URL構造を悪用した巧妙なフィッシング手口

Column

コラム

2025/08/27

先日、SNSで「複数のフィッシング手法を組み合わせたユニークなURL」が紹介されており、興味深かったので共有します。
次のURL、あなたはどこにアクセスすると思いますか？
amazon？ google？ apple？それとも twitter？

https://www․amazon․co․jpんapんsignin:apple․com@017700000001.:443?google․com/#/twitter.com

正解は”localhost”です。分かった方はいらっしゃいますか？
（自分は上記のいずれの会社のドメインではないのは分かったのですが、最終的にどこなのかが分からなかったのです。）

復習していきましょう。上記のURLは以下のような構造になっています。
https://ユーザー名:パスワード@ホスト名:ポート番号/パス?パラメータ#フラグメント
つまり、”amazon”や”apple”といった文字列は認証情報（ユーザー名、パスワード）に該当し、実際のホスト名は”017700000001.”です。

この奇抜なホスト名は、”127.0.0.1″というIPアドレスを8進法で記述したものです。
ブラウザはこれを自動的に変換して、最終的に”127.0.0.1″=”localhost”へアクセスします。

末尾の”.” はルート・ノード名を明示的に表すもので、完全修飾ドメイン名(FQDN)では厳密には付けるものですが、日常的には省略されます。
なお認証情報にあたる部分の”ん”については、”/～”と誤認させることを狙った日本語特有のトリックです。
フォントによっては非常に紛らわしく、日本語環境ならではのフィッシング手法といえます。

これらのURLの構造を知っていれば、迷惑メールの送信元アドレスやフィッシング先のリンクなどを見分けるにに役に立つでしょう。
特に、ユーザー名部分に有名企業のドメイン名を入れることで、URLの後半が省略表示された際に誤認を誘発できます。
URL構造を理解していれば、迷惑メールやフィッシングサイトのリンクを見抜く大きな手がかりになります。

URLは見た目だけで判断せず、構造を分解して「実際のホスト名」を確認する習慣が重要です。
特にIT業界の方は、こうしたトリックを理解し、社内外での啓発や教育に活かすことで、フィッシング被害の予防に大きく貢献できます。

7/24にはIPAから、「情報セキュリティ10大脅威2025」個人編の手口、対策等を解説した「個人編ハンドブック」が公開されています。
改めてのセキュリティー対応の確認や啓蒙活動に役に立つと思います。
https://www.ipa.go.jp/security/10threats/10threats2025.html

