オンライン福袋の中身は? 空っぽです

米国時間2022年12月13日に掲載されたフォーティネットブログの抄訳です。

間もなくホリデーシーズンがやってきます。世界の一部の地域（特に北米）において、12月は多くの小売業者がその利益の大半を売り上げる時期にあたります。ホリデーシーズンには贈り物をしたり、欲しかった商品が特売されたりするため、人々は普段よりも出費が多くなりがちです。一方、小売業者、中小企業、個人商店も、在庫を確保するためにより多くの資金を投じます。

影響を受けるプラットフォーム：　該当なし
影響を受けるユーザー：　　　　　オンラインショッピングの利用者
影響：　　　　　　　　　　　　　個人情報（PII）や金銭の損害
深刻度：　　　　　　　　　　　　低

オンライン市場は競争が激しいため、この期間には多くのオンライン小売業者が発送と返品を無料にします。ただし、売り上げが増えると返品や交換も増加します。過去5年間で、オンライン返品の数量は確実に増加しています。オンライン返品は、2020年の10.6%から2021年には16.6%に急増し、全体的な増加額は7,610億ドルにも上りました。

ところが今年は、多くのオンライン小売業者がインフレと減益を理由に無料返品サービスを縮小しました。しかし、このような変化があったとはいえ、実店舗での莫大な販売量を合わせると、返品数はさらに増加することが予想されます。返品物の多くは梱包し直して再販されるのではなく、物流会社に送られます。そして多くの場合、通常よりもはるかに低価格でまとめ売りされます。

中古市場はこのようにして急成長してきました。通常、中古品店では返品物、余剰在庫、傷もの、中古品などを再販していますが、それらは全国の小売業者から、大抵は大幅な割引価格でまとめ買いされた商品です。中古品店は顧客と環境に利益をもたらします。なぜなら返品された商品の多くは、再販されなければ結局は焼却または廃棄処分されるからです。

中古品を扱う新しいサイトには、ホリデーシーズンの掘り出し物を探す買い物客が押し寄せています。そして予想どおり、詐欺師や脅威アクターもこの風潮を抜け目なく利用しています。FortiGuard Labsチームは、中古品や返品物の再販に関連した詐欺が増加していることを確認しました。以下の事例は、購入の目的が自分用、贈り物、あるいは仕事用のいずれであっても、これから始まる買い物シーズンにはサイバーセキュリティへの注意が必要であることを浮き彫りにしています。

Amazon Pallet詐欺 / ミステリーボックス / 返品パレット

返品物や余剰在庫品の再販でよく見られる方法の一つが、内容を伏せて大きな箱やパレットに商品を入れて販売するやり方です。ソーシャルメディアには、iPhoneやコンピュータなどの高価な商品が入ったパレットを開けて大喜びする消費者の動画が溢れています。それらの商品は、数百ドルでオンライン購入されたものです。このような投稿が興味と興奮を掻き立てています。

こうした投稿の多くは詐欺です。非常に大きな関心を集めていることは、ソーシャルメディアで話題になるハッシュタグの多さにも表れていますが、脅威アクターにとっては、何も知らない被害者を騙して利用する好機となります。その中で急増している詐欺の一つがAmazon Pallet詐欺であり、ミステリーボックス、大量返品パレットとも呼ばれています。

以下の例は、我々が最近見つけた有料広告で、Windows 10に組み込まれたデフォルトのMicrosoftスタートページに表示されていました。

左上の広告「Amazon’s unclaimed high-end electronics mystery boxes are being sold at bar（受取人不明で返品されたAmazonの高性能電子機器がミステリーボックスで格安に）[sic]」をクリックすると、Webサイトfundelivereddss[.]comに移動します。

ランディングページには、大きな倉庫の中で茶色い箱がパレットに積み上げられている様子が表示されており、素人目には説得力があるように見えます。

その次にスポット画像（広告表示のために挿入されたWebページ）が表示され、このサイトを訪問してわずか1分後に返品ツールパレットを購入した「コンロー」の住人が紹介されます。

