こんなの絶対騙される……古いURL形式を使った巧妙な詐欺リンクの偽装方法が話題に

赤線がリンク先のドメインだと思うでしょ？　でもクリックすると青線のURLに飛ばされる

　メールで送られてきたリンクは、アクセス先のドメインがホンモノかどうか注意深く確認してからクリックしましょう――というのはセキュリティの初歩としてよく言われますが、「目視でチェックしても絶対にわからないだろ！」という巧妙な手法が発見されて、「X」（旧称：Twitter）で少し話題になっています。

今日発見したフィッシングメール。リンク部分にカーソル合わせても正規のドメイン・・にみえるけど、実は@以降のURLエンコードされた部分が不正ドメインです。アクセス先のドメインURLエンコードしてもちゃんとブラウザでアクセスできちゃうんですね・・・pic.twitter.com/yL6oUfFPa4

— Koichi (@x64koichi)August 29, 2024

　この方法は、URLにBasic認証のIDとパスワードを埋め込む構文を悪用したもの。「@」より前の部分をもつURLを見かけることは最近なくなりましたが――かつてFTP接続などでよく見かけましたよね――、れっきとした正しい記法です。

URLにBasic認証のID（とパスワード）を埋め込む構文を悪用して、正規のURLを偽装

　本来ユーザー名に「スラッシュ」（/）を含めることはできませんが、そこは「スラッシュっぽく見える別の文字」で代用されているようです。これでパッと見、パスワード部分が正規のドメインのように見えてしまうわけ。

　また、「@」以下の部分は不正なドメインだと悟られないよう、URLエンコードで隠蔽されています。実に巧妙ですね。

　対策としては、クリックしたあとに開かれるWebブラウザーでもちゃんとURLを確認することでしょうか。アドレスバーには真のドメインがわかりやすく表示されているはずです。

　また、クリックするだけで攻撃が発動するタイプに備え、URLをスキャンしてくれるメールアプリ・サービスを使うか、そうした機能を備えたセキュリティソフトを導入することも検討したいですね。

　ともかく、メールは基本的に 信用できないものとして扱うべき です。銀行やキャッシュカード会社からの連絡は、公式のWebサイトや専用アプリで確認できることもありますので、メールがきたらリンクをクリックする前にそちらをチェックしましょう。