偽サイトに使われるドメイン・URLの見分け方|.xyz .top等の危険なTLD一覧【2026年版】
「このURL、本物?偽物?」——メールやSNSで送られてきたリンクのURLを見て、安全なサイトかどうか判断したいと思ったことはありませんか。偽サイトのURLには一定の特徴がありますが、近年は正規サイトと見分けがつかないほど巧妙な偽装が行われるようになっています。
この記事では、防犯設備士の監修のもと、URLの構造の基礎知識から、偽サイトに使われやすいTLD(トップレベルドメイン)の一覧、URLを偽装する5つの手口、「httpsだから安全」という誤解の真相、Whois検索によるドメイン調査方法まで、URLの見分け方を体系的に解説します。
URLの構造を理解する(プロトコル・ドメイン・パスの基礎知識)
偽サイトのURLを見分けるためには、まずURLの構造を正しく理解する必要があります。
URLの各パーツ
URLは以下のパーツで構成されています。
| パーツ | 例(https://www.amazon.co.jp/dp/B08N5M7S6K) | 役割 |
|---|---|---|
| プロトコル | https:// | 通信方式(暗号化の有無) |
| サブドメイン | www. | ドメインの補助区分 |
| ドメイン名 | amazon | サイト運営者を示す固有名 |
| TLD | .co.jp | ドメインの種類・国を示す |
| パス | /dp/B08N5M7S6K | サイト内の特定ページの場所 |
偽サイトを見分けるうえで最も重要なのは、ドメイン名とTLDの部分です。
ドメインとは?ドメイン名の仕組み
ドメインとは、インターネット上の住所にあたるものです。「amazon.co.jp」「rakuten.co.jp」のように、サイトの運営者を特定する役割を持ちます。
URLを見るときは、「://」の直後から最初の「/」までの部分がドメインです。この部分が正規サイトのドメインと一致しているかどうかが、偽サイト判定の最も基本的なチェックポイントになります。
TLD(トップレベルドメイン)とは?種類と役割
TLD(トップレベルドメイン)とは、ドメインの末尾部分(.com .jp .xyz等)のことです。TLDは大きく3つの種類に分けられます。
| 種類 | 例 | 特徴 |
|---|---|---|
| ccTLD(国コード) | .jp .uk .de | 特定の国・地域に割り当て。.jpは日本 |
| gTLD(汎用) | .com .net .org | 世界共通。歴史があり信頼性が比較的高い |
| 新gTLD | .xyz .top .shop .online | 2012年以降に新設。取得コストが安いものが多い |
偽サイトに悪用されやすいのは、取得コストが安い「新gTLD」です。次のセクションで詳しく解説します。
【図解】偽サイトのURLと正規サイトのURLの比較
正規サイトと偽サイトのURLの違いを具体例で比較します。
| 比較 | URL例 | 見分けのポイント |
|---|---|---|
| 正規 | https://www.amazon.co.jp/... | 公式ドメイン(amazon.co.jp) |
| 偽装① | https://www.amazon-sale-jp.**xyz**/... | TLDが.xyz(正規は.co.jp) |
| 偽装② | https://amazon.co.jp.**verify-account.com**/... | 正規ドメインの後に別ドメインが続く |
| 偽装③ | https://www.**arnazon**.co.jp/... | 「m」が「rn」に置き換えられている |
偽装②のように、URLの前半に正規ドメインが含まれていても、実際のドメインは最後の「.」の直前の部分(この例ではverify-account.com)です。
偽サイトに使われやすいTLD(トップレベルドメイン)一覧
すべてのTLDが危険というわけではありませんが、偽サイトに悪用されやすいTLDには傾向があります。
危険度が高いTLD
以下のTLDは、フィッシングサイトや偽通販サイトに悪用される頻度が特に高いため、これらのTLDのサイトを利用する際は慎重に確認してください。
| TLD | 年間取得コスト目安 | 偽サイト悪用度 | 備考 |
|---|---|---|---|
| .xyz | 約100円〜 | 極めて高い | フィッシングサイトで最も多く使われるTLDの1つ |
| .top | 約100円〜 | 極めて高い | 中国発の偽通販サイトに多用 |
| .icu | 約100円〜 | 極めて高い | 近年急増。偽サイト専用ドメインとも言われる |
| .buzz | 約200円〜 | 非常に高い | フィッシングメールのリンク先に多い |
| .fun | 約100円〜 | 非常に高い | 偽キャンペーンサイトに多用 |
| .online | 約200円〜 | 高い | 偽通販サイトに使われることが多い |
※出典:デジタルアーツ - 2024年上半期フィッシングサイト ドメイン集計
