2025/5/6

X で少し話題になった、フィッシングサイトにあえて誤った ID/PW を入力してフィッシングサイトかどうかを判定する件をまとめてみた。

<aside> ⚠️

以下ご理解いただける方のみお読みください。

• 私（iron）が記載している投稿は 一個人の見解 であり、特定の企業や団体の見解や主張ではありません。一つの情報としてご覧ください。
• この記事は 注意喚起と同業の方への共有を目的として記載 しています。 ここに記載されたフィッシングサイトや事象を模倣すると法令に違反する場合があります。ご注意ください。 </aside>

TL;DR

• 意図的に誤った ID/PW をログインページに入力することでフィッシングサイトかどうかを確認する方法が X で話題に。
• ポストされた方の発言を整理すると論理的には正しいし、加えてかつて防御策の 1 つとしてこの方法が挙げられていた。
• ただしこの確認方法が有効なのは単純なフィッシングサイトのみで実際に施行するリスクや効果を考えると、意図的に誤った ID/PW を入力して確認するのは避けるべき。
• フィッシングサイト・メールを見分けることはできないことを前提に、普段使用しているアプリやきっかけとなった連絡手段とは別の媒体から事実を確認することが大事。

事の発端

X に投稿されたフィッシングサイトの判定に関わるポストが少し話題に。

完成度が高いので引っ掛かる人はいそうですが、私がやっているフィッシングメール対策をお伝えします。

『故意に間違ったIDとパスワードを入力する』です。この間違った情報でログイン出来たら100%フィッシング詐欺です。

皆さん気を付けてねー

この方の見分け方として、意図的に誤った ID/PW をログインページに入力したときの結果でフィッシング詐欺かどうか見分けているとのこと。

つまりわざと誤った ID/PW で試し、本物では絶対に成功しない操作をサイトが通してしまった場合は 100% フィッシングという考え方である。

この投稿に対して、いろんな方が X 上で発言しており、当該ポストは 5/6 時点で 107 万回表示、リポストも 4,000 件を超えている。