脅威リサーチ

ブラックフライデーと偽ECサイトの急増

投稿者 Val Saengphaibul | 2021年11月26日

FortiGuard Labs Threat Research Report

ブラックフライデーとサイバーマンデーにより、ホリデーショッピングシーズンの幕開けです。実際のところ、小売販売の30%はブラックフライデーからクリスマスまでの間で占められています。また、サイバーマンデーの出現以来、実店舗やeコマース店舗は共に、このショッピング「ホリデー」となる週末に年間収益の大部分を生み出しています。これにより、収益を回復し、目標販売数を達成する小売企業も少なくありません。

こうしたイベントが近づく中、FortiGuard Labsでは、本物のECサイトに似せた偽Webサイトなどの詐欺の増加を確認しています。「似せた」と言うのは、素人目には安全に見えるからです。しかし、もし注意を払わなければ、本物だと思った買い物で支払金が(場合によっては支払情報も)盗まれる可能性があります。偽ECサイトは、瞬く間に消費者に対する最新の脅威になりつつあります。また、潜在的な購入者をおびき寄せるため、対象商品の幅も広がっています。

先日遭遇したサイトは、世界最大の企業や各商標の見た目を活用して、被害者にサイトで購入させたり、被害者をおびき寄せたりする本物の詐欺でした。これらのサイトは、商標やIP(知的財産)の所有者と一切関わりがありません。しかし、ある程度見分けがつきます。というのは、同じテンプレートが繰り返し使用される、いわばモグラたたきのデジタルゲームだからです(つまり、あるサイトが閉鎖されると、すぐに別のサイトが現れるということ)。

有名ブランドで確認されているのは次のとおりです:

  • Blink(Amazon)
  • Oculus(Facebook)

その他、侵害された有名なブランド名は次のとおりです:

  • Coleman(キャンプ用品)
  • Ninja(家電製品)
  • Nu Wave(家電製品)
  • Ryobi(電動工具)
  • Makita(電動工具)

また、現在はテイクダウンされたものも確認しました:

  • Keurig
  • Nespresso

共通のフレームワーク

これまでに確認したWebサイトには、次のような共通の特徴があります。

  • ドメイン名の登録が数日から数ヵ月の間だけである
  • すべてのサイトが同じ登録機関で登録されている
  • 「.TOP」や「.SHOP」のトップレベルドメインが使用されている(「.com」も一般的です)
  • 盗用画像が使用されている
  • 文章に文法ミスや不整合が多く見られる
  • ソーシャルメディアボタンでどこにも移動しない、または移動先のアカウントが存在しないか削除されている
  •  (犯罪者の) 使っているウェブホスティングプロバイダーは、コンテンツデリバリネットワーク(CDN)を利用して、(追跡できないIPアドレスを介して)匿名性を保っています

Milwauketools.shop(2021年10月21日登録)

Milwaukee Toolsは、米国外に拠点を有する世界的に定評のある有名な工具メーカーです。Milwaukee Tools製品は、一般的にネットや店舗で販売されています。最近登録されたオンラインサイト「milwauketools[.]shop」をたまたま見つけたのですが、一見したところ、本格的なeコマース小売業のようでした。

図1:milwauketools.shop

(ドメイン名のスペルミス以外に)真っ先に目についたのは、価格が非常に安いことで、「2696-26 M18 LITHIUM-ION CORDLESS 6-TOOL COMBO KIT」が99米ドルになっています。

製造中止となったモデルやラインを除いて、このような大幅な価格の値下げ(このキットの一般的な販売価格は659米ドル)は、典型的な詐欺の特徴です。しかし、カウントダウンタイマーを使った時間制限オファーやサイトの本格的な見た目で、素人目には、衝動買い客の興味を引きそうに見えます。それこそが、このサイトの背後にいる詐欺犯の思惑なのです。衝動買い客が詐欺被害の注意を払わないところを狙っているのです。

図2:milwauketools.shopで販売されているコンビネーションキット

危険信号

Webサイトにある「About US」と「Our Culture」のセクションは、英語力のある人が書いているようですが(本物のサイトから盗用している可能性もあります)、「milwauketools」(図3)のように文字が連なっています。小さな誤りですが、これにより、下記スクリーンショットの商標ロゴの綴りが正しくても、公式なMilwaukee Toolsの組織とは関係がないことがわかります。これは、このサイトの作成時に詐欺犯がテンプレートを使用していることを示しています。

