午前7時のしなもんぶろぐ

駆け出しのセキュリティエンジニア、しなもんのぶろぐ。

偽通販サイトの「見分け方」を信じてはいけない

4/27 に日本テレビで放送された番組内の「ヨギボーやコストコも… 被害相次ぐ通販“偽サイト”  見極めるためのポイントは」というコーナーがセキュリティ界隈で批判を集めています。

 

いわゆる偽通販サイトに関する注意喚起を行うのは結構なのですが、番組中で「偽通販サイトを見極める3つのポイント」として紹介された着眼点があまりにお粗末で、これを信じるとかえって消費者が危険になるおそれがあるからです。

 

(下に掲載したのは同放送の内容を紹介する Yahoo! JAPAN ニュースの記事です。Yahoo! JAPAN ニュースの外部提供記事はじきに消えてしまうので、念のためアーカイブも併せて掲載しています。)

 

news.yahoo.co.jp

(アーカイブ)

web.archive.org

本記事では、この「3つのポイント」をなぜ信じてはいけないのか、どのように実態とかけ離れているのかについて私的に検証します。

しかし、偽通販サイトを見分ける見分けないというのは、思った以上に難しい問題でもあります。最後にそこにも少しだけ触れます。

 

 

はじめに

  • 引用元は上に示した Yahoo! JAPAN ニュースの記事とします。元の番組の表現とは違っていることがあります
  • 本記事中では偽通販サイトに限らず、フィッシングサイトなど消費者の情報や金銭に被害を与える悪性 Web サイト全般についても対象とします。実のところ偽通販サイトとフィッシングサイトではやや傾向が異なるとは私も感じているのですが、消費者にとってこの種の「見分け方」は「危険なサイトなのか、そうではないのか」ぐらいの解像度で捉えられるだろうと考えるからです。たとえ偽通販サイトには (今のところたまたま) 通用するとしても、他の種類の危険サイトに通用しない「見分け方」は消費者にとって結局有害です

 

「偽通販サイトを見極める3つのポイント」

ITジャーナリスト 井上トシユキ氏
「最初のポイントはURLを確認すること」

注目すべきは、「.」以降のアドレスだといいます。

ITジャーナリスト 井上トシユキ氏
「通常は『.com』『.co.jp』『.jp』それ以外は怪しいサイトの可能性」 

2つめは「電話番号の記載があるか」。 多くの通販サイトは、『0120』『0570』から始まる問い合わせ番号が書かれているといいます。

ITジャーナリスト 井上トシユキ氏
「偽サイトはほぼ100%、電話の連絡先を記載しない。本当に電話されてくると困るわけです」
「3つめは、大幅な値引きはあやしい。本気で売るつもりがないから、90%80%の割引額を提示できる」

(引用元: ヨギボーやコストコも… 被害相次ぐ通販“偽サイト”  見極めるためのポイントは)

 

「『.com』『.co.jp』『.jp』以外のサイトは怪しい」

一般論としては、サイトの検証を行う際に URL に着目するのは悪いアイデアではありません。

 

ただ、「「.」以降のアドレス」というのは説明が適当すぎます。たまたま番組中で例示された URL は TLD と SLD の間にしか . がありませんでしたが、複数の . を持つ悪性 URL はいくらでもありますし、TLD より後にファイル名なりクエリパラメータなりが続く悪性 URL もありますので。

 

それもまあよいとして、問題はこれを信じると、危険なサイトを安全なサイトと誤認するケースと、安全なサイトを危険なサイトと誤認するケースの両方があり得るということです。

 

危険なサイトを安全なサイトと誤認するケース

3種類の TLD (+SLD) が挙げられていますが、この 3種類では割と事情が異なるので分けて考えます。

.com

.com は非常によく悪用されており、まったく「信用してよい」TLD ではありません

デジタルアーツによれば、同社が 2022年下半期に確認したフィッシングサイトのうち、TLD が .com のものは実に 46.7% にものぼり、全 TLD の中でダントツトップです。

(2023/05/05 追記)

間違えてフィッシングサイトの TLD ではなく、(正規サイトを含む) 「世界の TLD シェア」について言及していました。

ご指摘いただいた方に御礼申し上げます。

 

デジタルアーツによれば、同社が 2022年下半期に観測したフィッシングサイトのうち、 TLD が .com のものは 20.72% にのぼり、.cn に次いで第2位となっています。

(追記終わり)

www.daj.jp

偽通販サイトでは確かにあまり使われていない印象ですが、こうして別種の悪性サイトに使われまくっている以上、詐欺師が取得できないドメインというわけではありません。個人的にはいつ使われだしてもおかしくはないと思います。

(2023/05/02 追記)

私が知らなかっただけで、実際には .com の偽通販サイトはすでに多数あるそうです。

ご指摘いただいた方に御礼申し上げます。

つまり .com で見分けるのはやっぱり無理ということです。

(追記終わり)

 

では危険だから避ければいいのかというと、そうもいかないのが難しいところです。

言うまでもなく .com の TLD をもつ正規の Web サイトが大量に存在するので、全部を避けようとするのは現実的ではないからです。

結局のところ、TLD だけで何かを判断しようという主張に無理があるのだと思います。

 

