■「見分けるのは非常に難しい」専門家が警鐘
クリスマスプレゼントや年末の買い物でネットショッピングの利用が増えるこの時期、偽ショッピングサイトによる詐欺被害に遭う危険性が高まっている。
サイバー犯罪の専門家への取材から、その巧妙な手口と対策を探った。
偽サイトを見分けるポイントとして、URLの確認、実在する住所や連絡先の記載、極端に安い価格、銀行振り込みのみの支払い方法、不自然な日本語などが挙げられてきた。
しかし、トレンドマイクロの詐欺対策チーフアナリスト・本野賢一郎さんは「正規サイトの内容をコピーしたり、実在する住所を記載したりしているため、これを見て大丈夫というのは違う時代になっている」と指摘する。
スマートフォンではブラウザの表示領域が小さく、URLの前半部分しか見えないことも多い。
「大手ECサイトの名前が表示されていても、後ろの方まで見ると実は違う文字が続いていたりする」という。
■検索結果の上位にも偽サイトが…「売り切れ商品がある」にも要注意
検索エンジンで商品名を検索した際、上位に表示されるサイトが安全とは限らない。
攻撃者は「SEOポイズニング攻撃」という手法を使い、偽サイトを検索上位に表示させている。
その仕組みは2段階になっている。
まず、美容室やクリニックなど長年運営されてきた正規サイトが改ざんされ、偽ショッピングサイトへの入り口となる。
検索エンジンはこれらを過去の履歴から安全なサイトと認識しているため、検索上位に表示してしまう。
クリックすると本物の偽ショッピングサイトに転送される。
トレンドマイクロの調査では、改ざんサイトは約1万件、偽ショッピングサイトは約10万件前後が常に存在しているという。
特に危険なのは、他のショップでは売り切れている商品が偽サイトで販売されているケースである。
攻撃者は大手ECサイトやフリマアプリなどに掲載されている商品画像やタイトルをそのまま流用。
「どうしても欲しい」という消費者心理につけ込む。
「大手の公式ショップから買いましょうと言っても、ないからそこで買おうとしている。響かない可能性がある」と専門家は話す。
■ AIで偽サイト作成の難易度が低下… 商品が届かなくても終わりではない「返金詐欺」も要注意
AIの普及により、攻撃者側の難易度は大きく下がった。
商品画像やタイトルの収集、日本語の修正などがAIで簡単にできるようになり、日本人でなくても本物そっくりの偽サイトを作成できる。
「攻撃者の方が断然有利」だという。
「これをやれば大丈夫というのは正直ない」と本野さんは語る。
オンライン取引にはリスクがあることを前提に、以下の対策を組み合わせることが重要である。
- よく使うショッピングサイトを決め、公式アプリやブックマークからアクセスする
- 口コミや評判を検索で確認する
- セキュリティソフトを使用する
- 怪しいと感じたらショップ名と「詐欺」で検索してみる
また、偽サイトで一度被害に遭うと、次の攻撃に利用される。
「商品が切れたので返金する」とQRコードを送ってくるケースがあるが、これは返金処理ではなく送金処理のQRコードである可能性がある。
金額を入力すると、返金されるどころか再び送金してしまう。
「一か八かで買っちゃえというのは危険。そのままリストに載ってしまう」と警告する。
クリスマスや年末年始の買い物シーズン、少しでも不安を感じたら購入を思いとどまることが最大の防御となる。
