偽ショッピングサイト(偽通販サイト)が企業にもたらすリスク 前編
偽ショッピングサイト(偽通販サイト)は、通販利用者や通販事業を営んでいる企業だけではなく、すべての企業の経営リスクとなるサイバー脅威です。偽ショッピングサイトが企業にもたらす経営上のリスクと対策を全2回に渡り解説します。
なぜ偽ショッピングサイトが企業の経営リスクとなるのか
本記事では、インターネット上で偽のショッピングサイト(偽通販サイト)を運営している犯罪グループが企業にもたらす経営上のリスクについて前後編で取り上げます。前編では偽ショッピングサイトに関わる犯罪の手口の概要を解説し、後編では企業が彼らの犯罪手口にどう備え対応するべきかについて検討します。
偽ショッピングサイトは一般のインターネット利用者が遭遇する脅威であるため、「企業経営にはあまり関係ないのでは?」と思う方もいるかもしれません。しかし、これから解説する偽ショッピングサイトの動向を理解いただけければ、偽ショッピングサイトは企業経営上のリスクとなる脅威であり、経営者・企業のリスク管理者の方も他人事ではないと思うでしょう。
例えば、当社が行っている偽ショッピングサイトに関する調査結果では、犯罪グループがインターネット利用者を偽ショッピングサイトへ誘導するために、様々な組織のWebサイトを改ざんしていることが分かっています。改ざんされたWebサイトは、SEOポイズニング(Web検索エンジンの検索結果を不正に操作するための攻撃手法)に加担させられ、検索エンジンから該当のWebサイトを訪問した人を即座に偽ショッピングサイトに誘導してしまいます。実際、トレンドマイクロでは、複数の国内企業や団体がWebサイトを改ざんされ、偽ショッピングサイトへの誘導に加担させられてしまう被害にあったことを確認しています。
図 2 検索エンジンから改ざんされたWebサイトを訪問したときに、偽ショッピングサイトに遷移させられるHTMLソースコードの例*1
さらに、偽ショッピングサイトが実在の企業を騙るケースも多く観測しています。騙られる企業は無差別で、ECサイトの有無や、企業の規模を問わず騙られていることを確認しています。つまり、Webサイト上に企業情報を公開しているすべての企業が被害にあう可能性があります。
*1なお、このソースコードは、改ざんサーバ上に設置されたSEOポイズニングを目的とするSEOマルウェアによって返されるコンテンツであって、Webサーバ内にファイルとして存在するものではないことに注意する必要があります。
偽ショッピングサイトに関するサイバー犯罪の特徴とトレンド
本章では、偽ショッピングサイトに関するサイバー犯罪の概要と動向を解説します。本記事では、一般財団法人日本サイバー犯罪対策センター(JC3)の説明にならい、「偽ショッピングサイト」を以下のような特徴を持つサイトとしています。
・商品の購入代金の詐取を目的とする
・正規のショッピングサイトと一目では見分けがつかないようになっていることが多い
・購入後、商品が送られてこない、もしくは粗悪品が送られてくるなどのトラブルが発生する
・検索エンジンでの検索結果や広告から誘導されることが多い
・様々な商品を安価で販売しているように見せかけている。商品のジャンルはファッションやDIYツールなど多岐にわたることが多い
・実在している企業のサイトのように見せかけるため、実際の会社名を名乗ることがある
一般財団法人日本サイバー犯罪対策センター(JC3)の統計によれば、2022年に、セーファーインターネット協会からJC3へ共有された悪質なショッピングサイト等の通報件数は、28,818件となっており、2021年中の17,878件と比べ、10,940件増加しています。なお、これらの悪質なショッピングサイトの全てが偽ショッピングサイトであるわけではありませんが、トレンドマイクロでの観測結果からは、偽ショッピングサイトが大きな割合を占めていると考えています。
このような偽ショッピングサイトの被害は想像以上に大きなものになっています。2022年には偽ショッピングサイトでの購入代金の送金先に指定された銀行口座から引き出しを行った犯罪者が複数検挙*2されました。報道によれば、関連する口座情報から推定される被害額は1千万円~1億円単位であったとされています。このときに検挙された犯罪者は全体のごく一部のため、明らかになっていない分も含めると数億円~数十億円もの被害が発生している可能性が考えられます。
