- 「ドメイン名」はウェブサイトの住所であり、アドレスバーに表示されるURLの先頭部分です。
- 詐欺師は正規ドメインで偽サイトを作れないため、似たドメイン名を使ってユーザーを騙そうとします。
- 偽サイトを見分けるには、とくにトップレベルドメイン直前の「登録可能ドメイン(registrable domain)」に着目します。
インターネットを安全に使うための第一歩は、このドメインの確認から始まります。
少しでも違和感を感じたら、そのサイトでの個人情報入力や決済は避けましょう。
1. 「ドメイン名」とは何か
- 「ドメイン名」はURLの一部で、ウェブサイトの住所のことです。
- インターネット上のページには、「URL」という位置情報でアクセスし、それはパソコンやスマホのブラウザ画面内の「アドレスバー」に表示されます。
- 例えば「www.example.com/blog/page01.html」というURLにおいて、「example.com」の部分がドメイン名です。
これはそのウェブサイトの名前と場所を示しています。
ドメイン名に注目すると、今見ているサイトが本物か偽物かを判断できます。
1-1. 前提:正規ドメインでは偽サイトを作れない
偽サイトの判断でドメイン名を確認するのは、詐欺師は、本物の会社と同じドメイン名の偽サイトを作ることはできないからです。
これは、各ドメインには持ち主がいて、その持ち主だけがそのドメイン名でウェブサイトを作ることができるからです。
Amazonという会社は「amazon.com」というドメインを持っていて、これは厳重に管理されています。
このドメインを使って悪意のあるページを作るには、サイトの管理システムに不正アクセスし、中身を改ざんする必要があります。
セキュリティ保護された正規サイトの改ざんは難しいため、詐欺師はそうではなく、たんに「紛らわしい名前」「紛らわしい見た目」のサイトを作ります。
大きな企業は自社のドメインを守るためにたくさんのお金をかけています。
また、「SSL証明書」という安全を証明する仕組みも使われていて、不正なサイトが作られるのを防いでいます。
1-2. メールのリンクとアドレスバーの違い
詐欺師がよく使う手口として、メールの中のリンクを偽装することがあります。
例えば「公式サイトはこちら」というボタンが、実は偽サイトに繋がっていることがあります。
しかし、重要なのは、ブラウザのアドレスバーに表示されるURLは偽装できないということです。
これはブラウザやインターネットの基本的な仕組みによって保証されています。
とくに、現代のブラウザは、アドレスバーを「信頼できるUI領域」として特別に保護しています。
ユーザーが現在どのウェブサイトにいるのかを正確に把握できるようにするためです。
そのため、ブラウザはアドレスバーの表示をウェブページのJavaScriptやCSSから完全に隔離して、ウェブページ側からはアドレスバーの見た目を変更することができないようにしています。
このため、メールのリンクをクリックする前に長押ししたり、アドレスバーを見たりして、期待通りの正規ドメインかどうかを確認することが有効です。
2. 重要なのはドメイン名の後ろの部分
ドメイン名を確認する際に最も重要な部分は、ドットやスラッシュで区切られたドメイン内の最後の方(eTLD+1)です1。
組織や個人がレジストラに登録するドメインだからです。
そのため、この部分は「登録可能ドメイン(registrable domain)」とも呼ばれます。
「amazon.com.fake-site.net」のような場合、
注目すべき部分は「fake-site.net」となります。
2-1. サブドメインはいくらでも作れる
ドメイン名の階層構造はドットで区切って右から左へと読みます。
最も右側の部分がトップレベルドメイン(TLD)、その左隣がセカンドレベルドメイン(SLD)となります。
さらにドットで区切れていれば、「サブドメイン」といいます(あるいは、サードレベルドメインなど)。
重要なのは、ドメインの所有者は、自由にサブドメイン作成できること。
偽サイトはこの仕組みを悪用して、正規サイトのドメイン名と同じ文字列をサブドメインの部分に入れて、ユーザーをだまそうとします。
2-2. 【補足】eTLD+1の求め方とPublic Suffix List
一般的なサイトでは、「登録可能ドメイン(eTLD+1)」はなんとなく見分けられます。
しかし、URLには複雑なものも存在するため、厳密な定義となるとちょっとややこしいです。
https://username:p@ssw0rd@subdomain.blog.example.co.jp:8443/path/to/resource?query=parameter&id=123#section「eTLD+1」は以下の手順に従って求めます。
eTLDは、「co.jp」などのようなトップレベルドメインに準じるドメインには留まりません。
実は、Mozillaが管理する約1万4千行にも及ぶ一覧表によって規定されています(Public Suffix List)4。
例えば、Public Suffix List に含まれるドメインに、github.io があります。
これは、GitHub Pagesを公開すると取得できるドメインで、[アカウント名].github.io という形式です。
[アカウント名].github.io は、「github.io」の下位ドメイン(サブドメイン)なのですが、各ユーザーの取得する、独立したドメインとして扱う方がセキュリティ上のサイトの区別に適しています。
というのも、「〜.github.io」が「悪意のあるサイト」だったときに、「github.ioのサブドメイン」と扱うと、github.io全体を「悪意のあるサイト」とみなしてしまいます。
すると、無関係のユーザーの GitHub Pages にも影響し、実用上は「偽陽性(false positive)」になってしまう問題があるからです。
つまり、「github.io」のようなドメインは、一般的な「.com」や「.jp」といったトップレベルドメインとは性質が異なりますが、同じような扱いを受けています。
こうした特別なドメイン群を、本物のトップレベルドメインと合わせて「Public Suffix」または「eTLD」と呼んでいるわけです。
3. 偽サイトのトリックと見分け方
本物のドメインは長い間使われていて、その会社の公式情報と一致しています。
怪しいドメインは最近作られたものや、少しだけ綴りが違うものが多いです。
3-1. 似た名前を使ったトリック
詐欺師はよく本物のサイトに似たドメイン名を使います。
例えば「amazon-shipping.com」や「g00gle.com」(oの代わりに数字の0を使う)などです。
一見すると本物のドメインに見えますが、よく見ると違いがあります。
3-2. ドメインの構造にも注目
本物のサイトは通常シンプルなドメイン構造を持っています。
例えば「amazon.com」のようにシンプルです。
怪しいサイトは「amazon-secure-login.com」のように複雑なドメイン名になっていることが多いです。
長いドメイン名は、正規ドメインとは別の名前として登録可能なのてす。
4. 【まとめ】安全に使うための注意点
- 偽サイトを見分けるには、アドレスバーに表示されているドメイン部分をしっかり確認することが何よりも大切です。
- 会社の公式サイトに行きたいときは、メールのリンクを使わず、検索エンジンから正規のサイトを探すか、ブックマークしておいた本物のサイトを使うのが安全です。
(補足)
- eTLD+1 とは 意味/解説/説明 (イーティーエルディプラス1) 【Effective Top Level Domain + 1】 | Web担当者Forum
- 平成時代後期頃、 eTLD+1 の概念を直接的に表現するプロトコル要素がいよいよ必要となるとそれを表す用語が検討されました。 結果選ばれたのがサイト (site) でした。public suffix に一階層加えたドメインを、 naked domain、apex domain、zone apex、root domain などと呼ぶことがあります。 – eTLD+1
- Siteは登録可能なドメイン(registrable domain) – SiteとOriginの比較&SameSite cookiesによるCSRF対策 #CORS – Qiita
- Public Suffixの一覧は https://publicsuffix.org/ で確認できます。