図3:「About us」のページでサイトを偽装

もう一つの危険信号は、ドメインが21日に作成されていることです。このブログを書いている時点で、5日しか経っていません。

ショッピングカートのソースコードを見ると、「刷新按钮」という文字列が確認できます。これは「更新ボタン」と訳されます。これは、このサイトの背後にいるグループ元を示しているか、ショッピングカートが別の場所から転用されたことを示している可能性があります。

図4:刷新按钮を含むHTMLソース

実際の企業のWebサイト(milwaukeetool.com)にアクセスしてみると、多くの場合、主要ブランドでは直接販売が行われていないことが明らかになっています:

図5:Milwaukeetool.comの公式Webサイト。製品の直接販売は行っていません。

Bing.comでショッピング検索すると、先述の「2696-26 M18 LITHIUM-ION CORDLESS 6-TOOL COMBO KIT」の公式価格が613米ドルであることが明らかになりました。

図6:Microsoft Bing検索の「2696-26 M18 LITHIUM-ION CORDLESS 6-TOOL COMBO KIT」

さらなる精査

主要な検索エンジンにて、OSINT(オープンソースインテリジェンス)検索を使用してさらに詳しく調べたところ、Milwauketools.shopと同じテンプレートとショッピングカートを使用しているオンラインショッピングサイトが19個以上見つかりました。これらのサイトはすべて、大規模詐欺の氷山の一角であると言えます。これらの登録機関がすべて同じだったことが、その裏付けとなっています。調査結果には、Oculus(Facebook)、Blink (Amazon)などの販売サイトが含まれていました。

Oculusのテンプレート:

図7:Oculusのテンプレートは、洗練された本格的な外観です。

しかし、よく見てみると、Oculus Quest 2でMilwauketools.shopサイトと類似したテンプレートが使用されていることがわかります。また、同じカウントダウンタイマーと時間制限のオファーが含まれており、併せて699米ドルのメーカー希望小売価格対して99米ドルの低価格を謳っています。

Blinkのテンプレート:

Blinkのテンプレートも同じく本格的な外観です:

そしてやはり、Blinkのテンプレートも信憑性があるように見えます。

しかし、注意深く見てみると、同じカウントダウンタイマーと時間制限オファーで、379米ドルの希望小売価格に対して99米ドルを謳っています。

これらの類似箇所が、確認されたすべてのサイトで使い回されていることに気付けることが重要です。

 

その他の定評のあるブランド

すべて同じ系統

最後に、これらの各サイトの「About Us」セクションでは同じ言い回しが使われているだけでなく、同じような型でテンプレート化されています。MilwaukeTools.shopのページと異なっているとしても、わずかな違いです。

アセスメント

こうした詐欺のドメインはそれぞれ、平均して数ヵ月前の作成で、最も古い書き込み(Intexpool-us.com)は5ヵ月以上前になります。

下記スクリーンショットは、FortiGuard Labsが見つけた他の偽販売サイトのドメイン、類似の作成日、共通の登録機関とCDN利用有無、共通のテンプレートの使用を一覧化したものです。

質問と回答

なぜこれが可能なのですか? 構築したWebサイトがテイクダウンされるのであれば、構築は時間の無駄ではないのですか?

Webサイトとeコマースソフトウェアは、この10年間で大きく進化してきました。コンテンツ管理システム(CMS)の利用が普及し、CMSやショッピングカートがWebホストのコンテンツデリバリネットワーク(CDN)にバンドルされることが多くなり、これにより、詐欺犯も記録的な勢いでECサイトを展開できるようになりました。

CDNとは何ですか?