.co.jp

JPRS によれば、

日本国内で登記を行っている会社が登録できます。

    株式会社、有限会社、合同会社、合名会社、合資会社、相互会社など
    信用金庫、信用組合、外国会社(日本で登記していること)

また次の組織も登録できます。

    有限責任事業組合
    企業組合(CO.JPかOR.JPのどちらか1つを選択可能)
    投資事業有限責任組合

(引用元: 種類と対象 | JPドメイン名の種類 | JPドメイン名について | JPRS)

 

ということで、今回の 3種類の中では一番不正に取得するハードルが高いです。

しかし、元は正規の Web サイトだったものが乗っ取られてフィッシングサイトになったりマルウェア置き場になったりするケースはちょいちょいあるので、いつでも安全と言い切れるものではありません。

(どのドメインにもいえることですが)

 

 JPCERT/CC が 2019~2022 年にかけて収集したフィッシングサイトの URL データを見ると、割合としては少ないですが .co.jp の悪用例もそれなりにあることがわかります。

github.com

 .jp

汎用 JP ドメインのことと解釈した場合、同じく JPRS によれば、

日本国内に住所をもつ個人・団体・組織であれば誰でもいくつでも登録できます。 

(引用元: 種類と対象 | JPドメイン名の種類 | JPドメイン名について | JPRS)

とのことです。

 

デジタルアーツによれば、2022年下半期に確認したフィッシングサイトのうち、「「jp」は全体の1.3%程度」ということです。

割合としては少ないとはいえ、それなりに悪用例があることがわかります。

(2023/05/05 追記)

世界の TLD シェアと勘違いしていました。

正しいフィッシングサイトにおける .jp の割合は 0.52% です。

「割合としては少ないとはいえ、それなりに悪用例がある」という考察に変化はありません。

(追記終わり)

 

まとめると、「.com」「.co.jp」「.jp」のいずれも、それだけで安全といえるようなものではありません。特に .com はよく悪用されています。

 

安全なサイトを危険なサイトと誤認するケース

 

「通常の通販サイトのドメインは .com、.co.jp、.jp のいずれかである」 という主張には無理があります。

他の TLD を持つ正規 (と思われる) 通販サイトが多数存在するからです。

 

「(商材) 通販」などのワードでちょっと検索しただけでも、.net、.shop、.store、.ec、.tv などを使っている通販サイトを発見できました。

それぞれ詳しく調査してみないと断定はできませんが、多くが正規の通販サイトであろうと思われます。

 

「 .com、.co.jp、.jp のサイトしか信用しない」という方針を採用した場合、これらのサイトで買い物をすることはできません。

 

「電話番号の記載があるか」

特に根拠となるデータは持っていないのですが、「偽サイトはほぼ100%、電話の連絡先を記載しない。本当に電話されてくると困るわけです」という主張はまあそうかもしれないと思います。

私が詐欺師だとしても、足がつくような情報をわざわざ自分の犯罪インフラに残したいとは思いません。

 

しかしそれは、詐欺師につながる本物の電話番号であれば、の話です。

通販サイトで注文をしようとする人のほとんどは運営会社に電話などかけないので、一見それらしき番号が書かれていればそれで十分です。

すなわち、でっち上げの番号や適当に拾ってきたよその番号を記載しておけばいいのです。

結果として電話番号が載っているかどうかは安全性の根拠にはまったくなりません。

 

今回、まだ活動中の偽通販サイトを適当に 6個選んで見てみたのですが、そのすべてで「会社概要」のページに電話番号の記載がありました

(特別そういうのを選んだわけではなく、リストの上の方*1に載ってるのを順番に見に行っただけです)

根拠が何かは知りませんが「偽サイトはほぼ100%、電話の連絡先を記載しない」という主張は大ハズレです。

 

080 から始まる携帯電話番号など、見るからに不審な番号を載せているものもありましたが、市外局番から始まる本当にビジネスで使っていそうな番号を載せているものもありました。

 

その番号で検索すると実在の会社 (偽通販サイトが主張してるのとは別の名前の会社) がヒットし、所在地や代表者として記載されているのは本来その会社のものであることがわかります。

 

偽通販サイト1

偽通販サイト2

偽通販サイト3

偽通販サイト4

 

実在する会社が事業を営むのに使っている情報をそのままパクっているのですから、パッと見では本物の番号にしか見えません。

一方、騙られた会社があるということで、その番号なり所在地なりで検索して出てくる会社と社名・業態などが一致するか確認するという手法が (現在の手口に対しては) 一定程度有効と考えられます。

実際に電話をかけることによっても同じ結論に至れそうですが、騙られた会社にとっては迷惑そのものなので、控えるべきです。本当に犯人につながっても困りますし。

 

いずれにしても、「電話番号の記載がある=安全」はまったく成り立ちません。

 

「大幅な値引きはあやしい」

 一般論としてこういう感性自体は大切にした方がいいと思うのですが、ことインターネット通販に限るとあまり役立たない場合があります。

 

