偽サイトかどうか見分ける方法はありますか？

URLバーのドメインを文字単位で確認するのが基本です。一文字の違い（amazon→amazan）、ドメイン末尾の違い（.com→.cm）、不自然なハイフンや単語の付加（payment-amazon.com）に注意してください。ただし、これらは非常に気づきにくいため、見分けに頼るより、最初からブックマークや公式アプリでアクセスして手入力の機会を減らすほうが確実です。少しでも不審に感じたら、クレジットカード情報やログイン情報は入力しないでください。

コンボスクワッティングとは何ですか？

コンボスクワッティングは、スペルミスではなく、正規のブランド名に正当に見える単語を付け加えるタイプの攻撃です。例えば「payment-amazon.com」「amazon-support.com」のように、本物のブランド名（amazon）に「payment」「support」といった単語を組み合わせます。これらは誰でも登録可能なドメインで、一見すると公式の関連サイトのように見えるため、打ち間違いを狙うタイポスクワッティングより気づきにくい場合があります。ブランド名が含まれていても、正規ドメインかどうかを必ず確認してください。

偽サイトでカード情報を入力してしまいました。

直ちにカード会社に連絡し、カードの利用停止と再発行を依頼してください。早ければ不正利用を防げます。同じパスワードを他のサービスでも使っている場合は、それらもすべて変更しましょう。身に覚えのない請求がないか明細を確認し、あれば速やかにカード会社に報告してください。警察相談専用電話（#9110）や消費者ホットライン（188）にも相談できます。今後は、URLを手入力せずブックマークからアクセスする習慣をつけることが再発防止につながります。

タイポスクワッティングとSEOポイズニングの違いは何ですか？

ユーザーを偽サイトに誘導する経路が異なります。タイポスクワッティングはユーザーのURL打ち間違いを利用し、紛らわしいドメインで待ち構える手口です。SEOポイズニングは検索エンジンの結果を操作し、偽サイトを検索上位に表示させて誘導する手口です。両者は組み合わされることもあり、SEOポイズニングの技術の一つとしてタイポスクワッティングの偽ドメインが使われる場合もあります。前者は「打ち間違いを待つ」、後者は「検索結果で釣る」という違いがあります。

タイポスクワッティングとは？URL打ち間違いを狙う罠

タイポスクワッティングとは？ざっくりと3行で

タイポスクワッティングとは、ユーザーがURLを打ち間違えることを見越して、正規サイトとよく似た紛らわしいドメインをあらかじめ取得し、間違えてアクセスした人を偽サイトへ誘導する攻撃のことだ。
「typo（打ち間違い）」と「squatting（占有）」の造語で、有名サイトの一文字違いやドメイン末尾違いのURLを押さえておき、偶然ミスタイプした人をフィッシングサイトやマルウェア配布ページへ送り込んでしまう。
仕組みを知っておけば、URLを直接入力せずブックマークから正規サイトにアクセスする習慣が身につき、打ち間違いの罠を避けられる。

【深掘り】これだけは知っておけ
1. タイポスクワッティングの主なドメインパターン
典型的なフレーズ・文脈
困ったときの相談窓口
【まとめ】3つのポイント
よくある質問
この用語と一緒に知っておきたい用語
この手口が実際に使われた事件

【深掘り】これだけは知っておけ

タイポスクワッティングのこわさは、「/」の数が一本多い、一文字違うといった、ほとんど気づけないわずかな違いを突く点です。正規サイトそっくりの見た目で、偽物と気づかないことが大半です。

タイポスクワッティング（Typosquatting）は、ユーザーがWebブラウザにURLを入力する際の打ち間違いを悪用する攻撃です。「URLハイジャッキング」とも呼ばれ、「typo（打ち間違い）」と「squatting（占有）」を組み合わせた造語です。攻撃者（タイポスクワッター）は、有名サイトと紛らわしいドメインをあらかじめ登録しておき、偶然ミスタイプしたユーザーが訪れるのを待ち構えます。紛らわしいドメインのパターンには、一般的なスペルミス（exemple.com）、隣のキーを押すミス、ドメイン末尾の悪用（.comの代わりに.cmや.om）、別の単語の付加（payment-amazon.comなど＝コンボスクワッティング）、同音異義語（4ever21.com）などがあります。

