はじめに

鉄道予約や旅行予約は、急いで手続きを済ませたい場面が多い分野です。出張前の新幹線予約、連休の宿探し、急な日程変更への対応など、利用者は「今すぐ公式ページへ行きたい」という心理になりやすいです。その焦りに付け込むのが、検索結果の上位や広告に紛れ込む偽サイトです。

しかも最近の偽サイトは、古典的な怪しい通販ページとは違います。公的機関や大手企業と同じ画面を表示したり、鉄道予約や旅行予約の実在サービスを模倣したりして、見た目だけでは判別しにくくなっています。本稿では、公的機関、検索事業者、業界団体、事業者の公開情報をもとに、なぜこの手口が効くのか、どこを見れば見抜けるのか、入力してしまった後に何をすべきかを整理します。

検索上位でも危険な構造

上位表示が信頼に見える錯覚

利用者が誤解しやすいのは、検索結果の上位表示やスポンサーリンクを「安全性の証明」と受け取りやすいことです。しかし、Google自身がフィッシングの仕組みとして、メールだけでなく広告や既存サイトに似せた偽サイトを挙げています。つまり、検索経由だから安全という前提は、すでに成り立ちません。

警察庁も、フィッシングの誘導方法として検索サイトの広告を明示しています。2026年4月時点で公開されている警察庁の説明では、企業や官公庁を装うメールやSMSに加え、検索広告から偽サイトへ誘導する方法が確認されています。NISCの注意喚起でも、普段と異なる方法でサイトに行く場合は、ドメイン名を確認し、不審なら別の検索エンジンで本物のURLを確認するよう求めています。

ここで重要なのは、検索順位は真正性の認証ではなく、検索エンジンの評価や広告配信の仕組みの結果にすぎないという点です。利用者が「上に出ている」「広告審査を通っている」と感じるほど、攻撃者にとっては信頼を借りやすくなります。検索結果は入口の一つであって、本人確認の代わりではありません。

予約需要と切迫感の組み合わせ

鉄道予約や旅行予約が狙われやすい理由は、利用者の行動が速いからです。銀行や証券のフィッシングは資産を直接狙いますが、交通や旅行は「今すぐ予約」「すぐログイン」「変更期限が近い」といった切迫感を生みやすく、クリック率を上げやすいです。検索で駅名や列車名、宿泊先を打ち込んだ直後は、利用者の目的も明確です。

フィッシング対策協議会の2026年2月月次報告では、同月のフィッシング報告件数は5万7096件、重複のないURL件数は1万7073件、悪用ブランドは96件でした。分野別の割合では交通系が2.9%、航空系が4.0%です。比率だけ見れば金融より小さく見えますが、交通や航空も継続して狙われる対象であることが確認できます。

旅行分野は、正規の予約サイトでも契約条件や問い合わせ窓口の違いによるトラブルが起きやすい分野です。国民生活センターは2025年3月18日に、旅行予約サイトでのキャンセルや返金をめぐる相談を紹介し、事業者情報や問い合わせ体制の確認を呼びかけました。もともと情報の読み違いが起きやすい市場だからこそ、偽サイトが入り込むと被害の見抜きがさらに難しくなります。

鉄道予約と旅行予約を狙う手口の実像

えきねっと・EX・じゃらんを狙う反復攻撃

鉄道予約サービスでは、えきねっとを狙うフィッシングが繰り返し確認されています。フィッシング対策協議会は2024年12月5日、えきねっとをかたるフィッシングの報告増加を公表しました。過去の警告でも、アカウント自動退会、本人確認、システム更新などを口実にログインやカード情報入力へ誘導する文面が並んでいます。

新幹線予約系でも同様です。JR東海のエクスプレス・カードは、「EX」のメールサービスを装った偽メールに注意するよう案内し、URLクリックや添付ファイル開封、返信をしないよう求めています。予約確認や登録情報修正、パスワード再設定は利用者が反応しやすいテーマであり、鉄道サービスは日常利用に近い分、受け手の警戒が下がりやすいです。

旅行予約でも反復性は同じです。フィッシング対策協議会は2023年6月にじゃらんをかたるフィッシングを公表し、氏名、生年月日、住所、電話番号、カード番号などの入力を避けるよう警告しました。さらにリクルートは2023年6月、2024年1月、2024年9月にかけて『じゃらん』を装う不審メールへの注意喚起を出しており、単発ではなく継続的な攻撃対象になっていることが分かります。

