年末に向かって気をつけたい偽ショッピングサイト

著作者：rawpixel.com／出典：Freepik

どうしてそんなに安いのか、考えてみよう

　2022年も、そろそろ年末を迎える。ホリデーシーズンなどを控え、「年末商戦」という言葉もあるほど、この時期は買い物が賑わう時期。ネットでの買い物が当たり前になった現代では、ECサイトでもセールを実施することが多い。

　もっとも、この時期に乗じて、消費者をあざむこうとするサイバー犯罪も少なくない。たとえば、フィッシング詐欺はその代表格といえる。

　とくに、小売業者や配送業者を装ったメールやSMSなどには注意が必要。「ホリデー特価」や「出荷通知」などと称したメッセージを送って、個人情報を盗むための不正サイトに消費者を誘導したり、マルウェアにつながるリンクをクリックさせたりしようとするフィッシング詐欺は多い。

　セールが多い期間ということもあり、ありえないような低価格を疑わない油断も重なって、詐欺であることに気づかず、ついURLをクリック／タップしてしまいやすい。

　メールで送られてきたならメールアドレスを、サイトにアクセスをうながされたのならウェブアドレスを、正規のものであるかどうか確認したい。また、よくアクセスするサイトは、SMSなどのリンクからではなく、ブックマークや公式アプリからアクセスすることを心がけよう。

　また、多種多様な商品を販売しているように見せて粗悪品を販売したり、ブランドやメーカーが運営しているようなサイトを装ったりする、偽ショッピングサイトもある。これらは、買い物をしようとして入力した個人情報を盗み取ることなどが目的で運営されていることが多い。

　検索エンジンで商品名などを入力して検索した場合に、検索結果の上位にも、これらの偽サイトへ誘導するサイトが表示される場合がある。検索結果の上位に不正なサイトのページを表示させる、「SEOポイズニング」という手法を用いているからだ。

　偽のショッピングサイトは、価格が不自然に安い、支払い方法が銀行振込に限定されている、URLのドメイン名が「.xyz」「.top」などを使用していることが多いなど、正規サイトとは異なる点が多い。その点にも注意しよう。

　日本サイバー犯罪対策センター（JC3）も、偽ショッピングサイトに注意をうながすページを作っている（偽ショッピングサイトに注意 | トピックス | 脅威情報 | 一般財団法人日本サイバー犯罪対策センター（JC3））。こういったものにも目を通しておきたい。

　年末のセール期間は、低価格やキャンペーンの扇情的な文面などに踊らされず、正規サイト、あるいは公式アプリから購入することが大切だ。

「外出時のネットショッピング」にも注意

　偽ショッピングサイト対策として、他にできることはなんだろうか。まず、信頼できるセキュリティソフトをスマートフォンやPCに導入することが肝心だ。

　安価に商品を購入できるとうたったり、公式アプリに似せたりした、悪質なショッピングアプリもあるので気をつけたい。ECサイトなどには「公式のURL、あるいは公式のアプリからアクセスする」ことが鉄則だ。

　あわせて、外出して買い物に行く際は、感染症対策はもちろんのこと、Wi-Fiスポットのセキュリティに気をつけたい。店舗に実物がなかったり、「もっと安い店はないだろうか」と検索したりなどして、外出先でECサイトなどから商品を購入することもあるだろう。その際、Wi-Fiスポットを利用する際には要注意。

　Wi-Fiスポットはパスワード（暗号化キー）の入力などが必要なのが普通だが、クレジットカード情報などを含む個人情報を盗み取る目的で、意図的にセキュリティをかけずに解放しているスポットがある。

　暗号化キーが設定されていない、あるいはまったく同じSSIDが複数存在する無料Wi-Fiスポットは利用しないほうがよい。

　また、VPN（Virtual Private Network）を使って、公衆Wi-Fiネットワーク上のデータのセキュリティと暗号化を強化するのもいいだろう。

　たとえばマカフィーでは、スイート製品「マカフィー トータルプロテクション」経由でVPN機能「セキュアVPN」が利用可能で、同機能は「マカフィーセキュリティ」（Android版、iOS版）でも有償で提供されている。同機能は、スイート製品「マカフィー リブセーフ」にもそなわっているほか、VPNサービスに特化した「マカフィー セーフコネクト」という製品もある。

　今回は、McAfee Blogの「ブラック フライデーやサイバー マンデーのショッピング詐欺を見分ける方法」を紹介しよう。（せきゅラボ）

※以下はMcAfee Blogからの転載となります。

ブラック フライデーやサイバー マンデーのショッピング詐欺を見分ける方法：McAfee Blog

ブラック フライデーやサイバー マンデーのような大規模なホリデー セールの季節がやってきました。セールを心待ちにしているのは私たちだけではありません。ハッカーも同じです。オンラインでお得な情報を求めて、多くの人が大小のショップサイトに押し寄せるとき、ハッカーによるショッピング詐欺の危険が待ち構えています。