システム運用自動化サービス「Kompira」って？

・製品資料ダウンロードはこちら

・各種セミナーはこちら

コラム一覧

2026年: 2026.01.22

サイバー保険の請求拒否が相次ぐ理由─「十分な対策」の基準とは; 2026.01.15

AIの需要拡大に伴うメモリ／SSD逼迫と、企業が今取るべき対策

2025年: 2025.12.25

AI支援のシステム運用業務; 2025.12.11

ITによる自動化ー“情報で解く”ほうが強い時代へ; 2025.11.19

AIが生む「真実のない世界」へのIT部門の備え; 2025.11.12

外部AIサービスと社内データ; 2025.10.29

AWS大規模障害が突きつけた「集中リスク」; 2025.10.22

ランサムウェア脅威の新潮流; 2025.10.22

AIデータセンターをめぐる「循環構造」と
米中技術覇権の最前線; 2025.10.09

「AIエージェント」熱狂の裏に潜む現実; 2025.09.24

AI技術の地政学的リスク; 2025.09.10

これからの業務自動化を支えるAIエージェントの台頭; 2025.08.27

URL構造を悪用した巧妙なフィッシング手口; 2025.08.20

業務の属人化リスクとその対策; 2025.08.13

インフラ屋の「見えない」仕事; 2025.07.31

量子コンピュータの熱狂と、迫りくる現実; 2025.07.23

迫りくる「自動化の崖」; 2025.07.16

複雑さを維持するコスト; 2025.07.09

運用エンジニアのキャリアパス; 2025.06.25

AI主導開発の功罪; 2025.06.19

KADOKAWAの大規模障害から1年; 2025.06.11

Azure SRE Agentに見る運用自動化の近未来; 2025.05.29

CVEだけが全てじゃない！脆弱性管理の新常識と注目すべき代替指標; 2025.05.21

能動的サイバー防御への転換; 2025.05.14

証券会社の不正アクセス事件からの警鐘; 2025.04.30

GW前のセキュリティ注意喚起; 2025.04.23

脆弱性情報公開の危機; 2025.04.16

トランプ関税に揺れる世界; 2025.04.09

MCPサーバーが牽引する次世代アーキテクチャの可能性; 2025.03.26

セキュリティの常識、今・昔; 2025.03.19

バイブコーディングによるプログラミング革命; 2025.03.12

AIエージェントによる業務自動化の新たな展開; 2025.02.26

マスク流の大胆な業務改善; 2025.02.20

野中先生のSECIモデル; 2025.02.12

サイバーセキュリティー月間に考える; 2025.01.22

AIツール導入で問われる企業の教育力; 2025.01.16

DXの答え合わせの年

2024年: 2024.12.11

今年もアドベントカレンダーの季節; 2024.11.27

「ITが苦手な人」への社会的配慮; 2024.11.20

業務自動化における利害の不一致; 2024.11.14

2025年の自動化予測; 2024.10.31

IT投資のガバナンス; 2024.10.24

イーロンマスクに学ぶ工程最適化; 2024.10.16

LAMでRPAが時代遅れになる日がくるか; 2024.10.10

約7割が「IT人材ゼロ」; 2024.09.26

IT大手のオフィス回帰の流れ; 2024.09.18

頭の痛い障害レポート; 2024.09.12

レジリエンス獲得のためのコミュニケーション; 2024.08.14

2024年のハイプサイクル; 2024.07.31

“指示はハッキリと命令的に”; 2024.07.25

背中を撃たれたセキュリティー対策; 2024.07.18

シンバル奏者のような緊張感; 2024.07.10

選挙にみるIT利用の業務効率化; 2024.06.26

重要なVPNのメンテナンス; 2024.06.17

国民のためのサイバーセキュリティ; 2024.05.29

ローカル環境に向かうAI; 2024.05.22

作っても使われないシステム; 2024.05.15

AIへの投資不足; 2024.05.08

「2025年の崖」の崖っぷち; 2024.04.26

AI事業者ガイドラインの公開; 2024.04.17

オンプレ回帰とクラウドのTCO; 2024.04.10

春の訪れは繁忙期; 2024.03.27

自動化する側になれますか？; 2024.03.21

システム障害の教訓; 2024.03.13

NIST CSF2.0のリリース; 2024.02.28

AI企業がけん引する株式市場; 2024.02.21

プロアクティブな「予防保守」に向けて; 2024.02.14

CentOS 7のEOLに向けて; 2024.01.31

情報セキュリティ10大脅威 2024が発表; 2024.01.24

ネット出願のメールのトラブル; 2024.01.17

Gmailの迷惑メール対策が間近

2023年: 2023.12.27

2023年は生成AIの一年でした; 2023.12.20