スポット画像をクリックすると、次のページに移動します。

対象とする被害者に、サイズ、数量、価格をはじめ、選択可能な複数のオプションとブランドが提示されます。

危険信号

詐欺サイトで見かける典型的な危険信号は、文法の間違い、誤字、句読点やスペースの誤使用、不揃いなロゴなどです。その原因の多くは、詐欺師が儲けを得るためにできる限り早急にオンラインでサイトを公開しようとしていること、あるいは、脅威アクターが英語のネイティブスピーカーでないことにあります。この例の場合、ページ上部の「Customer Review(40)」が複数形になっておらず、「Review」と括弧の間にスペースがありません。

最初のレビューには、内容がちぐはぐで意味をなしていない箇所もあります。これは、書き手がネイティブスピーカーではない可能性を示しています。（以下のとおり）

It's great to witness his arrival together at this moment. I recommend this store, please don't buy from other stores because I fell down in other places. （今この瞬間、彼の到着を一緒に目撃できて感激です。私はこの店をお勧めします。他の店では買わないでください。私は別の場所で倒れてしまったのですから。。。）

この写真をフォレンジック分析した結果、米国に本拠を置く電気機器業者のツイッターから入手したものであることがわかりました。

もう一つの手掛かりは、ドメインfundelivereddss[.]comが10月29日に登録されたばかりだということです。登録されて間もないドメインは、詐欺の特徴を示している、つまり、祝祭日やワールドカップなどのイベントに合わせて急に現れては消えてしまうことがよくあります。さらに、脅威アクターは自分たちの新しいサイトが検索エンジンで低くランキングされることを承知しているため、ソーシャルメディアのプロモーションを使ってそれらのサイトを被害者の前面に表示します。

その他の手掛かり

我々FortiGurad Labsは、プライバシーポリシーのページでさらに別の手掛かりを見つけました。このページにはherbertm[.]shopへの参照が含まれています。

これは、このテンプレートが同一の脅威アクターによって再利用されている可能性を示唆しています。この仮説を検証するため、私たちはherbertm[.]shopにアクセスして内容を確認しました。このページはファッション用品を販売しているようです。ただし、スポット画像もフロート表示されており、これがAmazon返品パレットらしき商品を注文する最後のチャンスのように見えます。

リンクを表示すると、次のようにAmazonとeBayに言及している部分がありました。

Amazon and eBay backlog, picking, liquidation（AmazonおよびeBay在庫一掃セール）【Temporary sale（期間限定）】（herbertm[.]shop）

https://www.herbertm[.]shop/products/products-amazon-and-ebay-backlog-picking-liquidation-temporary-sale?sales_pop=true&spm=..index.0.1

残念ながら、このリンクをクリックしたところ、そのページはもはや存在していませんでした。したがって現時点では、これがもう一つのパレット詐欺であるという証拠は得られていません。しかしながら、herbertm[.]shopとfundelivereddss[.]comの両サイトで使用されているパターンと、プライバシーポリシーで2つのサイトが相互参照されている点は、これらのサイトが同一の犯罪者によって開設されたことを示しています。そこで、私たちは調査を続けることにしました。Googleのキャッシュからは何の手掛かりも得られませんでしたが、camadviser.comを調べてみると、herbertm[.]shopの被害者からの否定的なレビューが見つかり、両サイトのつながりが明らかになりました。

herbertm[.]shop詐欺サイトの被害者は、単体の商品とともに大型のパレットを注文したようです。被害者の苦情からは、何人かがおとり販売を持ちかけられたこともうかがえます。たとえば、特定の商品を注文した数名に、それとは無関係の安価な商品が発送されました。パレット詐欺に関するコメントによると、ある被害者にはパレットではなくビデオゲームのコントローラだけが届き、89.98ドルでパレットを2つ注文した別の被害者には何も届きませんでした。

