URL構造を悪用した巧妙なフィッシング手口
先日、SNSで「複数のフィッシング手法を組み合わせたユニークなURL」が紹介されており、興味深かったので共有します。
次のURL、あなたはどこにアクセスすると思いますか?
amazon? google? apple? それとも twitter?
https://www․amazon․co․jpんapんsignin:apple․com@017700000001.:443?google․com/#/twitter.com
正解は"localhost"です。分かった方はいらっしゃいますか?
(自分は上記のいずれの会社のドメインではないのは分かったのですが、最終的にどこなのかが分からなかったのです。)
復習していきましょう。上記のURLは以下のような構造になっています。
https://ユーザー名:パスワード@ホスト名:ポート番号/パス?パラメータ#フラグメントつまり、"amazon"や"apple"といった文字列は認証情報(ユーザー名、パスワード)に該当し、実際のホスト名は"017700000001."です。
この奇抜なホスト名は、"127.0.0. 1"というIPアドレスを8進法で記述したものです。
ブラウザはこれを自動的に変換して、最終的に"127.0.0. 1"="localhost"へアクセスします。
末尾の"." はルート・ノード名を明示的に表すもので、完全修飾ドメイン名(FQDN)では厳密には付けるものですが、日常的には省略されます。
なお認証情報にあたる部分の”ん”については、"/~"と誤認させることを狙った日本語特有のトリックです。
フォントによっては非常に紛らわしく、日本語環境ならではのフィッシング手法といえます。
これらのURLの構造を知っていれば、迷惑メールの送信元アドレスやフィッシング先のリンクなどを見分けるにに役に立つでしょう。
特に、ユーザー名部分に有名企業のドメイン名を入れることで、URLの後半が省略表示された際に誤認を誘発できます。
URL構造を理解していれば、迷惑メールやフィッシングサイトのリンクを見抜く大きな手がかりになります。
URLは見た目だけで判断せず、構造を分解して「実際のホスト名」を確認する習慣が重要です。
特にIT業界の方は、こうしたトリックを理解し、社内外での啓発や教育に活かすことで、フィッシング被害の予防に大きく貢献できます。
7/24にはIPAから、「情報セキュリティ10大脅威2025」 個人編の手口、対策等を解説した「個人編ハンドブック」が公開されています。
改めてのセキュリティー対応の確認や啓蒙活動に役に立つと思います。
https://www.ipa.go.jp/security/10threats/10threats2025.html
