nitori(ニトリ)がmitori(ミトリ)になっている…本物そっくりの｢偽サイト｣に誘導する犯罪集団の姑息な手口

※写真はイメージです - 写真＝iStock.com／ktsimage

詐欺サイトと本物のサイトを見分けるにはどうすればいいのか。ITジャーナリストの三上洋さんは「最近の偽サイトはコストを払って本物と見分けがつかないほど巧妙にできている。検索サイトの上位に表示されたからといって、信用してはいけない」という――。

※本稿は、三上洋『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』（技術評論社）の一部を再編集したものです。

■ニトリの偽サイトのURLが「ミトリ（mitori）」に

偽サイトへ誘導するフィッシング詐欺が進化しています。以前の偽サイトは「偽物であるわかりやすい証拠」がありました。日本語がおかしい、ドメインが海外である、連絡先が書いていないなどの証拠です。

しかし最近では、犯罪グループ側が知恵とコストを使って本物そっくりの偽サイトを作っています。たとえば図表1は、2021年に問題になった家具・インテリアの「ニトリ」の偽サイトです。

出典＝『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』

公式サイトは「nitori-net.jp」ですが、偽サイトは「mitori-net.jp」でした。たった一文字nとmが違うだけですから、うっかり本物と信じ込んでしまってもおかしくありません。

また末尾が「.jp」で日本の公式サイトだと思わせるようになっています。「.jp」は日本国内向けのドメインですが、日本に住所がある人であれば誰でも取得できるため犯罪グループが悪用しているのです。

ただし「.jp」ドメインは、他の一般的なドメインと比べると登録料金が高くなっています。犯罪グループはコストをかけてでも本物に見せる偽装をしていると言えるでしょう。

■本物の文面を「偽メール」に使用

さらに犯罪グループは、URLを見かけで騙そうとしています。たとえばJR東日本のネット販売サイトである「えきねっと」の偽サイトを見てみましょう（図表2）。

出典＝『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』

偽サイトのURL冒頭は「eki-net.com」で本物と同じ文字列です。URLの冒頭部分だけパッと見ると本物に見えますが、実際にはこのあとにもURLが続いており、本当のドメインは「ekin●●●.info」だったのです。これより前はサブドメインと呼ばれる部分ですが、サブドメインは自由に名前を付けることができます。犯罪グループはこのサブドメインの冒頭を本物と同じ文字列にして騙そうとしているのです。

次に詐欺サイトに誘導する偽メールの文面を見てみましょう（図表3）。同じ「えきねっと」のフィッシング詐欺メールで、本物に見せかける三つの仕掛けがありました。

出典＝『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』

ひとつ目はタイトルと文面で、実は公式のえきねっとが過去に送ったタイトル・文面とまったく同じものなのです。

タイトルは「アカウントの自動退会」で、2年間ログインしないと自動退会になることが書かれています。実際に公式のえきねっとでは2年間ログインがない場合、このような自動退会の注意喚起メールを送っています。犯罪グループはそれを知っていて、まったく同じ文面を送っているのでしょう。

■コロナ禍のタイミングを巧みに悪用

ふたつ目のポイントはタイミングです。

このメールが出回ったのは2022年3月のこと。その2年前と言えば2020年3月であり、ちょうどコロナ禍が始まった頃でした。

コロナ禍によって多くの人が外出を控えたわけで、えきねっとを2年間利用しなくなった人が多数だったでしょう。そんな人に「2年間ログインしていないと退会になる」というメールが届けば、コロッと騙されてしまいそうです。とても巧妙なタイミングで詐欺メールを送信しています。

三つ目はメール内のリンク表示です。この偽メールに書かれているリンクの文字面は、本物のURLと同じものです。ところがクリックすると偽サイトに飛んでしまいます。

これはHTMLメールという、ウェブページと同じHTML形式で書かれているメールによるものです。たとえばウェブページのキャンペーンで「くわしくは【こちら】」と【こちら】の部分が下線付きのリンクになっていることがあるでしょう。【こちら】という文字列にURLリンクを付けているのでジャンプできるしくみです。

犯罪グループはこれを利用し、本物のURLを文字列として書き、そこに偽サイトのURLリンクを付けているのです。見た目では判別できないのでとても厄介です。

■広告料を払って「上位の検索結果」に表示させる

グーグル検索では公式サイトがトップ表示されるのが一般的です。しかし「えきねっと」の検索結果で、偽サイトがトップ表示されたことがありました。それが図表4で、「えきねっと‐JR東日本」と書かれていますが偽サイトなのです。

出典＝『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』

URLは「eki-net.su」となっており、前半は公式と同じですが、末尾の「.su」は旧ソ連圏のドメインで、偽サイトだったのです。

よく見ると上に「スポンサー」と書かれています。つまり犯罪グループはお金を出してグーグル検索広告（リスティング広告とも呼ばれる）を買っていたのです。

本来であれば、グーグルはこんな広告を受け入れるべきではありませんでした。しかしネット広告の多くは審査が不十分な場合があり、詐欺広告が通ってしまうことがあります。

クレジットカードさえあれば、よほどのことがない限りは自動的に広告を出稿できます。後でチェックが入ったり、グーグル側に報告があれば削除されますが、それまでは表示されてしまうことがあるのです。

実際にこの詐欺広告が出たのは2022年3月で、ほぼ丸一日表示されていました。これらの詐欺広告は、グーグルだけでなくSNSにも多くあります。目立つのはインスタグラムやフェイスブックで、偽ブランドを売る詐欺サイト広告などの他、2024年春に社会的な問題になった、有名人を騙った投資詐欺の広告もありました。残念ながら、現状のグーグル広告やSNS広告の信頼度は、低いと言わざるを得ません。

■本物と確信できないサイトのリンクは押さない

これらフィッシング詐欺、偽メール・SMSの対策を図表5にまとめました。基本は「リンクは本物と確信できない場合は押さない」こと。届いたメールやSMS（ショートメール）のリンクは、本物と確信できない場合は押さないことが重要です。

三上洋『深掘り！ IT時事ニュース　読み方・基本が面白いほどよくわかる本』（技術評論社）

本物と偽物を判別できればいいのですが、ここまで紹介してきたように様々な偽装・騙しのテクニックを使ってきており、判別が難しくなっています。それよりも、リンクは押さないと心がけたほうが安全です。

もしメールやSMSの内容が気になる場合は、事前に記録したブックマークから公式サイトへ行って確かめてください。「不正利用された」などのメール・SMSが来て不安なら、公式サイトからメールや電話で問い合わせてください。

フィッシング詐欺の手口は年々進化しており、今後さらに巧妙になる可能性があります。メール・SMS・ネット広告を安易にクリックしないように心がけましょう。

----------

三上 洋（みかみ・よう）
ITジャーナリスト
ITセキュリティやスマートフォン業界に精通するITジャーナリスト。守備範囲はウイルスからネット炎上まで多岐にわたる。

----------

（ITジャーナリスト 三上 洋）