「プラットフォーム・エンジニアリング」は流行るか？！; 2023.12.13

今年も年末でアドベントカレンダーの季節; 2023.11.29

今日はOpsSummit 2023の日; 2023.11.22

AI技術利用のモラル; 2023.11.15

IT業界での燃え尽き症候群; 2023.11.14

セキュリティガイドラインのプラクティス集が公開; 2023.10.30

相次ぐ大量情報漏洩事件; 2023.10.27

50年間トラブル無しのシステム; 2023.10.25

ケイパビリティの強化; 2023.10.24

「豆腐」という構成管理ツール; 2023.10.23

キャリアパスへの不安感; 2023.10.20

業務属人化の是々非々; 2023.10.18

「運用設計の教科書」の改訂版が出ます; 2023.10.17

ガートナーが発表した2つのハイプサイクル; 2023.10.16

「デジタルスキル標準」の改定; 2023.10.13

お盆休みといえばセキュリティー; 2023.10.12

「形式主義」と「実質主義」; 2023.10.11

増えるシステム、増えない人; 2023.10.05

ニトリに見るITリテラシーの底上げ; 2023.10.03

「自由なソフトウェア」の理念; 2023.10.02

Interop2023に出展しました; 2023.09.29

経産省 ASM導入ガイダンスを公開; 2023.09.28

業務効率化に際して大事なこと; 2023.09.27

「監視」に疲れ切っていませんか？; 2023.09.26

リモート勤務の是々非々、再び; 2023.09.25

大型連休の準備は出来ましたか？; 2023.09.22

新しくリーダーになった人へ; 2023.09.21

運用にChatGPTにどう使う？！; 2023.09.20

「閉域網神話」の崩壊; 2023.09.19

LLM戦国時代の到来; 2023.09.14

作業自動化のボトルネック; 2023.09.13

作業自動化の６ステップ; 2023.09.12

IPAよりDX白書2023; 2023.09.11

チャットボットAIが大流行; 2023.09.07

リスキリングと３５歳定年説; 2023.09.06

USビッグテックでリストラ始まる; 2023.09.05

デジタルスキル標準の発表; 2023.09.04

SBOMとサイバー防衛の取り組み; 2023.09.01

ITインフラを何で勉強してますか？; 2023.08.31

業務自動化で避けるべき落とし穴

2022年: 2022.11.30

AIは運用業務を変えるか？; 2022.11.23

テックジャイアントのリストラとDX; 2022.11.16

ヒヤリ・ハット対応から始めるトラブル対応; 2022.11.09

ソフトウェアエンジニア受難の時代; 2022.10.26

DXレポート2.2が訴える戦略の重要さ; 2022.10.19

「効率化」の目線をあわせる; 2022.10.12

デジタル化に向けた「大胆な一手」; 2022.09.28

自動化の前に手順書の見直し; 2022.09.14

セキュリティー投資はトップダウンで; 2022.08.31

DXの落とし穴; 2022.08.24

業務自動化への展望; 2022.08.17

ガートナー社の2022年の新興技術ハイプ・サイクル; 2022.08.10

医療逼迫と業務改善; 2022.07.27

”Web3”入門書の炎上; 2022.07.20

ゼロトラストの設計と実装; 2022.07.13

障害対応は事前の準備から; 2022.06.29

尼崎市の個人情報インシデントの件; 2022.06.22

リソース不足が招いた半田病院の悲劇; 2022.06.15

MSPのセキュリティーアドバイザリー; 2022.06.08

シリコンバレーは黄色信号？; 2022.05.25

今年もやります。OpsSummit 2022; 2022.05.18

「現場猫」案件にみる甘い危機管理; 2022.04.27

運用管理に向いているDMAICフレームワーク; 2022.04.20

お勧め本「システム運用アンチパターン」; 2022.04.13

IPA 「DX実践手引書」の改訂版を発表; 2022.03.31

春は引継ぎのシーズン; 2022.03.24

「なぜなぜ分析」の使い方; 2022.03.16

マルウェアEmotet再流行; 2022.03.09

省エネモードのエンジニア; 2022.02.24

ヒューマンエラーを防ぐには; 2022.02.16

インフラ維持と式年遷宮; 2022.02.09

Web3.0とP2Pの復権; 2022.01.24

JIS規格に学ぶリスクマネジメン; 2022.01.19

多すぎる通知の副作用; 2022.01.12

2022年のインフラ技術

2021年: 2021.12.29

今年もお世話になりました; 2021.12.22

品質レベルはステージごとに変わる; 2021.12.15

ログ出力ライブラリLog4j脆弱性の影響; 2021.12.09

リモート作業の問題点; 2021.11.24

