こんにちは。フォレンジック調査を専門とするCSIRTメンバーです。最近、私たちの元には「有名ブランドのサイトで買い物したのに商品が届かない」「クレジットカードを不正利用された」といった相談が急増しています。
実は今、中国発とみられる大規模な偽マーケットプレイス詐欺キャンペーンが世界中で展開されており、数千から数万のサイトが稼働中という深刻な状況にあります。
今回は、Silent Push社の調査レポートをもとに、この詐欺の手口を詳しく解説し、個人・企業ができる対策をお伝えします。
偽マーケットプレイス詐欺の実態
メキシコ人ジャーナリストIgnacio Gómez Villaseñor氏のX(旧Twitter)投稿がきっかけで発覚したこの詐欺キャンペーンは、当初はメキシコの「Hot Sale 2025」というショッピングイベントに便乗したスペイン語圏向けの詐欺と考えられていました。
しかし調査が進むにつれて、これがはるかに大規模な国際的詐欺ネットワークの一部であることが判明。英語・スペイン語の両方で展開され、多くの国のユーザーを狙っています。
狙われている有名ブランド一覧
脅威アクターが偽装しているブランドは多岐にわたります:
- 決済サービス:PayPal、Apple Pay、Google Pay
- 高級ブランド:エルメス、マイケル・コース、トミーヒルフィガー
- アパレル:ブルックスブラザーズ、Jos. A. Bank、Wrangler Jeans、ノードストローム
- 家具・家電:Wayfair、REI
- スポーツ用品:テーラーメイド、Guitar Center
- 食品:Omaha Steaks
- 工具:Harbor Freight Tools
まさに「高級腕時計からガレージドアまで」あらゆるジャンルのブランドが狙われています。
詐欺サイトの特徴と手口
1. ドメイン名の巧妙な偽装
実際に確認された偽サイトのドメイン名を見ると、その巧妙さが分かります:
harborfrieght.shop(本物は Harbor Freight Tools)nordstromltems.com(「items」の「i」が小文字の「l」に置換)tommyilfigershop.com(Hilfigerの「h」が抜けている)guitarcentersale.comomahasteaksbox.com
これらのドメインは一見すると正規サイトのように見えますが、よく見るとスペルミスやタイポがあります。
2. サイト構成の粗雑さ
私がフォレンジック調査で確認した偽サイトには、以下のような特徴がありました:
- 商品の不整合:Guitar Centerを装いながら子ども用アクセサリーを販売
- コンテンツの使い回し:同じサイト構成を複数のブランドで流用
- スペルミス多発:ページ内に複数の誤字・脱字
- 価格の異常さ:ブルックスブラザーズなど高級ブランドが異常に安い価格設定
3. 決済システムの悪用
特に注意すべきは、正規のGoogle Pay支払いボタンを実装している偽サイトの存在です。
Google Payは通常、販売者に実際のクレジットカード番号を渡さず、仮想番号を生成するセキュリティ機能があります。しかし詐欺サイトでは、この機能を逆手に取り「カード情報は盗めないが、代金だけ受け取って商品は発送しない」という手口を使っています。
被害事例とフォレンジック調査結果
私たちが対応した実際の被害事例をご紹介します(個人情報は匿名化済み):
ケース1:中小企業経営者のケース
「会社用のオフィス家具をWayfairで購入したつもりが、偽サイトだった。50万円の代金を支払ったが商品が届かず、カード会社から海外での不正利用通知が来た」
フォレンジック調査結果:
アクセスログを解析すると、正規のwayfair.comではなく、wayfair-sale.comにアクセスしていました。このサイトは中国のIPアドレスでホストされ、SSL証明書も無効でした。
ケース2:個人消費者のケース
「エルメスのバッグを格安で購入できるサイトを見つけて注文。クレジットカード情報を入力したが、その後カードが不正利用された」
フォレンジック調査結果:
偽サイトにはフォーム送信時に情報を中国のサーバーに転送するJavaScriptが仕込まれていました。さらに、同じインフラで100以上の類似サイトが稼働していることを確認しました。
