思わずクリック｢フィッシング詐欺｣メールの巧妙 専門家も見極め困難､2要素認証と｢意識｣が大切

また、さまざまなサイトにフィッシングサイトを見分けるポイント、正規ドメイン名かどうかの判定ポイントなどが公開されている（ドメイン名が正規のものか、意図的な誤植が含まれていないかなど）ものの、これだけで見分けるのは難しい。

リンク先の確認は心がけとして常に意識しておくべきことだが、現在のドメイン名の仕組み、URLの使い方は複雑で、「ここを見れば偽物かどうかわかる」というポイントは存在しないと考えたほうがいい。

正規サイトでも、キャンペーンごとにドメイン名を個別にするなど、企業名と連動しないものが増えている。

短縮URLやQRコードも注意が必要だが、これらは目視確認が困難だ（リンク先アドレスをコピーしてテキストファイルなどに張り付けて確認する必要がある）。特定の文字列が含まれていればOK、NGという判定方法に頼るのは、かえって危険である。

厄介なのは、正規のドメイン名が攻撃者によって再利用されるパターンだ。サービスや製品ごとに取得したドメイン名が、サービス終了や廃番によって放置されていることがある。

攻撃者は、これらをフィッシングメールの誘導先に利用する。このようなURLは、セキュリティシステムのブラックリストや悪性サイトのデータベースで排除できないことがある。

ドメイン名は（ほぼ）任意の文字列で登録することができる。持ち主が更新を忘れたり手放していれば、同じドメイン名は誰でも取得可能だ。

企業名や商品名が含まれたドメイン名は、一度は正規ドメインとして運用されていたものであり、検索エンジンに登録されている可能性が高い。誘導、フィッシングに最適だ。

2023年、NTTドコモは自社サービスのドメイン名を失効させてしまい、その名前が競売にかけられたことがある。同社は自動入札で最高値落札を余儀なくされたという事件も起きている。

入力したアカウント情報はどのように利用されるのか

フィッシング詐欺によって直接被害を受けるのは、自分のアカウント（ID・パスワード等）やクレジットカードの情報だ。

これらが犯罪者の手に渡ることで、なりすましやカードの不正利用につながる。企業システムのアカウント情報であれば、そこから本人になりすまして会社のデータを盗んだり、マルウェアを仕掛けたりが可能になる。

フィッシングメールを送ってくる攻撃者は、入手した情報を自分たちで使うとは限らない。アカウント情報やカード番号・暗証番号は、アンダーグラウンドマーケットで商品として取引される（関連記事）。