がポップアップ表示されるため、長押しでドメインを確認する操作を覚えておくだけで、タイポスクワッティングへの対処能力が大きく上がります。 PC では URL バー左端の鍵マークから証明書情報を確認し、発行元組織が想定通りかを確かめます。
タイポスクワッティングは古典的な手口ですが、生成 AI の登場で攻撃ページの精巧さが格段に上がり、被害は今も拡大しています。短縮 URL の運営側、利用側、ブランド側、個人ユーザー側の四方向で防御を組み合わせると、リスクを実用的な水準まで下げられます。