テクノロジー

2025.06.13 11:00

このリストに載っているウェブサイトでは絶対に買い物をしてはならない

jozzeppe / Getty Images

jozzeppe / Getty Images

本稿で紹介する脅威は新しいものではないが、依然として危険だ。世界的に人気のブランド製品をお買い得価格で手に入れたいという買い物客を狙う、悪質なドメインが大量に存在すると警告が出ている。警告の対象は主要ウェブブラウザーの利用者のため、非常に多くの人が該当する。

この警告を発したSilent Pushは、攻撃者が準備段階で構築するインフラを事前に特定し、追跡することに重点を置いているという、サイバーセキュリティ企業だ。攻撃が本格化する前に脅威を無力化・防御することを目指している。

大手ブランドに偽装し、4000件を超える不正サイトを展開

Silent Pushは、「巨大な『偽マーケットプレイス』キャンペーン」を突き止めたという。これは「GhostVendors」(幽霊ベンダー)と呼ばれ、「数十の大手ブランドを装ったオンライン広告を使い、数千もの不正サイトで実在の商品を偽装している」。

セキュリティ研究者は4000件を超えるドメインを確認し、「これはソーシャルネットワーク、大手ブランド、広告会社、そして世界中の消費者を標的とする重大な脅威だ」と警告している。例えば攻撃者は、正規のFacebook上で「悪質なFacebook Marketplace広告」を掲示し、買い物客を詐欺サイトへ誘導する。その後、攻撃者は広告キャンペーンを停止し、「Meta Ad Libraryから痕跡を完全に消去する」。

未払い通行料、偽のDMV(陸運局)通知、未配達の荷物、実体のない割引など、最近話題になっているあらゆる攻撃はこの大量ドメイン登録に由来している。多くのドメインは1日ももたず、時には数分で消える。ドメインが検知されればブロックされるが、そのわずかな時間で集中的に詐欺を仕掛ける。そして新たなドメインを棚から取り出して、すぐに再開する。

ウェブブラウザーには、有害な可能性があるサイトを検出する「セーフブラウジング」という保護機能があり、もしアクセスしてしまった場合には悪質サイトの警告を受けることもできるが、多くはブラックリスト方式だ。AIによるリアルタイム検知も進んでいるが、まだ初期段階にすぎない。

そのため、当面は基本的な対策が有効だ。それは、「メッセージ内のリンク経由で買い物をしない」「ブランドには公式チャネルからアクセスする」「そして『うますぎる話』はまさに詐欺であると肝に銘じる」ことである。

Google Chromeで「セーフブラウジング」機能を確認する

(※直接セキュリティ設定を開くには、検索メニューに「chrome://settings/security」と入力する)

(1):Chromeの右上にある縦に3つの点(︙)をクリックしてメニューを開き、「設定」をクリック

(2):「プライバシーとセキュリティ」、「セキュリティ」の順番にクリック

(3):「セーフブラウジング」設定で、「標準保護機能」または「保護強化機能」が選択されていることを確認する。選択されていない場合は、どちらかをクリックする
・標準保護機能:標準で選択済みの機能。ブラックリスト形式で、Googleのサーバーと連携し一定時間ごとに更新する
・保護強化機能:ユーザーが任意で選択する。AIも利用した予防的な保護機能も備えため、セキュリティをより強化できる
・保護なし:非推奨

(4):「安全な接続」設定で「安全でない公開サイトについて警告する」または「安全でない公開サイトと非公開サイトについて警告する」を選択していることを確認する。選択されていない場合は、どちらかをクリックする

悪意ある広告

Silent Push によれば「このキャンペーンは大量にオンライン広告を購入するブランドのなりすましに重点を置いている。模倣されているブランドの多くは広告出稿量が非常に多い大企業だ。一方で、オンライン販売中心の中小ブランドも標的になっている」。

広告が模倣されているブランドは以下のとおり非常に多岐にわたる。

Amazon(アマゾン)、Costco(コストコ)、Bath & Body Works(バス&ボディワークス)、Nordstrom(ノードストローム)、Saks Fifth Avenue(サックス・フィフス・アベニュー)、Lowes(ロウズ)、L.L. Bean(エルエルビーン)、Tommy Bahama(トミーバハマ)、Rolex(ロレックス)、Brooks Running(ブルックス)、Birkenstock(ビルケンシュトック)、Crocs(クロックス)、Skechers(スケッチャーズ)、Total Wine(トータルワイン)、Omaha Steaks、Instacart(インスタカート)、Duluth Trading、Advance Auto Parts、Party City、Dollar General、Tractor Supply、Joann、Big Lots、Orvis(オルビス)、Alo Yoga、On Running、Tom Ford Beauty(トムフォードビューティー)、Rebecca Minkoff、Yankee Candle(ヤンキーキャンドル)、Hoka(ホカ)、Thrive Market(スライブマーケット)、Vionic Shoes(バイオニック)、Rock Bottom Golf、Vuori Clothing(ヴオリ)、Goyard(ゴヤール)、Icebreaker Clothing(アイスブレーカー)、NOBULL Sportswear、Alpha Industries(アルファインダストリーズ)、Volcom(ボルコム)、Kizik Shoes(キジック)、Vessi Shoes(ヴェシー)、Mammut Outdoor Gear(マムート)、Buffalo Games & Puzzles、Ravensburger Puzzles(ラベンスバーガー)、Fast Growing Trees、Gurney’s Seed and Nursery、Vivobarefoot、KaDeWe、Palmetto State Armory(パルメット・ステート・アーモリー)、Natural Life、Luke’s Lobster(ルークスロブスター)、Cousins Maine Lobster、White Oak Pastures、Seven Sons Farm、Arcade1Up Gaming、EGO Power+ Tools、Cobble Hill Puzzles、Popflex、Argos UK、Huk Clothing、44 Farms、Tyner Pond Farm、Pipers Farms、Rebel Sport、The Woobles Crochet、Massimo Dutti(マッシモドゥッティ)、GE Appliances(GEアプライアンス)。

悪意あるウェブサイト

マーケットプレイス悪用の詳細は攻撃の巧妙さを示しているが、結末はいつも同じだ。「類似の詐欺には複数のバリエーションがあるが、最終目的は短期間で現金化することだ。ソーシャルネットワークなどが素早く対処してサイトをブロックするため、攻撃者は大量のドメインを使い回す」。

以下に掲載したリストは、犯行現場で摘発されたドメインの一部であり、網羅的ではないものの参考になる。これら、あるいは類似のサイトでは絶対に買い物をしないこと。

次ページ > 悪意あるサイト一覧(抜粋)

翻訳=酒匂寛

タグ:

advertisement

ForbesBrandVoice

人気記事