「偽ショッピングサイト」の通報件数がここ数年で急激に増えている。購入代金をだまし取る悪質な手口とは(写真:Anadolu / Getty Images)

ショッピングサイトとは、利用者から購入代金をだまし取ったり、粗悪品を販売したりするWebサイトのことだ。注文をして代金を振り込んでも商品が届かない、あるいは届いても空箱だったり全く別の商品だったりする。

また、ECサイトを運営する企業にとっても脅威となる。偽ショッピングサイトをつくる攻撃者から自社ECサイトを改ざんされて攻撃の踏み台として利用されれば、自社のブランドは大きく毀損されてしまう。

こうした被害を防ぐにはどうしたらいいのか。警察や民間企業と連携して偽ショッピングサイト対策に取り組んでいる日本サイバー犯罪対策センター(JC3)の渡邊泰司氏に聞いた。

24年上半期だけで1万7000超の通報件数

ショッピングサイトの大きな特徴は「安さ」だ。少しでも価格の低いものを利用したい消費者心理につけこみ、大幅な値引きの強調や「品薄」「本日限り」といった表示で商品購入を急がせる手口が多い。

「商品を購入する場合、商品名や『割安』『特価』といったキーワードでインターネット検索を行い、上位に表示されたサイトを見て『確かに安い』となって購入手続きをすることが一般的でしょう。

JC3では、セーファーインターネット協会の『悪質ECサイトホットライン』に寄せられた通報内容を分析してフィルタリング事業者やセキュリティ事業者等へ情報を提供しています。通報には残念ながら偽ショッピングサイトで代金を支払ってしまったケースも含まれており、銀行振込が多いことがわかっています」(渡邊氏、以下同)


サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

2023年に、セーファーインターネット協会からJC3へ共有された悪質なショッピングサイトなどの通報件数は、4万7278件。2022年の2万8818件と比べ、2万件近く増えている。

増加した背景として、偽ショッピングサイトに気がつく機会が増えていることに加え、通報する人も増えていることが考えられる。

SNSの普及で「検索離れ」が進んでいるともいわれるが、JC3の統計情報によれば、偽ショッピングサイトに到達するのは多くがインターネット検索からだ。2023年は3万4639件、2024年は上半期だけで1万1737件。


ちなみに、2024年上半期で次に多い「メールに記述されていたURL」は2604件、「X(旧Twitter)等のSNS投稿」は638件。つまり、受動的に入ってきた情報に対処した結果遭遇するのではなく、能動的に偽ショッピングサイトへたどり着いているのが大半なのだ。


しかし、なぜ消費者は偽ショッピングサイトにたどり着いてしまうのか。渡邊氏は「検索結果で表示される順位を引き上げるSEOポイズニングという手法が使われている」と指摘する。

「Webサイトの脆弱性を突いて、SEOマルウェアと呼ばれる検索結果を不正に操作するプログラムを仕込みます。そうやって上位に表示されたWebサイトのドメイン名は『○○○.jp』となっていたとします。

しかし、『○○○.jp』のページは改ざんされ、悪用されてしまったサイトで、いわば踏み台。そこにアクセスすると偽ショッピングサイトへ自動的に転送され、ドメイン名も『△△△.xyz』などに変化します」


(出所)一般財団法人日本サイバー犯罪対策センター(JC3)

そのサイトにアクセスして問題ないか、ドメイン名やURLを確認する人は多いだろう。しかし、検索エンジンの検索結果のみで判断するのは危険だということがわかる。怖いのは、いったん大丈夫と判断してしまったら、再度の確認はなかなかしないことだ。

そうした心理の隙を突く手口が、2024年上半期だけで1万7000件以上の通報件数を数える偽ショッピングサイトを横行させているといえるだろう。

AIや翻訳の進化で「おかしな日本語」は激減

しかも、直近では巧妙化がさらに進み、「従来の見分け方」が通用しなくなってきている。


渡邊 泰司(わたなべ たいじ)/一般財団法人日本サイバー犯罪対策センター(JC3)業務統括部長。警察庁技官を拝命し、デジタルフォレンジックやインシデントレスポンスなど情報技術の解析に関する業務に長く従事。また、民間団体との連携や海外における調査研究などを経て、2024年3月から現職。現在は、会員企業や警察庁との連携強化、国際連携の推進等の業務に従事
(写真:本人提供)