偽サイトにアクセスすると、本家サイトと似たロゴ・レイアウト・コンテンツが使われ、ユーザーは本物のサイトにいると錯覚させられます。目的は複数あります。フィッシング（偽の通販サイトや会員登録サイトでクレジットカード情報やメールアドレスを入力させる）、マルウェア感染（パソコンに不正プログラムを送り込む）、自動課金詐欺（Netflixなどの偽サイトで定期支払いを契約させる）、サポート詐欺（Microsoftなどの偽サイトでサポート料金を支払わせる）、広告収入目的の誘導などです。2000年代にはGoogleになりすました「goggle.com」が月間数百万人を集めた例もあります。標的になるのは一般に訪問の多い有名サイトです。企業側は商標権侵害として、紛らわしいドメインの所有者と裁判を起こすこともあります。

最も確実な対策は、URLを手で直接入力せず、ブックマーク（お気に入り）から正規サイトにアクセスすることです。よく使う銀行・通販・SNSのサイトは、一度正しくアクセスしてブックマークに登録し、以後はそこから開けば打ち間違いのリスクがなくなります。

具体的な対策として、よく使うサイトはブックマークを活用し、URLの直接入力を避けること。URLを入力する際は打ち間違いがないか確認すること。検索結果からアクセスする場合も、表示されたURLが正規ドメインか確認すること。OSとセキュリティソフトを最新に保ち、危険なサイトへのアクセスをブロックできるようにすること。クレジットカード情報やログイン情報を入力する前に、URLバーのドメインを今一度確認すること。タイポスクワッティングは「URLを入力する機会がなければ被害に遭わない」攻撃なので、ブックマークと公式アプリを使い、手入力の機会自体を減らすことが、最もシンプルで効果的な防御になります。

タイポスクワッティングの主なドメインパターン

パターン	例（example.comの場合）	狙い
スペルミス	exemple.com	打ち間違いの吸収
ドメイン末尾の悪用	.comの代わりに.cm / .om	末尾の押し間違い
コンボスクワッティング	payment-example.com	正当に見せる単語付加

典型的なフレーズ・文脈

詐欺師

（偽ドメイン取得中）大手通販サイトの打ち間違いドメインを大量に取得。一文字違い、末尾.cm、ハイフン付きの組み合わせ。本物そっくりのログイン画面を設置しておけば、ミスタイプした客が勝手にカード情報を入力してくれる。

有名サイトと紛らわしいドメインを取得し、打ち間違えたユーザーから情報を盗むタイポスクワッティングの典型的な手口です。

キャスター

セキュリティ専門家は、URLの打ち間違いを狙って偽サイトに誘導するタイポスクワッティングについて、一文字違いなど気づきにくい変化が多いとして、よく使うサイトはブックマークからアクセスするよう呼びかけています。

タイポスクワッティングの手口と対策を解説する報道番組のキャスターを想定した表現です。

専門家

よく使うサイトはURLを手入力せず、ブックマークから開いてください。それだけで打ち間違いの罠を避けられます。カード情報を入力する前にドメインの確認も忘れずに。被害は188へ。

セキュリティ専門家が、タイポスクワッティングへの対策としてブックマーク活用を助言する場面を想定しています。

困ったときの相談窓口

タイポスクワッティングによる被害（フィッシング・不正課金など）が疑われる場合は、以下の窓口に相談できます。

窓口名	電話番号	受付時間	対応内容
消費者ホットライン	188	地域の窓口に準ずる	偽サイト・不正課金の相談
警察相談専用電話	#9110	平日 8:30〜17:15（各都道府県で異なる）	フィッシング・詐欺被害の相談
IPA安心相談窓口	03-5978-7509	平日 10:00〜12:00、13:30〜17:00	マルウェア・不正サイトの相談

【まとめ】3つのポイント

正体はURLの打ち間違いを狙う罠：正規サイトに似た紛らわしいドメインを取得し、ミスタイプした人を偽サイトへ誘導します。
気づきにくいわずかな違い：一文字違いやドメイン末尾違いで、本物そっくりの偽サイトに見えます。
ブックマークからのアクセスが最善：URLを手入力せず、お気に入りや公式アプリから開けば打ち間違いの罠を避けられます。

