詐欺サイトの特殊な見分け方

皆さんこんにちは！
今回はフィッシングサイトやワンクリック詐欺などのいわゆる詐欺サイトの僕が使っている特殊な見分け方を記事にしてみました。
※今回紹介する方法で完全に詐欺サイトなどを完全に見分けることは不可能であり、何らかの不利益を被っても当ブログ(株式会社GATE-Service)は一切責任を負いません。

世間一般的に紹介されている方法

まずは、世間一般的に紹介されている方法にちょっと触れていきたいと思います。
一般的には以下の方法ではないでしょうか？

・正規のURLかを見る
・パスワードマネージャーを使用する
・SMSやメールからURLを開かない

などですかね。
正直最近は巧妙化しているので、素人がURLだけでは難しいです。
それにその銀行や証券の正しいURLを覚えている人はあんまいないのでしょうか？
またパスワードマネージャーを使用するに関してはそもそも使ってない人もいるでしょうし、一部Webサイトはパスワードマネージャーが正常に動作しなかったりします。保存はできても、ログインする時に反応しないとかあるあるですよね！
SMSやメールからURLを開かないに関してはメールやSMSに記載されているURLからしかできない手続き等もあるかもしれません。
メールアドレスならドメイン見たり、ヘッダー情報みたり、BIMIがついてたりとまだ見分ける方法はありますが、SMSに関しては見分ける方法があまりありません、せいぜい携帯キャリアが通常では存在しえない番号で送る(151など)くらいしかありません、これらは携帯キャリアにしかできない技です。それにSMSでメッセージを送信するシステムを自社で構築するのは中々大変ですので、
SaaSなどを利用して実装しているところがほとんどだと思います、SaaSサービスの中には外資系企業もあり、国内企業のサービスなのに+1とかの国際番号からSMSが飛んでくるとかも珍しくありません。

あまり認知されてない特殊な見分け方

ところで本題です、特殊な見分け方です。
これはWebサイトのSSL証明書を見るです！

ここでお前は何を言っているんだっと思った方もいると思います、これだけ聞いたら僕もそう思います、ここで重要なのはSSLで暗号化されているかではなく、発行元です。
例えば、Let’s EncryptのSSL証明書を使用している、詐欺っぽいWebサイトがあったとします、Let’s Encryptの証明書は無料で誰でも発行できるので、僕なら一旦詐欺サイト認定します。
このように発行元によって詐欺サイトか否かをある程度判定できます。
まずまともな金融機関やそこそこ規模の大きい会社なら、DigiCertとかGMO Globalsign、サイバートラストとかの無料ではなく、審査があるタイプの証明書使います(使っててほしい)、なのでLet’s EncryptやGoogle Trust Servicesとかの時点で大手金融機関、大企業のWebサイトを名乗ってるは怪しいのです。(Google Trust Servicesに関してはCloudflareを導入している会社とかはそのままにしがちですが。)

この方法にも問題はある

最近、クラウド(AWS、GCPなど)を利用する日本企業が増えてきました、そこで割とAmazonとかGoogle Trust Servicesの証明書を使っているところもあったりします、クラウド系の証明書を使っているところは一旦保留してほんまにURLが合っているかなどを調べたりします。

あまり認知されてない特殊な見分け方 その2

こっちはあんま使ってないですが、Google Chromeにわりと最近追加された「このページについて」を見るという方法も使ったりします。
有名な企業ならそのサービス・会社についてのwikipediaが載ってたりします。
でも、日本企業はあんまり対応しているところが少ない印象です。(徐々に増えているようではありますが)

まとめ

最近まじでフィッシング詐欺とか多いですよね～、銀行とか証券のパスワード抜かれたらまじでめんどくさいので警戒しすぎる分には問題ないと思います。
あとは最近パスキーが使えるサイトが増えてきたので、便利でいいですよね(複数端末の場合管理が大変ですが)
最後にこれは僕の個人的な感想ですが「政府系サイトは.go.jpを！コーポレートサイトとか銀行は.co.jpを使え」と思いますね、特に政府系で.comとかは正直終わってます。