偽ショッピングサイト詐欺を回避するための知識とチェックリスト

偽ショッピングサイトとは、正規のショッピングサイトのように見せかけて、実際にはお金や個人情報を騙し取るための偽サイトのことです。偽ショッピングサイトでは、以下のような被害が報告されています。

• 代金を支払っても商品が届かない
• 偽物や粗悪品が届く
• 個人情報を不正に収集される

国内では、楽天市場やAmazon、ZOZOTOWNなどのサイトが模倣され、悪用されている事例があります。海外でも同様の被害が多発しており、2024年5月には中国の犯罪ネットワーク「BogusBazaar」が話題となりました。

参照：The Register

2024年5月、欧州の調査機関により、中国を拠点とする犯罪ネットワーク「BogusBazaar」の存在が明らかになりました。このネットワークは偽ショッピングサイトを大量に作成し、DIORやNIKE、LACOSTE、VERSACEなど、有名ブランドの大幅な割引を謳って消費者を惹きつけていました。

サイトは半自動生成されており、英語、ドイツ語、フランス語、スペイン語、イタリア語など多言語に対応し、世界中の消費者が標的となったのです。

• 仕組み：BogusBazaarネットワークは、WordPressでショッピングサイトを半自動生成するシステムを構築し、有効期限切れのドメインから75,000件以上の偽ショッピングサイトを制作していました。3分の1にあたる22,500件の偽ショッピングサイトは、2024年4月時点でまだ稼働しています。
• 被害の規模：BogusBazaarネットワークによる被害者は、ヨーロッパ、アメリカ、オーストラリアを中心に85万人に上ると推定されています。被害者の半数以上にあたる47万6,000人がデビットカード番号やセキュリティコード（CVV番号）を含むクレジットカード情報を詐取されたということもあり、全体の被害額は3年間でおよそ5,000万ドルになるとされています。その被害の規模から、BogusBazaarの偽サイトによる詐欺は、近年稀に見る国際的な大規模詐欺事件と言えるでしょう。

偽ショッピングサイトでは、消費者を騙すためにさまざまな手口が用いられます。個人情報を狙ったフィッシング詐欺や偽ブランド品の販売、商品の未発送、偽レビューなど、詐欺の手口はさまざまです。

近年ではAI技術の発達により、ディープフェイクを用いた巧妙な広告や商品紹介も登場しています。これらの手口を知り、適切な対策を講じることが、被害を未然に防ぐ上で重要です。

以下は偽ショッピングサイトにおける詐欺の手口と特徴です。少しでも不審な点があれば、そのサイトでの購入は控えるのが賢明でしょう。

• 不適切なSSL証明書の使用：SSL証明書とは、データ通信が暗号化でき、サイトの運営者の実在性を証明するもの。SSL証明書がないサイトは、アドレス欄にロックした鍵のマークが表示されておらず、鍵に斜線の入ったマークや「！」マークがついていることが多い。ただし、鍵マークが表示されていても必ずしも安全とは限らない。
• 本物に似せたURLの使用：サイトのURLの最後に付く「.com」「.co.jp」などのドメインに、有名ブランドのドメインに似せたものを使用し、消費者を惑わせる。
• ぼやけたロゴの使用：ブランドロゴが不鮮明であったり、画質が低かったりしてはっきりと見せないことで、本物だと信じさせる。
• ディープフェイク：AIによる画像・音声生成技術を悪用し、有名人や専門家による偽の広告や商品紹介を作成。真偽の見極めが難しい。
• 非現実的な価格や特典：ブランド品を市場価格からかけ離れた低価格で売り、消費者の購買意欲を煽る。
• 偽の在庫表示やカウントダウンでの購入の促進：購入を迷っている消費者に、偽の在庫表示やカウントダウンで催促する。
• 不自然な支払い方法：決済方法の選択肢が銀行振り込みしかない。前払いさせて、お金を騙し取る。
• 不十分なプライバシーポリシー：サイト内にプライバシーポリシーが存在しない、または内容が不十分である。
• 不適切な返品・交換ポリシー：返品・交換に関するポリシーが明確でない、または消費者に不利な内容となっている。
• アカウント作成の強要：ログイン情報やクレジットカード情報など、個人情報を盗みとるために、購入の際のアカウント作成を必須とする。いわゆるフィッシング詐欺にあたる。
• 商品未発送：代金を受け取った後、商品を発送しない、または全く異なる商品や粗悪品を送りつける詐欺。連絡が取れなくなるケースが多い。
• 偽装レビュー：商品やサービスの信頼性を高めるために、業者が自作自演で高評価のレビューを大量に投稿する。判断を誤らせる危険性がある。

