「【重要】お名前.comからのお知らせ」「ムームードメイン アカウント停止のお知らせ」といった件名のメールが届いて、慌てて記載のリンクをクリックしそうになった経験はないでしょうか。これらは大手ドメイン会社になりすました典型的なフィッシング詐欺メールで、近年急増しています。本記事では、お名前.com・ムームードメイン・バリュードメインなど主要ドメイン会社を装うフィッシングメールの典型パターン、本物との見分け方、クリックしてしまった場合の対応までを具体的に解説します。
ドメイン会社を装うフィッシングメールはここ数年で急増している
結論として、お名前.com・ムームードメインなどの大手ドメイン会社を装うフィッシングメールは、フィッシング対策協議会の月次報告でも常時上位に挙がる代表的な詐欺手口です(出典 フィッシング対策協議会 月次報告書)。ドメイン契約者はメールアドレスがWhois情報から推測されやすく、無差別に大量送信されているのが現状です。
ドメイン会社が狙われる理由
ドメイン会社のアカウントは、サイトのDNS設定・ドメイン移管・登録情報の変更などサイト運営の根幹を握っています。詐欺グループがドメイン会社のログイン情報を奪取できれば、サイトを乗っ取って自由に書き換える、悪意あるサーバーにDNSを向ける、メール経由でフィッシングを連鎖させる、といった大きな攻撃が可能になります。被害規模が大きいため、攻撃者の投資効率が良いターゲットです。
「アカウント停止」「支払い失敗」「セキュリティ更新」が3大パターン
フィッシングメールの件名には3つの定番パターンがあります。「アカウント停止のお知らせ」「お支払いに失敗しました」「セキュリティ更新が必要です」のいずれかであれば、まず詐欺を疑ってください。これらは「焦らせて判断力を奪う」という心理操作を意図した文面です。最近では「不審なログインを検知しました」「お客様のアカウントが第三者に利用された可能性があります」といった、セキュリティを心配させる文面も増えており、本物の通知と紛らわしい状況が続いています。
本物そっくりのデザインで判別が難しくなっている
近年のフィッシングメールはHTMLメールで作られ、本物のロゴ・配色・レイアウトをそのまま流用しています。パッと見では本物と区別がつかないレベルにまで巧妙化しているため、デザインだけで本物と判断するのは危険です。差出人ドメイン・誘導先URL・本文の細かな違いで判定する必要があります。
主要ドメイン会社の本物の差出人ドメイン一覧
本物と詐欺を見分ける最も確実な手段は、差出人メールアドレスの@以降を確認することです。ホワイトリスト的に頭に入れておくと判別が早くなります。
| ドメイン会社 | 本物の差出人ドメイン |
|---|---|
| お名前.com | @onamae.com |
| ムームードメイン | @muumuu-domain.com |
| バリュードメイン | @value-domain.com |
| Xserverドメイン | @xserver.ne.jp |
| スタードメイン | @star-domain.jp |
| JPRS(.jp管理団体) | @jprs.jp |
偽ドメインの典型例
これらの本物ドメインに似せた偽ドメインが詐欺メールには使われます。典型的な偽パターンは以下のようなものです。
- onamae-support.com、onamae-secure.net、onamae.cn など、本物に似た別ドメイン
- onarrame.com、omname.com、0namae.com など、文字を1つだけ入れ替えた紛らわしいドメイン
- muumuu-domain.net、muumuu-secure.com など、TLDだけ変えたパターン
- value-domain-secure.com、value-domain.info など、本物のドメインに修飾語を足したパターン
- info@、no-reply@など本物と同じローカル部を使い、@以降だけ偽ドメインにするパターン
表示名(差出人欄の社名)だけで判断してはいけない
差出人欄に「お名前.com サポート」「ムームードメイン カスタマーサポート」と表示されていても、それは詐欺メールの設定で簡単に偽装可能です。必ず@以降のドメインを文字単位で確認する癖をつけてください。スマホのメールアプリでは差出人ドメインが省略表示されるため、PCで確認するか、メールの詳細表示を開いて確認する必要があります。
フィッシングメールの本文に共通する怪しい特徴
差出人ドメインの確認に加えて、本文の特徴からも判別できます。1つでも当てはまれば詐欺と判断して問題ありません。