注意が必要なTLD
以下のTLDは正規のビジネスでも利用されますが、偽サイトにも使われることがあるため注意が必要です。
| TLD | 偽サイト悪用度 | 備考 |
|---|---|---|
| .shop | 中〜高 | 正規のECサイトでも利用されるが偽通販サイトにも多い |
| .site | 中〜高 | 個人サイトから偽サイトまで幅広く利用 |
| .store | 中 | ECサイト向けだが偽サイトにも |
| .club | 中 | 会員制サイトを装った偽サイトに |
比較的安全なTLD
以下のTLDは取得に一定の条件や審査があるため、偽サイトに悪用されにくい傾向があります。
| TLD | 安全度 | 理由 |
|---|---|---|
| .co.jp | 非常に高い | 日本の法人のみ取得可能。1法人1ドメインの制限あり |
| .jp | 高い | 日本に住所がある個人・法人のみ取得可能 |
| .com | やや高い | 歴史が長く信頼性は比較的高いが、偽サイトにも使われる |
| .net | やや高い | .comと同様 |
| .go.jp | 極めて高い | 日本の政府機関のみ使用 |
ただし、.comや.jpでも偽サイトは存在します。TLDだけで安全と判断せず、他のチェックポイントも必ず確認してください。
正規サイトのURLを偽装する5つの手口
偽サイトの運営者は、正規サイトのURLに見せかけるためにさまざまな偽装テクニックを使います。
- ホモグラフ攻撃(見た目が同じ文字に置き換える)
- タイポスクワッティング(打ち間違いを狙う)
- サブドメイン偽装(amazon.example.comのような手口)
- URLリダイレクト(正規URLから偽サイトに転送)
- 短縮URL(bit.ly等で元URLを隠す)
①ホモグラフ攻撃(見た目が同じ文字に置き換える)
ホモグラフ攻撃とは、見た目がそっくりな異なる文字を使ってURLを偽装する手口です。
| 正規URL | 偽装URL | 偽装された文字 |
|---|---|---|
| apple.com | аpple.com | 英語の「a」→ キリル文字の「а」 |
| google.com | gооgle.com | 英語の「o」→ キリル文字の「о」 |
| paypal.com | pаypal.com | 英語の「a」→ キリル文字の「а」 |
肉眼ではほぼ判別不可能です。最新のブラウザ(Chrome・Firefox等)ではホモグラフ攻撃を検知して警告を表示する機能がありますが、すべてのケースに対応しているわけではありません。
対策:メールやSMSのリンクを直接クリックせず、ブックマークや検索エンジンから公式サイトにアクセスする習慣をつけてください。
※出典:INTERNET Watch - URLが本物そっくりな詐欺サイトに注意!ホモグラフ攻撃
②タイポスクワッティング(打ち間違いを狙う)
タイポスクワッティングとは、正規ドメインの「打ち間違い」を狙ってよく似たドメインを取得する手口です。
| 正規ドメイン | 偽装ドメイン | 偽装パターン |
|---|---|---|
| amazon.co.jp | amazom.co.jp | n → m |
| rakuten.co.jp | rakutem.co.jp | n → m |
| google.com | gooogle.com | oが1つ多い |
ブラウザのアドレスバーに直接URLを入力する際に発生しやすいため、重要なサイトはブックマークに登録して利用してください。
③サブドメイン偽装(amazon.example.comのような手口)
サブドメインに正規のブランド名を設定し、あたかも正規サイトの一部であるかのように見せかける手口です。
| 偽装URL | 実際のドメイン | 見破り方 |
|---|---|---|
| amazon.co.jp.verify-secure.com | verify-secure.com | 最後の「.」の直前がドメイン |
| login.rakuten.co.jp.account-check.xyz | account-check.xyz | .jpの後にさらにドメインが続く |
見破り方のコツ:URLの中で、最後の「/」より前にある最後の「.」の直前の部分が実際のドメインです。「amazon.co.jp.xxx.com」の場合、実際のドメインは「xxx.com」であり、amazon.co.jpではありません。
④URLリダイレクト(正規URLから偽サイトに転送)
URLリダイレクトは、正規サイトの「リダイレクト機能」を悪用し、正規URLを経由して偽サイトに転送させる手口です。
例:https://www.example-shop.com/redirect?url=https://fake-site.xyz
このURLをクリックすると、まず正規サイト(example-shop.com)にアクセスしてから偽サイト(fake-site.xyz)に自動転送されます。メールに記載されたリンクで最初のドメインだけ確認すると騙されてしまいます。
