｢偽ショッピングサイト｣に誘導される悪質な手口 消費者もECサイトを運営する企業も警戒すべき

「Webサイトの脆弱性を突いて、SEOマルウェアと呼ばれる検索結果を不正に操作するプログラムを仕込みます。そうやって上位に表示されたWebサイトのドメイン名は『○○○.jp』となっていたとします。

しかし、『○○○.jp』のページは改ざんされ、悪用されてしまったサイトで、いわば踏み台。そこにアクセスすると偽ショッピングサイトへ自動的に転送され、ドメイン名も『△△△.xyz』などに変化します」

（出所）一般財団法人日本サイバー犯罪対策センター（JC3）

そのサイトにアクセスして問題ないか、ドメイン名やURLを確認する人は多いだろう。しかし、検索エンジンの検索結果のみで判断するのは危険だということがわかる。怖いのは、いったん大丈夫と判断してしまったら、再度の確認はなかなかしないことだ。

そうした心理の隙を突く手口が、2024年上半期だけで1万7000件以上の通報件数を数える偽ショッピングサイトを横行させているといえるだろう。

AIや翻訳の進化で「おかしな日本語」は激減

しかも、直近では巧妙化がさらに進み、「従来の見分け方」が通用しなくなってきている。

渡邊 泰司（わたなべ たいじ）／一般財団法人日本サイバー犯罪対策センター（JC3）業務統括部長。警察庁技官を拝命し、デジタルフォレンジックやインシデントレスポンスなど情報技術の解析に関する業務に長く従事。また、民間団体との連携や海外における調査研究などを経て、2024年3月から現職。現在は、会員企業や警察庁との連携強化、国際連携の推進等の業務に従事
（写真：本人提供）

「少し前は、日本語が不自然であることや、ドメイン名が通常のショッピングサイトでは使われないなどの傾向がありました。しかし今は、AIが進化し翻訳の精度が上がったこと、ドメイン名が一般的なものに変わってきたことで、そうした一見して変だと感じられる偽ショッピングサイトが減ってきています」

「おかしな日本語」と「ドメイン名の確認」は、警視庁のサイトでも「偽ショッピングサイトの例」として紹介されている。

もちろん、それが偽ショッピングサイトを見分けるポイントとして有効なのは変わらないが、それを判断基準にすると「日本語がスムーズだから（ドメイン名が特徴的でないから）問題ない」となってしまうおそれがあるということだ。

「特定商取引法によって、ショッピングサイトには運営する会社名と住所、電話番号を明記する必要があります。それらを確認するのも、従来は見分け方として有効でしたが、今は実際の会社名などを表記している偽ショッピングサイトも存在します。『会社情報が正しいから信用できる』とは必ずしもいえません」

では、たどり着いたショッピングサイトが偽物かどうか見分けるにはどうしたらいいのか。渡邊氏は「SAGICHECK」という無料サービスの活用を推奨する。