奪われる情報と被害の連鎖

偽サイトの怖さは、単に予約ができないことではありません。警察庁によれば、フィッシングで盗まれるのはIDやパスワードにとどまらず、カード情報や個人情報であり、アカウント乗っ取りや不正利用につながります。旅行や鉄道予約では、氏名、電話番号、メールアドレス、乗車・宿泊予定、決済情報が一度に入力されるため、攻撃者にとって効率がよい標的です。

さらに、予約サイトを装う手口は「本物の画面に似ている」点が強みです。フィッシング対策協議会は、じゃらんの事例でも、フィッシングサイトは本物の画面をコピーして作成されることが多く、見分けるのは非常に困難だとしています。見た目の一致が高いほど、利用者は「ログインできないのは入力ミスだ」と思い込み、再入力を繰り返してしまいます。

最近の攻撃は、URLの作り方も巧妙です。えきねっと関連の警告では、正規ブランド名を前方に置きながら、末尾に無関係なドメインを付ける例が並んでいました。利用者が先頭だけを見てしまう前提で設計されており、「ブランド名が入っている」だけでは安全確認になりません。

偽サイトを見抜く実践手順

URLとドメインの確認

最優先で見るべきなのは、ページの見た目ではなくURLです。消費者庁は偽サイト対策として、公式URLであるか、連絡先が表示されているか、価格が極端に安すぎないか、支払方法が限定的でないか、日本語が不自然でないかを確認するよう求めています。これは通販向けの注意喚起ですが、予約サイトにもほぼそのまま当てはまります。

NISCも、公的機関や企業の偽サイト対策として、リンクにポインタを置く、アドレス欄をよく見る、ドメイン名を確認する、怪しければ別の検索エンジンで公式URLを調べ直すよう促しています。旅行や鉄道予約でも、eki-net.com や jr-odekake.net のような正規ドメインを、自分で一度確認しておくことが有効です。ブランド名の前後に余分な文字列が付いていたり、見慣れないTLDが付いていたりする場合は、その時点で止まるべきです。

また、HTTPSや鍵アイコンを過信しないことも重要です。Chromium Blogは、2023年5月の説明で「ほぼすべてのフィッシングサイトがHTTPSを使い、鍵アイコンを表示している」と明示しました。HTTPSは通信経路の暗号化を示すだけで、その運営者が正規企業かどうかは保証しません。

事業者情報と契約条件の確認

旅行予約サイトでは、URL確認だけでは不十分です。観光庁は、旅行予約サイトでは契約の相手方や旅行業登録の有無、問い合わせ先、契約形態、キャンセル条件などがサイトによって異なるため、トラブルが発生しうると整理しています。つまり、本物のサイトであっても確認不足は危険であり、偽サイトならなおさらです。

国民生活センターも、2026年1月22日の見守り情報で、旅行予約サイトの運営事業者が日本か海外か、日本語対応の窓口があるか、最終確認画面のスクリーンショットを保存したかを確認するよう助言しています。予約ボタンを押す前に、会社名、所在地、問い合わせ方法、キャンセル規定、返金条件がすぐ見つかるかを見るだけでも、偽サイトや粗雑なサイトをかなりふるい落とせます。

警察庁の偽ショッピングサイト対策でも、商品が届かない、連絡先が乏しい、振込先を指定されるといった相談例が紹介されています。旅行や鉄道は銀行振込型の単純詐欺だけではありませんが、連絡先が曖昧、支払い手段が不自然、規約が雑、といった違和感は共通の赤信号です。

ブックマークとブラウザ保護の活用

実務的に最も効く対策は、「検索してから入る」を減らすことです。警察庁は、メールやSMS内リンクをクリックせず、公式サイトをお気に入りやブックマークに登録し、公式アプリを活用するよう勧めています。じゃらんの事例でも、フィッシング対策協議会は、ブックマークや公式アプリからアクセスする習慣を推奨しています。

検索が必要な場面でも、ブラウザ側の保護機能は有効です。Google Chromeはセーフブラウジングで、不正なウェブサイト、悪意のある広告、フィッシング、ソーシャルエンジニアリングを検知対象にしています。完璧ではありませんが、警告が出たときに「誤検知だろう」と流さないことが重要です。特に、保存済みパスワードを新しいサイトで入力したときの警告は、見逃すべきではありません。