24時間以内・48時間以内など短い猶予で焦らせる
「24時間以内にお手続きいただかないとアカウントを停止します」「48時間以内にご対応をお願いします」など、極端に短い期限を設けてくる文面は典型的なフィッシング手口です。本物のドメイン会社は、契約満了の30日前から段階的に通知を始めるため、急かす文面にはなりません。
クリック先URLが本物のドメインと異なる
本文中のリンクにマウスを乗せると、ブラウザの左下に実際のリンク先URLが表示されます。表示テキストは「https://www.onamae.com/…」となっていても、実際のリンク先が「https://onamae-secure.com/…」「https://bit.ly/xxxx」などになっている場合は詐欺です。スマホの場合はリンクを長押しすると実際のURLを確認できます。
メールアドレスやログイン情報を直接入力させる
本物のドメイン会社のメールは、コンパネにログインして操作する流れを案内するものがほとんどです。メール内のフォームに直接ログインIDとパスワードを入力させる、クレジットカード番号を直接入力させる、といった形式は詐欺の典型です。
添付ファイルに更新フォームや請求書PDFが含まれている
本物のドメイン会社の通知メールに、HTMLファイル・zipファイル・実行ファイルが添付されることはほぼありません。これらが添付されている場合、マルウェア感染を狙った詐欺メールの可能性が高くなります。請求書を装ったPDFも、本物のドメイン会社では基本的にコンパネからダウンロードする方式のため、メール添付で送られてくることは稀です。
日本語が不自然・敬語の使い方がおかしい
「お客様のアカウントは閉鎖されました」「直ちにお手続きを実行してください」「ご対応していただかなければ、サービスが停止されます」など、日本語として違和感のある表現が含まれている場合は詐欺の可能性が高くなります。ただし生成AIの普及により、自然な日本語の詐欺メールも増えているため、日本語の自然さだけで判定するのは危険です。
近年のフィッシングメールは、文面だけでは見分けがつかないレベルに巧妙化しています。差出人ドメイン・誘導先URL・要求される情報の3点で判定するルールを徹底してください。
フィッシングメールが届いたときの対応手順
怪しいメールが届いたときの基本対応は「リンクを踏まない・返信しない・添付を開かない・本物のサイトで状況確認する」の4点です。
メール内のリンクは絶対にクリックしない
判断が付かない段階では、メール内のリンクは1つも触らないでください。確認が必要な場合は、ブラウザを別途立ち上げて、検索エンジンから本物のドメイン会社のサイトを開きます。お名前.comであれば「お名前.com」で検索、ムームードメインなら「ムームードメイン」で検索する形です。検索結果の公式サイトから直接コンパネにログインして、本当に何か問題が起きているか確認してください。
添付ファイルを開かない・ダウンロードしない
メール本文中のリンク同様、添付ファイルも開いてはいけません。PDFやWordファイルにマクロ・スクリプトが仕込まれていることもあるため、見ただけで安全とは限りません。ダウンロードもせず、メールごと削除するか、後述の「報告」用に保管しておきます。
返信や問い合わせをしない
「これは本物ですか?」と返信したり、メール記載の電話番号にかけたりするのも避けてください。返信そのものが「このアドレスは現役だ」というシグナルになり、詐欺グループのターゲットリストに正式登録されてしまいます。電話番号も詐欺グループにつながる番号なので、絶対に使わないでください。
フィッシング対策協議会・本物のドメイン会社に報告する
確実に詐欺と判断したメールは、フィッシング対策協議会の通報窓口に報告してください。本物のドメイン会社の公式サイトにも「なりすましメールに関する報告窓口」があるため、そちらにも転送すると、業界全体での対策強化に貢献できます。
もしリンクをクリックしてしまった場合の対応
うっかりリンクをクリックしてしまった、ログイン情報を入力してしまった、といった事故が起きても、迅速な対応で被害を最小化できます。
すぐにドメイン会社の本物のパスワードを変更する
ログイン情報を入力してしまった可能性がある場合は、即座に本物のドメイン会社のサイトから直接ログインして、パスワードを変更してください。同じパスワードを別のサービスで使い回している場合は、それらも全て変更する必要があります。
二段階認証を有効化する