参考：Real examples of fake online stores

偽ショッピングサイトの被害に合わないために、サイト利用時にチェックできるポイントを挙げます。

• URLの確認：サイトのURLに、「.xyz」「 .online」「 .fun」など、一般的でないドメインや不自然な文字列が含まれていないか確認する。スマートフォンでは、アドレス欄を一度タップしてURLを全て表示させるのがおすすめ。
• SSL証明書の確認：サイトを開こうとしたとき「安全でない」などの警告が出ていたら、SSL証明書がないサイトということになる。アドレス欄に鍵マークが表示されているかもチェックする。ただし、警告がないからといって絶対に安全とは限らない。
• プライバシーポリシー・利用規約の有無：サイト上にプライバシーポリシーや利用規約が掲載されているか確認する。内容に不自然な点がある場合や、そもそも存在しない場合は注意が必要。
• 不自然な価格設定やオファー：他のサイトと比較して、あまりにも安すぎる価格設定になっていないか、現実的ではない割引や特典を謳っていないか確認する。
• レビューや評価の信頼：商品のレビューや評価が不自然に高評価に偏っていないか、SNSのフォロワー数や投稿内容に不審な点がないかチェックする。
• 連絡先の確認：会社概要に記載された会社名や所在地などの連絡先情報に不審な点がないか確認する。電話番号の表記が不自然だったり、問い合わせ先がフリーメールだったりする場合は要注意。
• ディープフェイクかどうか確認：有名人を起用した広告や商品紹介動画に不自然さがないか確認。文が不自然だったり、商品の詳細がなかったりする広告は、AIによって生成された偽の広告である可能性が高い。
• 会社概要や特定商取引法の表記が記載されているか確認：会社の事業内容を確認。特定商取引法に基づく表記が掲載されているかもチェックする。ECサイトでは、表記が義務づけられている。

チェック項目を1つひとつ確認し、少しでも怪しい点があれば、そのショッピングサイトでの購入は避けましょう。安全性を高めるために、購入前に電話で問い合わせをしたり、セキュリティ対策ソフトを有効活用したりすることも効果的です。

偽ショッピングサイトの被害に遭ってしまった場合、以下の対処方法を速やかに実行しましょう。

• サイバー犯罪に関する相談窓口の利用：警察庁所管のサイバー犯罪相談窓口に被害の詳細を報告する。
• 国民生活センターへの相談：消費者庁所管の相談窓口である国民生活センターに連絡し、被害に関する相談を行う。全国の消費生活センターなどにも相談可能。
• カード利用の停止：クレジットカード決済した後に詐欺が発覚した場合、すぐにカード会社に連絡してカード利用を停止することで不正利用を防ぐ。
• パスワードなどの変更：偽ショッピングサイトに登録した個人情報が悪用される可能性があるため、登録したパスワードを他でも使っている場合は、速やかに変更する
• 預金保険機構のサイトで情報確認：預金保険機構のサイトで、振り込め詐欺に遭った場合の口座の凍結や被害回復分配金の支払い手続きなどの情報を確認する。詐欺犯の口座番号がわかれば、そこから検索も可能。（参照：振り込め詐欺救済法に基づく公告トップページ ）

上記の対処方法を迅速に行うことで、被害の拡大を防ぎ、お金を取り戻す可能性を高められます。泣き寝入りせず、関係機関に相談し、適切な行動を取りましょう。

NordVPNが提供する脅威対策Proは、脅威対策フィッシング攻撃の統計を行いました。結果、新たに作成された60万のWebサイトで、3,000件のゼロデイフィッシング攻撃に遭ったことが判明しました。ゼロデイフィッシング攻撃とは、プログラムのセキュリティ対策をとる前にフィッシングされることです。GoogleやMicrosoft、Facebook、Amazonなどのブランドを悪用したフィッシングサイトが多数検出されています。

これらのサイトは、ログイン情報や個人情報の入力を促すことで、ユーザーの個人情報を不正に取得しようとしていました。

NordVPNの脅威対策は機械学習を活用し、このようなフィッシングサイトを素早く検出・ブロックすることでユーザーを保護しています。

偽サイトの特徴や巧妙な手口を理解し、URLやSSL証明書、価格設定、レビューなどをチェックすることが重要です。万が一被害に遭ってしまった場合は、速やかに関係機関に相談し、適切な対処を行いましょう。偽ショッピングサイトに惑わされないよう、知識を身につけた上で、オンラインショッピングを楽しみましょう。