危険なサイトを安全なサイトと誤認するケース

実際のところ、偽通販サイトが皆あっと驚く大幅値引きを行っているかというと、そうでもないようです。

 

下に示すのは適当に見に行った偽通販サイトのトップ画面の抜粋ですが、少なくとも表示上の値引き幅を見る限り、4~6割程度の値引きにとどまる商品も多数あることがわかります。

このくらいの値引きは、商品の性質にもよるでしょうが、ネット通販ではまあまああるので、安すぎて怪しいと思えというのはちょっと酷だと思います。

 

偽通販サイトの商品1

偽通販サイトの商品2

偽通販サイトの商品3

 

個人的には値引き幅よりも、他にどのような商品を扱っているかを気にした方がまだ実りが多いと思います。

大きさ、重さ、品質管理の程度、仕入れ元、客層などが大きく異なる商材をまとめて扱うのはよほど資本とノウハウの充実した大手でもない限り難しいはずです。

よって、馴染みがないのに異様に取扱商品のカテゴリが多いサイトはそれだけで何か変です。

(ただし、特定の商材のみを扱っている偽通販サイトもあるので、この発想ですべての偽通販サイトを看破できるわけではありません)

 

安全なサイトを危険なサイトと誤認するケース

店舗の方針や商品の性質にもよりますが、ネット通販においては半額など大幅の値引きを行うセールはさほど珍しいものではありません。

 

一例を挙げると、オンライン学習動画の販売を行う Udemy では頻繁にセールが実施されており、定価の 90% 引きになるものも珍しくありません。

(個人的には、そういうタイミングを見定めて買うサイトだと思っています)

 

安すぎて不安になりますが偽物ではありません

 

 

偽通販サイト対策の難しさ

間違った「見分け方」とやらを教えて消費者を危険にさらすのは問題外ですが、それではどうアドバイスしたらいいのかと問われると困ってしまうのも確かです。

個人的には、偽通販サイトはフィッシングよりも厄介な相手だと思います。

 

フィッシング (メールや SMS でリンクを送りつけ、情報を入力させる手口) には、これさえ徹底すればとりあえず大丈夫、という原則があります。

 

  • 本物と偽物を見分けようとしない
  • 送られてきたリンクは触らない
  • ブックマークしておいた公式サイトにだけアクセスする

 

実際にはこれでさえも普及・徹底させるのは困難ですし、最初にどうやって公式サイトをどう見分けるのかとか別の問題もなくはないのですが、ともかくこの通りにしておけば間違いない、という指針としては成り立ちます。

 

偽通販サイトには、この原則さえ通用しません。

なぜなら偽通販サイトを見ている消費者は、その商品に魅力を感じて自らそこを訪れたのですから。

求めている商品を目の前にした人に、それを手に入れるための行動をやめさせるには相応の根拠、つまり「これは偽サイトだ」という確信を持たせるしかありません。

「正規サイトと偽サイトを見分けてもらう」しかないのです。「とりあえずやめとけ」ではダメなのです。

 

「.com や .net は全部疑ってかかる」とか「検索や広告で出てきたサイトでは何もしない」とか極端な安全策は不可能ではないですし、個人が自発的に行うならそれもまあいいのですが、人に推奨するとなると話が変わってきます。

仮に皆がそれらを実践したとして (本気で普及に努めたとしても相当困難でしょうけど)、行き着く先はネットでほとんど何も買うことができず、通販サイトが潰れまくる未来です。

これが目指すべき望ましい社会でしょうか。私はそう思いません。

 

それでいて、実際「見分ける」ことにはかなりの困難があります。

今回偽サイトと正規サイトを比べて痛感させられたのは、「正規サイトにはなく偽サイトにだけ共通する (あるいは逆の) 特徴であって、技術的知識に乏しくても判別可能なもの」がほとんどないということです。

それでも多くの偽サイトにはよくよく見れば不自然な点がなくはないので、それで何とか見破ってもらうしかないのが現状ですが、そのほとんどが詐欺師側で対応不能なものではなく、たまたまそのサイトやそのときの手口ではそうであったというものにすぎません。

例えば↓の頃は HTTPS 未対応の偽サイトが多かったので判別ポイントとしてある程度使えたのですが、現在ではほとんどの偽サイトが対応しているので、もう役に立ちません。

am7cinnamon.hatenablog.com

 

加えて、注文前に (何かはともかく) 何らかの方法によって安全性を確認してもらおうというこの儚いアプローチでさえ、通販業界の協力を得にくいような気がしています。

私が正規通販サイトの運営者なら、いったん商品に興味を持ってくれたお客さんに余計なことを考えさせようという主張には激しく抵抗します。その間に購買意欲を失ってもらっては困るからです。

 

偽通販サイトから人々をどう守ったらいいのか?

 

私は正直考えあぐねています。

 

更新履歴

2023/05/02

有識者の指摘を受けて記述を1ヶ所訂正

注釈を1個追加

2023/05/05

コメント欄での指摘を受けて外部資料の解釈ミスを 2ヶ所訂正

*1:2023/05/02 追記: 番組に登場する消費者庁発表のものとは別のリストを使用しました。