「少し前は、日本語が不自然であることや、ドメイン名が通常のショッピングサイトでは使われないなどの傾向がありました。しかし今は、AIが進化し翻訳の精度が上がったこと、ドメイン名が一般的なものに変わってきたことで、そうした一見して変だと感じられる偽ショッピングサイトが減ってきています」

「おかしな日本語」と「ドメイン名の確認」は、警視庁のサイトでも「偽ショッピングサイトの例」として紹介されている。

もちろん、それが偽ショッピングサイトを見分けるポイントとして有効なのは変わらないが、それを判断基準にすると「日本語がスムーズだから(ドメイン名が特徴的でないから)問題ない」となってしまうおそれがあるということだ。

特定商取引法によって、ショッピングサイトには運営する会社名と住所、電話番号を明記する必要があります。それらを確認するのも、従来は見分け方として有効でしたが、今は実際の会社名などを表記している偽ショッピングサイトも存在します。『会社情報が正しいから信用できる』とは必ずしもいえません」

では、たどり着いたショッピングサイトが偽物かどうか見分けるにはどうしたらいいのか。渡邊氏は「SAGICHECK」という無料サービスの活用を推奨する。

「SAGICHECK は、Webサイトの信憑性についてインターネット利用者が確認できるWebサービスです。JC3は、収集した偽ショッピングサイトの情報を提供しています。

SAGICHECKにアクセスし、確認したいサイトのURLを入力すると、危険性の有無が確認できます。ただし、判定は完璧ではないので、あくまで判断の参考として考えてください」

企業のブランド毀損リスクはどう回避すべきか

ショッピングサイトが横行する状況は、消費者のみならずECサイトを展開している企業にとっても高リスクだ。渡邊氏は、少なくとも2点警戒すべきだという。

「1つは、会社情報を使われるリスクです。消費者にとっては、アクセスした偽ショッピングサイトに掲載されている情報を本物と認識しますので、『代金を支払ったのに商品が届かない』『全く違う商品だった』となればそこに記載された会社に問い合わせることになります。

そうすると、その会社は身に覚えのないクレームに対応しなくてはならず、一定のリソースを浪費します。加えて、今はSNSで個人の意見が瞬く間に拡散される時代です。悪評が広まってしまえば会社のブランド価値も下がってしまいますし、それを打ち消すための広報対応の手間やコストも必要になってきます」

もう1つは、自社ECサイトが改ざんされるリスクだ。前述のようにSEOポイズニングの手法で、偽ショッピングサイトへの踏み台として利用されるとブランド毀損につながる。

「『そちらの商品が買いたくてアクセスしたら、別のサイトに飛ばされてしまった』といった問い合わせも受けるでしょうし、それが偽ショッピングサイトだと判明すれば『あの会社のサイトに行くと偽ショッピングサイトに飛ばされる』といわれてしまいます」

こうしたリスクにどう備えればいいのか。渡邊氏はすぐできる対策として「検索エンジンで自社のサイト内を検索する」を挙げる。

「自社が発信している情報に身に覚えのないものがヒットしないか、定期的に確認するのは有効な対策の1つです。社名だけでなく、『特価』『激安』といった偽ショッピングサイトが使うであろうキーワードと組み合わせるのも効果的でしょう。

身に覚えのない情報の先にある偽ショッピングサイトの会社情報を確認することができ、これにより広報などの対処が可能です」

改ざんされないようにするためには、Webサイトの構築に使われるWordPressなどのCMS(コンテンツ・マネジメント・システム)に脆弱性がないか確認することが必要だ。

「やはり、セキュリティパッチを適用するなどの基本的なセキュリティ対策を継続的にしっかり行うことが大切です。

CMSをはじめとするソフトウェアに脆弱性が発生した場合、対策により運用するECサイトが正常に機能しなくなる懸念もありますので、検証のための環境を準備することも有効です。緊急などの場合によっては一時的にECサイトの一部機能を停止すべきかどうかといった経営判断も必要になるでしょう」

とはいえ、脆弱性が解消されなければリスクは高止まりになってしまう。ECサイトを停止して売り上げが減るのも問題だが、中長期的なダメージになりかねないブランド毀損も避けなくてはならない。

渡邊氏が指摘するようにセキュリティ対策の基本に立ち返り、チェックの頻度を上げ、経営に影響が出ないよう適切なアップデートを随時しておくことが、偽ショッピングサイト対策としても有効だといえそうだ。

(高橋秀和 : ライター)