サイバー犯罪の注意すべき側面の1つとして、人的要因があります。ハッカーは常に私たちの感情、不安、誤った信頼感を悪用しています。ホリデー シーズン中でも、オンラインの環境には何も変わりはありません。ご存知のように、この時期は流行りの入手困難なギフトを探さなくてはいけないというプレッシャーもあり、ストレスを感じる場合があります。詐欺師もその点をよく理解しています。ホリデーシーズンが終わりに向かうにつれ、焦りが出てくるときに攻撃を仕掛けてきます。

オンライン ショッピング詐欺を見分けるための5つの方法

お得な情報を見つける方法はすでにご存知かと思いますが、今回はあなたとご家族がオンライン ショッピング詐欺を見分ける方法をご紹介します。ショッピング シーズンに、自らの資産を安全に守りましょう。

1) 実在する小売業者や配送業者を装った電子メールの添付ファイル

ハッカーがよく使用する詐欺の手口には、電子メールの添付ファイルを介してマルウェアを侵入させるというものがあります。ホリデー セール中は、キャンペーンに関する電子メールや出荷通知を装ってマルウェアが送信されることがよくあります。小売業者や配送業者が、キャンペーン、プロモーション コード、追跡番号などを添付ファイルで送信することはありません。そういった情報は、電子メールの本文に明確に記載されています。不用意に添付ファイルを開かないようにご注意ください。

2) タイポスクワッティングによる詐欺

従来の詐欺行為の傾向は、実在する企業や小売業者の正規の電子メール アドレスに極めてそっくりな偽の電子メール アドレスや URL を「タイポスクワッティング」することです。「タイポスクワッティング」はフィッシング詐欺メールに表示されることが多く、お得な情報に誘導されるのではなく、実際には詐欺サイトにリンクさせ、ログイン認証情報やお支払い情報を盗み出したり、そのような情報を使用して注文しようとした場合には資産さえも盗み出す可能性があります。このような詐欺は、小売業者のサイトに直接アクセスすることで回避することができます。電子メール、テキスト メッセージ、ダイレクト メッセージなどにより送信されるリンクには疑いの目を持つようにしてください。ご自身で正しい電子メール アドレスを手動で入力してサイトにアクセスし、そのサイトでお得な情報を探すことをお勧めします。

3) 偽のキャンペーンや偽造サイト

タイポスクワッティングの手口を使用した類似の詐欺行為に、信用できる小売業者またはブランドが運営しているように見える本物そっくりなサイトを装うものがあります。これは実際のサイトではありません。このようなサイトは、特別なキャンペーンや人気のホリデー商品のお得なキャンペーンなどを宣伝する場合があります。しかし、このようなサイトは、サイバー犯罪者が個人情報や財務情報を収集するための1 つの手段です。一般的にこのようなサイトは、ソーシャル メディア、電子メール、その他のメッセージング プラットフォームを使用して拡散されます。繰り返しになりますが、「本物そっくり」の URL は、詐欺業者による明らかな兆候であるため、小売業者のサイトに直接アクセスするようにしてください。また、包括的なオンライン セキュリティ対策ソフトウェアにより、ブラウザーによる不審なサイトの読み込みをブロックし、検索結果に不審なサイトを警告することができます。

4) 偽造ショッピング アプリ

高度な偽造アプリは本物のように見え、簡単に見分けることができない場合もあります。偽造ショッピング アプリを回避するための 1 つの手段としては、小売業者の本サイトにアクセスすることです。小売業者の Web サイトにアクセスし、その Web サイトからアプリへのリンクを探してください。その上で、Google Play や Apple の App Store などの正規のアプリ ストアを利用しましょう。いずれも、悪意のあるアプリがストアに表示されないようにするための対策が講じられています。ただし、一部のアプリは検出される前に侵入する場合があります。アプリの説明で発行者名を探して正規のものであるかを確認するようにしてください。偽のアプリでは、探していた小売業者に類似している名前でも、どこかが異なります。偽物の兆候には他にもタイプミス、粗悪な文法、見栄えの悪いデザインなどがあります。

5) 「あまりに好条件な」キャンペーン

ホリデーショッピングの核となるのは希少性です。期間限定の特別なキャンペーン、入手困難な人気のシーズン商品、このシーズン期間中に購入するためにかける時間などです。詐欺師にとっては格好のチャンスです。ホリデー シーズン中、詐欺師はその希少性や皆さんが置かれている状況を悪用するために、キャンペーンやメッセージを送付します。「あまりに好条件な」キャンペーンを検索すると、偽のなりすましサイトがあがってくる場合があります。価格設定、入手可能性、または納期がすべてあまりに好条件に感じる場合、個人情報とアカウント情報を盗み出すように仕組まれた詐欺である可能性があります。ここで注意を促した情報を念頭に置いて、十分注意したうえでクリックしてください。製品や小売業者について不明な場合は、信頼できる Web サイトのレビューを読んで、実際のものかどうかを確認するようにしてください。