本来CDNは、世界中からのリクエストに対するWebサイトコンテンツの高速かつ効率的な配信を実現するものです。これは、さまざまな地理的位置にWebサイトのローカルキャッシュを保存しておくことによって行われるものです。そして、サーバーのネットワークをリンクさせることで、コンテンツを可能な限り高速かつ低コストで配信することが可能になります。CDNプロバイダーは、さまざまなインターネットプロバイダ間のインターネットエクスチェンジポイント(IXP)にサーバーを配置することで、Webサイト訪問者から地理的に近いコンテンツを配信できるようになるので、訪問者にとっても、ページの読み込み時間が短縮されます。

CDNはかつて大企業の領域でした。しかし、CDNの料金が下がったことから、ショッピングカートを提供する多くのWebホスティングプロバイダーも、CDNサービスを提供するようになりました。また、発信元IPアドレスを非表示にすることもできるため(良くも悪くも複数サイトが同じIPアドレスを共有することがあるため)、サイバー犯罪者にとっては利点が増えることにもなりました。これにより特定が困難になるだけでなく、詐欺犯に更なる匿名性をもたらすことにもなります。

ユーザーはどのようにしてこれらのサイトに出会ってしまうのですか?

ユーザーは、検索エンジンで簡単なキーワード検索をして見つけるのが一般的です。検索する特定の製品を単純に入力するだけで、その製品がショッピングタブに表示されるか、キーワードの配置によって宣伝されます。その他の市場ルートとしては、ソーシャルメディアのプロモーションが挙げられます。

自身や会社が所有している知的財産は侵害されているのでしょうか? どうすればよいでしょうか?

ご自身の顧問弁護士に相談します(予算がある、または社内弁護士がいる場合)。それ以外に行動を起こすには、登録機関に相談する必要があります。WHOISレコードの匿名性と、CDNの使用による詐欺犯の実IPアドレスの匿名性により、問題のドメインの背後に誰がいるのか、何があるのかを特定することがきわめて困難になる場合があります。WHOISレコードに記載されている登録機関に連絡するのが最善策です。定評のある登録機関には、多くの場合、利用規約に違反するドメインの悪用に関する問合せフォームがあります。

これらの脅威アクターが誰なのかわかるのでしょうか?

残念ながら、わかりません。サイトのドメイン登録機関やCDNの使用により高度な匿名性が維持されているため、こうした詐欺犯が実際に誰なのか、単独犯なのか、大規模な犯罪グループの一部なのかはわかりません。ただし、同じテンプレートや手口を用いていることから、1つのグループによる仕業である可能性が高くなります。しかし単純に、このテンプレートが複数の個人や詐欺グループによって使い回されている可能性もあります。

注意事項

適切な精査を行い、フォントの不一致、色の不統一、言語用法の変化、価格の違い、さまざまなテキストでの説明など、Webサイトの不整合を綿密に調査してください。

WHOISレコードをチェックして、ドメインが存在している期間を確認してください。

誤字や文法を確認してください(ほとんどの企業にはコピーエディターがいるはずです)。

購入する前に、偽装の可能性があると思われる会社にEメールで問い合わせてください。

商品があまりに低価格な場合は、衝動的に購入しないでください。古くからの格言のように、「うまい話には、裏がある」です。

落ち着いてください。詐欺の被害に遭ったと思われる場合は、すぐにクレジットカード会社に連絡して、詐欺の可能性を知らせてください。

偽のeコマースの拡散に関する結論

インターネットの発達に伴い、ソフトウェアも発達します。その結果、ECサイトにおいてもプロと個人のギャップがなくなりつつあります。偽造Webサイト詐欺の一部として利用可能な(追跡もできない)ショッピングカートを構築して展開する能力は、過去10年以上にわたり、Web開発者の専門知識に委ねられていた分野でしたが、現在は、CMSに関する実用的な知識があれば誰でも簡単に設計できるようになりました。これにより、詳しく調べないと詐欺サイトを見つけるのが難しくなっています。実際、技術的な知識が中程度の人は、特に実証済みのテンプレートを使用すれば、数時間で本格的な外観のECサイトをネット上で獲得できます。

ユーザーは購入を行う際、馴染みの無いWebサイトに対しては慎重に確認するように強く警告されています。

著作権侵害を受けている商標 / 知的財産の所有者に対して、FortiGuard Labsは可能な限り、サービス通知にて手を差し伸べています。

フォーティネットのソリューション

これらの不正なサイトに関連付けられているすべての URLが、Webフィルタリングクライアントに追加されています。