メタバースに未来はあるか; 2021.11.17

インシデントとの向き合い方; 2021.11.10

DXは差別化要素を作るための投資という視点; 2021.10.27

監視の拡張としてのオブザーバビリティ; 2021.10.20

良い自動化、イマイチな自動化; 2021.10.13

みずほ銀のトラブルから学ぶ; 2021.09.29

クラウドDBで時短; 2021.09.22

そろそろWindows 11が到来します; 2021.09.15

トラブル対応の心がけ; 2021.09.08

10/10は「デジタルの日」; 2021.08.25

運用なき開発を避ける; 2021.08.18

日本のDXの最前線; 2021.08.12

DXとアジリティ; 2021.07.14

ポストコロナで会議室が足りなくなる？; 2021.06.30

自動化の技術選択; 2021.06.23

業務の自動化は入り口にすぎない; 2021.06.16

データ入力のお作法; 2021.05.26

「苦労に価値がある」という価値感; 2021.05.19

「運用でカバー」する公共システム; 2021.05.12

VUCAの時代を生き抜くスキル; 2021.04.28

デジタル敗戦からの復興はなるか; 2021.04.21

PCの「基本的人権スペック」; 2021.04.14

お勧め書籍「運用改善の教科書」; 2021.03.31

運用スタッフの大部分はリモートワークへ; 2021.03.24

定型業務をプログラマブルに; 2021.03.17

監視疲れを起こさない工夫; 2021.03.08

MSの無料RPAは自動化の起爆剤となるか; 2021.02.22

終わりなき開発とインフラ運用; 2021.02.17

作業を自動化しても業務が効率化しない場合; 2021.02.10

Cocoaのバグが4か月も発覚しなかった話; 2021.01.27

「クソどうでもいい仕事」を考える; 2021.01.26

「クソどうでもいい仕事」を考える; 2021.01.20

自動化の次の課題としてのAIOps; 2021.01.13

DXレポート２が公開されました

2020年: 2020.12.21

今年もお世話になりました。; 2020.12.16

どうなる？ 2021年のITインフラ; 2020.12.09

アドベント・カレンダーの季節です; 2020.11.11

AI・業務自動展で見聞きしたツライお話; 2020.11.04

「7番セカンド」な仕事; 2020.10.21

システム監視とアラート地獄; 2020.10.19

機械学習とシステム運用; 2020.10.14

形あるものは壊れる。システムも。; 2020.09.30

技術ドキュメントの課題; 2020.09.23

デジタル庁に寄せる期待感; 2020.09.16

ローコード開発とエンジニア不要論; 2020.09.09

技術の近未来予測とニューノーマル対応; 2020.08.26

“アンチフラジャイル”な考え方; 2020.08.19

カオスエンジニアリングという考え方; 2020.08.12

運用が稼ぐ時代; 2020.07.29

AIシステムの運用; 2020.07.22

新宿に宿泊でTDLにGoToは対象外？; 2020.07.08

チェック回数を増やしても意味がない; 2020.06.24

「時代はクラウド」発言と政府インフラ; 2020.06.17

システムの標準化とスキルセット; 2020.06.10

「2025年の崖」からの転落事故; 2020.05.20

先端IT“非”従事者は勉強不足 from IP; 2020.05.12

スペイン風邪にみるコロナ第二波へ備; 2020.04.30

「運用でカバー」という魔法の言葉; 2020.04.26

未然に防いだトラブルは評価されにくい; 2020.04.22

リモート勤務で重要性を増す「ゼロ・トラスト」セキュリティ; 2020.04.15

オンラインイベント「Ops Summit2020」開催！; 2020.04.15

コンサルは「標準化しろ」とは言うけれど; 2020.04.08

オンライン”Zoom”会議のセキュリティー問題; 2020.03.23

ドキュメントで見かける”Day 2オペレーション”; 2020.03.18

今、売れまくっているITサービス; 2020.03.11

出社している場合じゃないご時世; 2020.02.26

新型コロナウィルス対策に学ぶトラブル対応; 2020.02.19

バレンタインデーにシステム統合の本がバカ売れ; 2020.02.12

ハイパーオートメーションの時代; 2020.01.29

インフラ運用リーダーが備えるべき10の能力; 2020.01.22

障害発生時の夜中に叩き起こす技術

2019年: 2019.12.11

RPAとRBAと運用自動化; 2019.12.11

年末年始に読む運用関連本; 2019.11.27

業務フローの「こんまり」のお勧め; 2019.11.20

「システム運用自動化」はスモールスタートで; 2019.11.13

運用事故では人を責めない; 2019.01.15

話題の「クラウドネイティブ」とは何か？