よくある質問

Q 偽サイトかどうか見分ける方法はありますか？: A

URLバーのドメインを文字単位で確認するのが基本です。一文字の違い（amazon→amazan）、ドメイン末尾の違い（.com→.cm）、不自然なハイフンや単語の付加（payment-amazon.com）に注意してください。ただし、これらは非常に気づきにくいため、見分けに頼るより、最初からブックマークや公式アプリでアクセスして手入力の機会を減らすほうが確実です。少しでも不審に感じたら、クレジットカード情報やログイン情報は入力しないでください。

Q コンボスクワッティングとは何ですか？: A

コンボスクワッティングは、スペルミスではなく、正規のブランド名に正当に見える単語を付け加えるタイプの攻撃です。例えば「payment-amazon.com」「amazon-support.com」のように、本物のブランド名（amazon）に「payment」「support」といった単語を組み合わせます。これらは誰でも登録可能なドメインで、一見すると公式の関連サイトのように見えるため、打ち間違いを狙うタイポスクワッティングより気づきにくい場合があります。ブランド名が含まれていても、正規ドメインかどうかを必ず確認してください。

Q 偽サイトでカード情報を入力してしまいました。: A

直ちにカード会社に連絡し、カードの利用停止と再発行を依頼してください。早ければ不正利用を防げます。同じパスワードを他のサービスでも使っている場合は、それらもすべて変更しましょう。身に覚えのない請求がないか明細を確認し、あれば速やかにカード会社に報告してください。警察相談専用電話（#9110）や消費者ホットライン（188）にも相談できます。今後は、URLを手入力せずブックマークからアクセスする習慣をつけることが再発防止につながります。

Q タイポスクワッティングとSEOポイズニングの違いは何ですか？: A

ユーザーを偽サイトに誘導する経路が異なります。タイポスクワッティングはユーザーのURL打ち間違いを利用し、紛らわしいドメインで待ち構える手口です。SEOポイズニングは検索エンジンの結果を操作し、偽サイトを検索上位に表示させて誘導する手口です。両者は組み合わされることもあり、SEOポイズニングの技術の一つとしてタイポスクワッティングの偽ドメインが使われる場合もあります。前者は「打ち間違いを待つ」、後者は「検索結果で釣る」という違いがあります。

この用語と一緒に知っておきたい用語

用語	この記事との関連
Tor	Tor（The Onion Router）とは、通信を世界中の複数の中継サーバーに経由させ、玉ねぎのように多層暗号化することで発信元を特定困難にする匿名通信システムのことだ。
VPN悪用	VPN悪用とは、本来はプライバシー保護や安全な通信のために使われるVPN（仮想専用線）を、IPアドレスを隠して身元を偽装し、サイバー攻撃や違法行為を行うために悪用することだ。
SEOポイズニング	SEOポイズニングとは、検索エンジン最適化（SEO）の技術を悪用して不正なサイトを検索結果の上位に表示させ、閲覧者をマルウェア感染や詐欺サイトへ誘導するサイバー攻撃のことだ。
マルバタイジング	マルバタイジングとは、正規の広告配信の仕組みを悪用し、信頼されたWebサイトに表示される広告を通じてマルウェア感染や不正サイトへの誘導を行うサイバー攻撃のことだ。

この手口が実際に使われた事件

事件	この記事との関連
ホテル従業員のカード不正利用	ホテルのインサイダー詐欺とは、コンシェルジュやフロントスタッフなどの従業員が、業務上アクセスできる顧客のクレジットカード情報を盗み不正利用する内部犯行である
ケビン・ミトニック	ケビン・ミトニックはソーシャルエンジニアリング（人間の心理を利用した情報窃取）を武器に、DEC、パシフィック・ベル、モトローラ、ノキアなど大企業のシステムに侵入した伝説のハッカーである
オレオレ詐欺のリーダー格	オレオレ詐欺の組織は主犯格を頂点としたピラミッド構造で運営される。主犯格は犯罪の実行に直接関わらないため捕まりにくく、暴力団関係者であることも多い