URLを見ても意味がない ― フィッシングサイトから社員を守る現実的な防衛ライン

先ほどのフィッシングメール記事で紹介した知人の話には続きがあります。PayPay を騙った SMS のリンクを、知人はタップする直前に踏みとどまりました。「なんか変だと思って」と言っていました。

運よく気づけましたが、もう少し急いでいたら、あるいは疲れていたら、タップしていたかもしれません。

URL で見分けることの限界

フィッシング対策の定番アドバイスに「URL をよく確認しましょう」があります。ただ、現実的に考えると難しいです。

人間はドメインを記憶していません。paypay.ne.jp を正確に覚えている人はほとんどいないでしょう。paypay-info.com や paypay.ne.jp.notice.net のような URL を見せられたとき、瞬時に偽物と判断できる人はかなり少ないです。

さらに短縮 URL（gc20.jp/ge のような形式）が使われると、展開しない限りどこに飛ぶかすら分かりません。

「https = 安全」は誤解

URL の横に鍵マークが付いていれば安全、という認識は今は正確ではありません。SSL 証明書は無料で取得でき（Let’s Encrypt 等）、フィッシングサイトでも簡単に「https」にできます。

鍵マークが示しているのは「通信が暗号化されている」ことだけです。「このサイトが本物かどうか」は関係ありません。

パスワードマネージャーが唯一の技術的なヒント

よく作られたフィッシングサイトに着いてしまった場合、視覚的な判別はかなり難しいです。これはセキュリティエンジニアとして正直に言います。私でもやられる可能性があります。

ただ、一つだけ技術的なヒントがあります。パスワードマネージャーが自動入力しない、という現象です。

1Password や Bitwarden などのパスワードマネージャーは、保存したドメインと現在のサイトのドメインを照合して自動入力します。偽サイトはドメインが違うので、パスワードマネージャーが反応しません。「あれ、なぜ入力されないんだろう」という気づきが、踏みとどまるきっかけになります。

ただしこれにも穴があります。久しぶりに使うサイトだと「このサービス、パスワードマネージャーに登録していたっけ？」と忘れて手入力してしまうことがあります。完璧な防御ではありません。

個人の習慣に頼ることの限界

結局のところ、フィッシングサイトへの最も有効な対策は「着かないこと」です。

• 銀行・カード会社・よく使うサービスはお気に入りに登録して、そこからだけアクセスする
• メールや SMS のリンクからは飛ばない
• Google 検索経由で行く（検索結果の広告には注意が必要ですが、確率は大幅に下がります）

これは個人として実践できる習慣です。ただ、社員全員にこの習慣を徹底させるのは現実的には難しいです。

経営者が整えるべき仕組み

個人の判断力に依存しない防御として、仕組みのレベルで考える必要があります。

1. DNS フィルタリングを導入する。会社のネットワークから既知のフィッシングサイトへのアクセスを自動的にブロックする仕組みです。Cloudflare Gateway（無料プランあり）や Cisco Umbrella などがあります。社員が気づかなくてもブロックできます。

2. ブラウザの警告機能を有効にしておく。Chrome や Edge には Google のセーフブラウジング機能が組み込まれており、既知のフィッシングサイトにアクセスしようとすると警告を出します。無効化していない限りデフォルトで動いていますが、社給 PC の設定を確認しておく価値はあります。

3. 万一入力してしまったときのフローを用意する。「フィッシングサイトに情報を入力してしまったかもしれない」と報告を受けたら、該当サービスのパスワードを即時変更、MFAの設定を確認・再設定、不審なログイン履歴を確認、と動けるようにしておきます。報告しやすい空気を作ることも重要です。「引っかかったことを責めない」文化がないと、社員が黙って放置するリスクがあります。

締め

フィッシングサイトに対して「URL を見て判断しましょう」という指導は、現実の攻撃の前では力不足です。個人の注意力に頼る防御には限界があります。

仕組みで防ぐ（DNS フィルタ）、気づける環境を作る（パスワードマネージャー）、やられたときのフローを整える（即時報告・パスワード変更）。この三層で考えると、現実的な防御ラインが引けます。