ドメイン会社のアカウントには、二段階認証(2FA)が用意されています。SMSまたは認証アプリ(Google Authenticatorなど)で二段階認証を有効化すれば、パスワードが漏れてもログインを防げます。フィッシング被害の事後対策としても重要ですが、本来は事故が起きる前から有効化しておくべき設定です。
クレジットカード情報を入力してしまった場合はカード会社へ即連絡
カード番号を入力してしまった場合は、すぐにカード会社に連絡して、カードの停止と再発行を依頼してください。不正利用が始まっていないか明細をチェックし、必要に応じてチャージバック手続きを行います。
ドメインの設定が改ざんされていないか確認する
ログイン情報が漏れた直後は、攻撃者がDNS設定・登録情報・移管申請などを書き換えている可能性があります。コンパネにログインして、Aレコード・ネームサーバー設定・登録メールアドレス・自動更新設定が全て正常か確認してください。1つでも書き換えられている場合は、ドメイン会社のサポートに連絡して詳細調査を依頼します。攻撃者が登録メールアドレスを書き換えてしまうと、その後の通知が攻撃者側に届くようになり、被害が拡大します。最初に確認すべきはメールアドレスです。
関係者に被害発生を報告する
サイト訪問者やお客様に被害が及んでいないか確認するため、社内・取引先・顧客に対して状況を報告する準備も必要です。サイトが改ざんされていないか、お問い合わせフォームが乗っ取られていないか、関係者宛てに偽メールが送られていないか、をチェックして対応します。誠実な状況報告は信頼回復にもつながります。
フィッシング詐欺を未然に防ぐ普段の運用
個別事故への対応だけでなく、平時の運用で防御力を上げておくことが重要です。
二段階認証を全てのドメイン会社アカウントで有効化する
ドメイン会社のアカウントだけでなく、サーバー・WordPress管理画面・Googleアカウント・SNSなど、業務に関わる全てのアカウントで二段階認証を有効化しておくのが理想です。フィッシング被害の最後の砦になります。
ログイン情報は必ずパスワード管理ツールで管理する
1Password、Bitwarden、Keeperなどのパスワード管理ツールを導入し、各サービスごとに固有のパスワードを設定してください。パスワードを使い回さないことで、1つのアカウントが漏れても他のアカウントは守れます。
定期的にフィッシング報告事例を社内で共有する
フィッシング対策協議会・JPCERT/CCなどが公開している最新の詐欺手口を、定期的に社内で共有してください。実例ベースで「こういう件名が来たら詐欺の可能性がある」と意識を高めておくことで、いざという時の判断スピードが上がります。
ドメイン会社の公式アカウントをブックマーク登録しておく
ブラウザのブックマークに、自社が契約しているドメイン会社のログインページを必ず登録してください。メール経由ではなく、必ずブックマークから公式ページに直接アクセスする習慣をつければ、本物そっくりの偽サイトに誘導されるリスクをほぼゼロにできます。スマホでも同様に、ブラウザのお気に入りに登録しておきます。
社内全員に「リンクを踏まないルール」を徹底する
Web担当だけでなく、社内全員が「ドメイン・サーバー会社からの英語メール、または『緊急対応必要』『アカウント停止』を匂わせる日本語メールが届いたら、リンクを踏む前に必ずWeb担当に相談する」というルールを徹底してください。経理担当・営業担当・代表者など、誰のもとに届いても同じ対応ができる体制が必要です。
使っていないドメイン会社のアカウントは閉鎖する
過去に試しに登録だけしたドメイン会社のアカウント、解約しそびれているドメイン会社のアカウントが残っていると、攻撃対象が広がります。現役で使っているドメイン会社以外のアカウントは、解約・閉鎖して、管理対象を絞り込んでください。守るべきものを少なくすることが、防御コストの削減につながります。
最後に
ドメイン会社を装うフィッシングメールは、急かす文面・偽ドメイン・ログイン情報の直接要求の3点で判別できます。判断が付かないときは、メール内のリンクは絶対にクリックせず、検索エンジンから本物のサイトに直接ログインして状況を確認するのが鉄則です。本記事の差出人ドメイン一覧をメモしておけば、9割のフィッシングメールは即座に判定できます。
Web管理では、月額1万円からドメイン・サーバーの管理代行を行っています。日々届く通知メール・詐欺メールの判別、二段階認証の設定支援、ログイン情報の安全な管理まで全て代行可能ですので、「このメールは本物か判断してほしい」というスポット相談だけでも歓迎です。社内のITに詳しい人材が不足している中小企業ほど、外部の運用代行を活用していただくメリットが大きくなります。お気軽にお問い合わせください。