⑤短縮URL(bit.ly等で元URLを隠す)
bit.ly、t.co、is.gd等の短縮URLサービスを使って、元のURLを隠す手口です。
短縮URL例:https://bit.ly/3xK9mN2 → 実際のリンク先は偽サイト
短縮URLは元のURLが見えないため、クリック前に安全性を判断できません。フィッシングメール・SMS詐欺の見分け方でも解説したとおり、正規の企業がbit.lyなどの汎用短縮URLを使うことはほとんどありません。
URLだけで安全性を判断できない理由(SSL/httpsの落とし穴)
「httpsだから安全」——この認識は大きな誤解です。
「httpsだから安全」は間違い──偽サイトもSSL証明書を取得している
httpsは通信が暗号化されていることを示すだけで、サイト運営者が善良であることを証明するものではありません。偽サイトの約8割がhttps対応しているというデータもあり、httpsだけで安全と判断するのは危険です。
無料SSL証明書(Let's Encrypt)の普及と悪用
Let's Encryptに代表される無料SSL証明書の登場により、誰でも簡単にhttps化が可能になりました。正規サイトのhttps普及には貢献しましたが、同時に偽サイト運営者にとっても「httpの偽サイト」から「httpsの偽サイト」に移行するハードルが大幅に下がりました。
SSL証明書の種類(DV/OV/EV)と信頼性の違い
SSL証明書には3つの種類があり、審査の厳格さが異なります。
| 証明書の種類 | 正式名称 | 審査内容 | 信頼性 | 費用 |
|---|---|---|---|---|
| DV証明書 | ドメイン認証 | ドメイン所有者の確認のみ | 低い | 無料〜年数千円 |
| OV証明書 | 組織認証 | 法人の実在性を審査 | 中程度 | 年数万円〜 |
| EV証明書 | 拡張認証 | 法人の実在性を厳格に審査 | 高い | 年10万円〜 |
偽サイトが取得するのはほぼすべてDV証明書です。OV・EV証明書は法人の実在性が審査されるため、偽サイトでは取得が困難です。
アドレスバーの鍵マークだけで判断してはいけない理由
ブラウザのアドレスバーに表示される鍵マークは「通信が暗号化されている」ことを示すだけです。鍵マークをクリックすると証明書の詳細を確認できますが、一般ユーザーがDV/OV/EVを判別するのは現実的ではありません。
鍵マークは「暗号化の最低限の確認」として活用し、サイトの信頼性はURL・特商法表記・価格・口コミなど複数のチェックポイントで判断してください。偽サイト判定ツール(SAGICHECK等)を使えば、より確実にサイトの安全性を確認できます。
Whois検索でドメイン所有者を調べる方法
Whois検索を使えば、ドメインの登録情報を調べることができます。偽サイトかどうかの判断材料として有効です。
Whois検索とは
Whois(フーイズ)検索とは、ドメインの登録情報(所有者名・登録日・有効期限・レジストラ等)を公開データベースから検索するサービスです。
Whois検索の使い方
日本のドメイン(.jp)の場合:
- JPRS Whois にアクセスする
- 調べたいドメイン名(例:example.co.jp)を入力する
- 「検索」ボタンをクリック
その他のドメイン(.com .xyz等)の場合:
- ICANN Lookup にアクセスする
- 調べたいドメイン名を入力する
- 「Lookup」ボタンをクリック
Whois検索で確認すべきポイント
Whois検索の結果で、以下の3つのポイントを確認してください。
| 確認項目 | 危険なサイン |
|---|---|
| 登録日(Creation Date) | 数週間〜数ヶ月以内に登録されたドメインは注意 |
| 所有者情報(Registrant) | 個人名のみ、または海外の所在地 |
| レジストラ(Registrar) | 激安ドメインレジストラ(格安で大量取得が容易) |
登録日が最近のドメインは特に注意してください。偽サイトは短期間で使い捨てにされることが多いため、ドメインの登録日が数週間〜数ヶ月以内の場合は詐欺サイトの可能性が高まります。
プライバシー保護サービスで情報が隠されている場合の判断
ドメイン所有者がWhoisのプライバシー保護サービスを利用している場合、所有者名や連絡先が「REDACTED FOR PRIVACY」等と表示され、具体的な情報が確認できません。
プライバシー保護サービス自体は正規のサイトでも利用されるため、これだけで偽サイトと判断することはできません。ただし、プライバシー保護+登録日が最近+TLDが.xyz等の組み合わせであれば、偽サイトの可能性は高くなります。
- Whois検索はあくまで判断材料の1つ。他のチェックポイントと組み合わせて総合判断
- .co.jpドメインはJPRS Whoisで所有法人を確認できるため、信頼性の判断がしやすい
- 不審なサイトを見つけた場合はSAGICHECK等の偽サイト判定ツールも併用する
よくある質問(FAQ)
Q1. 偽サイトのURLにはどんな特徴がありますか?