クリック後・入力後の初動

入力前に気づいた場合の遮断

怪しいと感じた段階で止まれれば、被害の多くは防げます。Googleの検索ヘルプでも、個人情報を要求されたときに正規性が確認できるまで情報を提供しないこと、可能ならリンクを踏まず別ウィンドウで公式サイトを開くことを勧めています。検索結果の広告に表示されたフィッシングサイトも報告対象であるとGoogle自身が案内しています。

もし偽サイトを見つけたら、放置せず通報する価値があります。警察庁は、フィッシングサイトを発見した場合、インターネット・ホットラインセンターの「フィッシング110番」への通報を案内しています。検索結果や広告で見つけた場合でも、通報が増えれば表示停止や閉鎖が早まる可能性があります。

IDやカード情報を入れた後の対応

問題は、入力してから気づいた場合です。このとき最悪なのは、恥ずかしさや面倒さから放置することです。JPCERT/CCや警察庁は、入力後は速やかにパスワード変更、カード会社への連絡、不正利用監視、必要に応じた利用停止を進めるよう案内しています。

鉄道予約や旅行予約は、他サービスとのID使い回しが被害を広げやすいです。警察庁は使い回しの禁止と、サービスごとに異なるID・パスワードの設定、ワンタイムパスワードや生体認証の活用を勧めています。予約サービスの認証情報が漏れると、メール、EC、決済、ポイントサービスまで横展開される恐れがあるため、1つのサイトの問題として軽く見ないことが重要です。

注意点・展望

よくある誤解は三つあります。第一に、検索上位なら安全という思い込みです。第二に、HTTPSや鍵アイコンがあれば本物だという誤解です。第三に、旅行予約のトラブルはキャンセル規約だけの問題で、詐欺とは別だと切り分けてしまうことです。

実際には、検索結果、広告、メール、SMS、アプリ外ブラウザが連動し、利用者を本物そっくりの画面へ運ぶ時代です。しかも旅行・鉄道分野は、OTAの契約構造の複雑さや、予約変更の緊急性があるため、利用者が「確認より先に操作」を選びやすいです。今後は検索事業者や事業者側の審査強化も進むでしょうが、攻撃者はその基準に合わせて画面やドメインをさらに巧妙化させてきます。

そのため、個人側の対策は「怪しいかどうかを感覚で見抜く」より、「正しい入口以外を使わない」運用に寄せる方が現実的です。鉄道は公式アプリか保存済みブックマーク、旅行は事業者情報とキャンセル規定の確認、ブラウザはセーフブラウジング有効化という三点を習慣化するだけで、被害の大半は避けやすくなります。

まとめ

鉄道予約や旅行予約で検索上位をクリックした先が詐欺だったという被害は、珍しい例外ではありません。2026年2月時点でもフィッシング報告は5万7096件あり、交通系や航空系も継続的な標的です。えきねっと、EX、じゃらんのような知名度の高いサービスほど、攻撃者はその信頼を借りようとします。

見極めの要点は、見た目ではなく入口の管理です。URLとドメイン、事業者情報、契約条件、支払方法、ブックマーク利用、ブラウザ警告の確認を徹底してください。もし入力してしまった場合は、すぐにパスワード変更、カード会社連絡、通報まで進めることが、被害を最小化する最短ルートです。

参考資料:

• フィッシング対策協議会 2026/02 フィッシング報告状況
• 警察庁 フィッシング対策
• 警察庁 偽ショッピングサイト・詐欺サイト対策
• 消費者庁 「偽サイト」にご注意ください!
• 国家サイバー統括室 我が国の公的機関や企業等の偽サイトにご注意ください
• Google 検索ヘルプ フィッシング攻撃への対策と報告
• Google Chrome ヘルプ Chrome のセーフ ブラウジングで閲覧データのプライバシーを保護する仕組み
• Chromium Blog An Update on the Lock Icon
• 観光庁 旅行予約サイト利用時の確認事項
• 国民生活センター 便利な旅行予約サイトでトラブルに！？トラブル防止のための旅行予約サイトのチェックポイント
• 国民生活センター インターネットで予約したホテルや航空券のトラブル
• 国民生活センター 契約内容は自身でよく確認！ネットの旅行予約
• フィッシング対策協議会 えきねっとをかたるフィッシング (2024/12/05)
• JR東海エクスプレス・カード 「EX」のメールサービスを装った偽メールやパスワード管理について
• 株式会社リクルート 『じゃらん』を騙るなりすましメールにご注意ください