*2https://www.asahi.com/articles/ASQC43J94QC4UTIL006.html、https://www.sankei.com/article/20230118-26OYVHGU7ROADFVTTMRYXA5ZYI/
| 種類 | 手口 | 企業側の被害例 |
|---|---|---|
| SEOポイズニングを目的としたSEOマルウェアの設置 | ・Webサイトを改ざんし、偽ショッピングサイトにリダイレクトされるように設定し、誘導した先で消費者を騙す。 ・より多くの消費者を狙うため、検索結果上位にWebサイトが表示されるよう改ざん。 |
・検索エンジンで、自社が(偽の)ショッピングサイトを運用しているかのような検索結果が表示される。 ・Webサイト改ざん時にサーバ遠隔操作ツールを設置され、別の犯罪に加担させられる可能性がある。 |
| 企業名やブランドの詐称 | ・実在の企業名やブランドを騙る偽ショッピングサイトを作成し、利用者を騙す。 ・調査からは、被害組織は中小の小売業・卸売業が多いように見えるものの、ECサイトを運営していない企業、また業種や規模を問わず被害にあっていることが判明。 |
・企業名やブランドを騙られることにより、企業の評判、ブランドイメージの毀損。 ・問い合わせ対応による人的コストの増加。 ・テイクダウン(サイト閉鎖依頼)、ブロック対応による人的コストの増加。 |
表 偽ショッピングサイトの手口と企業側の被害
1.SEOポイズニング攻撃(SEOマルウェア)
偽ショッピングサイトに関する犯罪手口では、インターネット利用者を偽ショッピングサイトへ誘導するために、Webサイト改ざんによるSEOポイズニングが大規模に行われています。実際、国内の企業がWebサイトを改ざんされ、SEOポイズニングに加担させられたケースも確認しています。
このようなWebサイト改ざんは、Webサイトの脆弱性を放置することや、単純な管理者パスワードを設定していることが原因となったケースが多いと考えられます。Webサイトが改ざんされると、WebサーバにはSEOマルウェアと呼ばれるマルウェアが設置されます。
SEOマルウェアは、検索エンジンの検索結果表示内容を攻撃者の都合の良いように操作し(SEOポイズニング)、検索結果からサイトを訪問した利用者を偽ショッピングサイトへ誘導します。SEOマルウェアの動作の概要を図3として示します。SEOマルウェアの解析の詳細は当社セキュリティブログの記事を参照してください。
2.企業名やブランドの詐称
偽ショッピングサイトは、実在する企業のサイトであると見せかけるために、実在する企業の名前、所在地、電話番号、代表者名等を勝手にサイト上に掲載することがあります。
トレンドマイクロでは、2022年8月から2023年1月にかけて、偽ショッピングサイトに自社名を騙られた企業124社がWeb上に掲載した注意喚起125件を分析しました。月ごとの偽ショッピングサイトに関する注意喚起の掲載数と更新数を図4に示します。また、偽ショッピングサイトに関する注意喚起を掲載した企業の分析結果を図5、図6に示します。これらの分析結果からは、
・中小の小売業・卸売業が多いように見えるものの、業種、大小、所在地を問わず騙られる被害にあっている
・ECサイトがない企業でも騙られる
ことが分かりました。
このように、偽ショッピングサイトに関するサイバー犯罪は大規模に行われているもので、インターネット利用者、企業の両方に被害があるものです。後編の記事では、企業にとってのリスク、および企業のセキュリティ担当者がとるべき対策、組織内の連携について、現状の課題などとあわせて、詳細を検討します。
サイバーセキュリティ・イノベーション研究所
スレット・インテリジェンス・センター
トレンドマイクロのサイバーセキュリティ・イノベーション研究所の中核センターの一つ。サイバースレットリサーチを通じ、日本社会と国内組織の安全なセキュリティイノベーション推進を支援する研究組織。日本国内を標的にした高度なサイバー攻撃や国家が背景にあるサイバー攻撃など、グローバルとリージョン双方の視点で地政学的特徴や地域特性を踏まえた脅威分析を行い、日本社会や国内組織に情報提供や支援を行う。
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年10月31日)