偽サイトのURLには、.xyz .top .icu等の取得コストが安いTLDが使われる、正規ブランド名に余計な文字列が追加されている(例:amazon-sale-jp.xyz)、ドメインの登録日が最近(数週間〜数ヶ月以内)、といった特徴があります。ただしこれらは傾向であり、.comや.jpでも偽サイトは存在します。
Q2. .xyzや.topドメインは危険ですか?
.xyzや.topドメインがすべて危険というわけではありませんが、取得コストが非常に安いため偽サイトに悪用されやすいのは事実です。デジタルアーツの調査によると、フィッシングサイトに使われるTLDの上位に.xyz .top .icu .buzz等がランクインしています。これらのTLDのサイトを利用する際は、他のチェックポイントも併せて慎重に確認してください。
Q3. httpsなら安全なサイトですか?
いいえ、httpsだけでは安全は保証されません。httpsは通信が暗号化されていることを示すだけで、サイト運営者が善良であることを証明するものではありません。無料のSSL証明書を使えば偽サイトでもhttps化は容易です。httpsは最低限の条件であり、それだけで安全と判断しないでください。
Q4. URLだけで偽サイトかどうか判断できますか?
URLの確認は有効な判断材料の1つですが、URLだけで100%判断することはできません。正規の.co.jpドメインが改ざんされるケースや、巧妙な偽装URLもあるためです。URL確認に加えて、偽ショッピングサイトの10のチェックリストと組み合わせて総合的に判断してください。
Q5. ドメインの所有者を調べる方法はありますか?
Whois検索を使えばドメインの登録情報を調べられます。JPRS Whoisで.jpドメイン、ICANN Lookupでその他のドメインを検索できます。登録日が最近で、所有者情報がプライバシー保護で隠されている場合は注意が必要です。
Q6. ホモグラフ攻撃とは何ですか?どう対策しますか?
ホモグラフ攻撃とは、見た目がそっくりな異なる文字(キリル文字のаと英語のa等)を使ってURLを偽装する手口です。肉眼での判別が極めて困難なため、URLを直接クリックするのではなく、ブックマークや検索エンジンから公式サイトにアクセスする習慣をつけることが最も確実な対策です。
まとめ|URLチェック早見表
URLの確認は偽サイトを見分けるための重要なチェックポイントです。ただし、URLだけで100%判断することはできないため、他のチェック方法と組み合わせて総合的に判断してください。
- URLのドメイン部分(://の直後から最初の/まで)が正規サイトと一致しているか確認する
- .xyz .top .icu等の取得コストが安いTLDは偽サイトに悪用されやすいため要注意
- ホモグラフ攻撃・タイポスクワッティング・サブドメイン偽装・リダイレクト・短縮URLの5つの偽装手口を知っておく
- httpsだけでは安全は保証されない。鍵マーク=安全ではない
- Whois検索でドメインの登録日を確認。最近のドメインは要注意
- 不安な場合はSAGICHECKなどの偽サイト判定ツールでURLをチェック
- 偽サイトに個人情報を入力してしまった場合は「緊急対処法」を確認
URLの見分け方を知っておくことは、ネット詐欺から身を守るための基本スキルです。偽ショッピングサイトの見分け方(10のチェックリスト)も併せて確認し、安全なネット利用を心がけてください。その他の防犯情報は「じぶん防犯」トップページからご覧いただけます。