結論

本物らしく見えるWebサイトの作成は、かつてないほど簡単になっています。多くのECプラットフォームには、デザインテンプレート、ショッピングカート、支払いゲートウェイなどが事前に設定されています。そのため、サイトは文字どおりあっという間にオンラインで公開することができます。小売業者にはWebサイトの開発、支払いゲートウェイの拡張機能、ショッピングカートの設計やWebサイトへの組み込みなどに関する知識が求められましたが、そのような障壁は取り払われました。クレジットカードを取り扱う銀行との提携さえ、請求処理のサードパーティサービスに置き換えられた結果、事業主と詐欺師のどちらにとってもプロセスが簡略化されています。

オンラインショッピングでの注意点：

オンラインで買い物をする際には、確認すべき点がいくつかあります。買い物をしているサイトがあまり知られていないブランドの場合は、特に注意が必要です。

ドメインの存続期間：ドメインの存続期間が数ヵ月未満の場合、それが詐欺サイトである可能性が非常に高くなります。多くの検索エンジンは新しいサイトに不利に働き、それらのサイトを低くランク付けします。つまり、そのサイトに行きついたということは、何らかのフィッシング詐欺が介在している可能性があります。歴史の長いサイトほど信頼できる企業が運営していることが多く、詐欺である可能性は（ドメインが失効していない限り）低くなります。また、サイトの運営を続けるには投資が必要であることから、そうしたサイトはランキングが高くなり、商品をオンラインで検索するとそれらのサイトが最初に表示されます。

ソーシャルメディアでの宣伝や有料広告：これも正体を見破る決め手になります。大手のソーシャルメディアプラットフォームや検索エンジンで表示されているからといって、その広告が正当なものとは限りません。多くの場合、Webページでの広告はサードパーティによって管理されています。このような仕組みに加えて、対象者に合わせて厳選されたハッシュタグやキーワードが信頼感を醸成し、脅威アクターが被害者に接触するのを可能にしています。サイトが新しい場合、この方法によって被害者への売り込みもかなり容易になります。

奇妙な宣伝文句：「これは詐欺ではありません!」 「後悔はさせません!」 このような文言は、被害者にFOMO（Fear Of Missing Out：取り残される不安、恐れ）、すなわち見逃してしまうことへの不安を植え付けるための心理作戦です。知名度の低い販売者から商品を購入するときは、自分なりのデューデリジェンス（当然の注意義務）を実行してください。

文法的な問題：これはわかりやすい危険信号です。事業継続の意思があるサイトをはじめ、正当なサイトではコピーエディターを採用し、正しい文法、句読点、スペルなどをチェックしています。常にそうとは限りませんが（ミスは起こるものです）、Web広告での著しい文法の間違いは、大抵の場合、それがネイティブスピーカー以外の人物によって作成されたことを示しています。これは、さらなる調査を必要とする危険信号です。

常識外れの低価格：異常に低い価格も、しばしば要注意のサインとなります。Amazonのような販売業者が、数千ドルの価値がある高級品をその10%に満たない価格で売り払うことなどあり得るでしょうか? 高額商品が売れ残って返品されることはありますが、非常にまれです。さらに、図6の掲載内容とは異なり、そうした返品物がブランド別に分類されることは通常ありません。ブランドはランダムに同梱されることが多く、商品はさまざまな状態で返品されます。

フォーティネットのソリューション

このブログで取り上げたすべてのWebサイトは、FortiGuard Webフィルタリングクライアントによってブロックされます。

フォーティネットのWebフィルタリングには、以下の2つのフィルタリングカテゴリが含まれており、新しく作成されたWebページに対する防御にお使いいただけます。

-      新規登録されたドメイン            ごく最近登録されたドメイン

-       新たに観測されたドメイン        新たに設定または運営が開始されたが、

必ずしも新規登録されたものではないドメイン        

これらのサイトのブロックを有効にすることで、知名度が低い、またはまったくないサイトによる搾取を防止することができます。

詳しくは、フォーティネットのFortiGuard Labs脅威リサーチ / グローバルインテリジェンス部門、およびFortiGuardのAIを活用したセキュリティサービスのポートフォリオを参照してください。