中国発詐欺ネットワークの技術的特徴
Silent Push社の調査により、このネットワークが中国発である根拠として以下が挙げられています:
- プライベートな技術的フィンガープリントに中国語の語彙や文字が含まれている
- サーバーインフラの多くが中国のIPアドレス空間にある
- タイムゾーンやアクセスパターンが中国標準時に合致
個人・企業ができる対策
個人向け対策
1. URLの慎重な確認
- 公式サイトのドメイン名を事前に調べておく
- タイポやスペルミスがないか注意深くチェック
- SSL証明書の有効性を確認(ブラウザのアドレスバーの鍵マークをクリック)
2. セキュリティツールの活用
個人でも導入できるアンチウイルスソフト
を使用することで、悪意あるサイトへのアクセスをブロックできます。多くの製品にはフィッシング対策機能が含まれており、リアルタイムでサイトの安全性を判定してくれます。
3. 決済方法の工夫
- 可能な限りクレジットカードの直接入力を避ける
- PayPalやApple Payなどの仲介サービスを利用
- 仮想クレジットカード番号サービスの活用
企業向け対策
1. 従業員教育の強化
業務用の購買でも偽サイトの被害に遭う可能性があります。定期的な研修を実施し、フィッシングサイトの見分け方を教育することが重要です。
2. ネットワークセキュリティの強化
企業ネットワークでは、悪意あるサイトへのアクセスを技術的に制限することが可能です。VPN
を導入することで、社外からのアクセス時も含めて従業員を保護できます。
3. Webサイトの脆弱性対策
自社サイトが偽装の標的にされる可能性もあります。Webサイト脆弱性診断サービス
を定期的に実施し、なりすましサイトの早期発見に努めることが重要です。
今後の展望と注意点
Silent Push社によると、2025年6月時点で数千から数万のサイトが依然として活動を続けています。従来の事後対応的な対策では、この規模の脅威に対処するのは困難とのことです。
また、多くのサイトがホスティング業者により閉鎖されているにも関わらず、新たなサイトが次々と作成されているため、「モグラ叩き」状態が続いています。
将来攻撃指標(IOFA)の重要性
このような大規模詐欺に対抗するには、事後対応ではなく「将来攻撃指標(IOFA:Indicators of Future Attack)」に基づく予防的対策が不可欠です。
IOFAとは、攻撃が実際に発生する前に、その兆候を検知する技術です。Silent Push社のようなセキュリティ企業が提供するインテリジェンスを活用することで、新たな脅威を早期に発見できます。
被害に遭った場合の対処法
もし偽サイトで被害に遭った場合は、以下の手順で対処してください:
- immediate対応
- クレジットカード会社に連絡し、カードを停止
- 不正利用がないかカード明細を確認
- パスワードを変更(同じパスワードを他のサイトでも使用している場合)
- 証拠保全
- 偽サイトのURL、スクリーンショットを保存
- 支払い確認メール等を保管
- ブラウザの履歴を削除しない
- 届出・相談
- 警察のサイバー犯罪相談窓口に連絡
- 消費生活センターに相談
- クレジットカード会社の不正利用補償を申請
まとめ
中国発とみられる偽マーケットプレイス詐欺は、その規模・巧妙さともに従来の詐欺を大きく上回る脅威です。数千から数万のサイトが稼働し、有名ブランドを巧妙に偽装する手口は、一般消費者だけでなく企業の購買担当者にとっても大きなリスクとなっています。
この脅威に対抗するには、個人レベルでの注意深い確認作業に加え、技術的な防御策の導入が不可欠です。特に:
- 信頼できるアンチウイルスソフト
の導入 - 企業ではVPN
による通信の保護
- 自社サイト運営企業はWebサイト脆弱性診断サービス
での定期チェック
これらの対策を組み合わせることで、巧妙化する詐欺から身を守ることができます。
サイバー犯罪は日々進化していますが、適切な知識と対策があれば被害を防ぐことは可能です。この記事が皆さんのセキュリティ向上に少しでもお役に立てれば幸いです。
一次情報または関連リンク
Silent Push Uncovers Chinese Fake Marketplace e-Commerce Phishing Campaign