5.オンライン ショッピングのための優れたヒント

詐欺を見つけることとは別に、このホリデー シーズンのショッピングを安全に行うために、できることがいくつかあります。実際、これらのヒントを活用すれば、一年中より安全にショッピングをすることができます。

鍵のアイコンを確認する

安全に保護された Web サイトは、アドレスが「https」で始まります。「http」のみではありません。追加の「s」は、「secure (安全)」を表しています。これは、パスワードやクレジット カード番号などの機密情報をインターネット経由で送信する場合に、安全なプロトコルを使用することを意味します。ブラウザーのアドレス バーに小さな鍵アイコンとして表示されることが多いので、念のために再確認してみてください。安全なサイトであるかどうかが不明な場合は、その Web サイトで購入しないようにするのが一番です。

デビット カードの代わりにクレジット カードを使用する

米国に固有の公正信用請求法では、クレジットカードの不正請求に対する公的保護を提供しています。国民は、配達されることがなかったり、誤って請求されたりした商品やサービスが 50 ドルを超過する場合は、異議を唱えることができます。クレジット カード会社の多くには、公正信用請求法を改良した独自のポリシーが存在します。ただし、デビット カードには法の下で同様の保護が与えられていません。オンライン ショッピングを行う際には、デビット カードの使用を避け、クレジットカードを使用するようにしてください。

バーチャル カードの取得を検討する

もう 1 つの選択肢は、実際のクレジット カードのプロキシであるバーチャル クレジット カードを設定することです。購入を行うごとに、プロキシが変更されるため、ハッカーによる悪用がはるかに困難になります。小売業者が同じプロキシを使用して購入の払い戻しを行う商品の場合など、メリットに対してデメリットも存在するため、バーチャル クレジット カードについては詳細をよく調べる必要があります。

ショッピング中はセキュリティ対策を講じる

セキュリティ対策ソフトウェアを制御する完全なスイート製品を使用することで、Web ブラウザー保護やパスワード マネージャーなど、ショッピング中の追加の保護対策ができます。ブラウザー保護は、マルウェアや金融詐欺につながる不正または不審なリンクをブロックできます。パスワード マネージャーは強力なパスワードを作成し、安全に保管することもでき、ハッカーによるアカウントの侵害をはるかに困難なものにします。アイデンティティ盗難保護が提供する安全性はさらに一歩進んで、オンラインでの個人情報を安全に保護し、悪用された場合にリストアするのに役立ちます。

アカウントで二段階認証を使用する

二段階認証とは、ユーザー名とパスワードにさらなる保護層を追加することです。自分のアカウントにアクセスするための特別なワンタイム コードの使用が追加されます。通常は、電子メールで送信されるか、テキスト メッセージまたは通話にてお使いの携帯電話に連絡されます。総じて、自分で記憶しているパスワードのようなものと、スマートフォンなど、自分で所有しているものを組み合わせたものです。組み合わせることで、詐欺師によるアカウントのハッキングを困難にします。アカウントのいずれかが二段階認証に対応している場合は、セットアップにかかる時間以上に、安全性を大幅に強化する価値があります。

公共 Wi-Fi 接続時にオンライン ショッピングをする場合は VPN を使用する

コーヒー ショップやその他の公共の場所で提供される公共 Wi-Fi は、ネットワークを誰でも利用することができるため、個人によるブラウジングを盗み見されるリスクにさらす可能性があります。仮想プライベート ネットワーク (VPN) を使用すると、ブラウジング、ショッピング、その他のインターネット トラフィックが暗号化されるため、公共 Wi-Fi でのデータの傍受や、パスワードやクレジット カード番号などの個人情報の収集から安全に保護することができます。

個人情報や信用報告書を詳細に確認する

保持しているすべてのパスワードとアカウントについては、この点は重要になります。自分の信用情報を確認することにより、矛盾点や詐欺のあからさまな事例を明らかにすることができます。その後は、見つけたエラーや不正請求を正すための対策を講じることができます。米国では、年に1回、主要な信用報告機関と無料の信用報告書を作成することができます。

ショッピングを楽しみましょう！ (ストレスや希少性に屈する必要はありません)

今年はオンライン ショッピングをする際には、よく注意して楽しんでください。あまりに好条件なキャンペーンではないかどうか、再確認してください。リンクを注意して確認してください。出荷通知やクーポン券のような添付ファイルは絶対にクリックしないようにしてください。ハッカーは、この時期に皆さんが少し焦っているところを狙っています。十分な時間をかけて確認して詐欺を見分けることで、自らの資産を安全に守りましょう。

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

• McAfee Blogのエントリー
• McAfee Blog
• McAfee