更新日:
2023年08月24日
偽ショッピングサイトに注意!!
近年、ショッピングサイトで買い物をして「購入した商品が届かない」、「サイトの連絡先に電話しても連絡がとれない」等の相談が増えています。
このようなショッピングサイトの多くは、海外サーバを利用し正規サイトのデザインをまねたり、実在する連絡先を無断で記載するなどにより、詐欺行為を行っている偽ショッピングサイト(なりすましECサイト)です。
インターネットで買い物をする際には偽ショッピングサイトの被害に遭わないよう十分注意してください。
【クイズ】見たとこ勝負!偽物はどれだ!!
1〜4の画像(※ 注)は、インターネットで検索してたどり着いたショッピングサイトです。このうち偽ショッピングサイトはどれでしょうか?(答えはこちら)
※注 製品や人物などは特定できないようモザイク処理をしております。
1 衣料品販売サイト
2 スポーツ用品販売サイト
3 野球用品販売サイト
4 自転車用品販売サイト
騙されないための7つのポイント
偽ショッピングサイトは非常に巧妙で、一見しただけでは偽のサイトであると気付かないことがありますが、注意して見ると偽のサイトだと見抜けるポイントもあります。
ショッピングサイトで買い物をする時には以下の7つのポイントを確認して、偽ショッピングサイトの可能性が高い場合には、そのサイトでの購入はしないことが賢明です。
【チラシ】偽ショッピングサイトにだまされないための7つのポイント(PDFファイル:1.2MB)
ショッピングサイトのアドレス(URL)チェック
検索サイトなどで見つけたショッピングサイトにアクセスした際には、ブラウザのアドレス欄にある、そのサイトのURL(※注1)を確認しましょう。
偽サイトのURL内のドメイン(※注2)には、企業等があまり使用しないようなトップレベルドメインが使われているものが多くあります。
※注1 URL(Uniform Resource Locator)とは、ウェブサイト(ホームページ)の各ページを特定する固有アドレスのこと。「http://〜/〜.html」などと表記されているもの。
※注2 インターネット上に存在するコンピュータやネットワークを識別するための名前のこと。URL内にある「www.〜.co.jp/〜」の「〜.co.jp」の部分のこと。特にドメインの最後(一番右)「.jp」の部分はトップレベルドメインと呼ばれます。
トップレベルドメインが偽ショッピングサイトで使われていることが多いものや、あまり見かけないものであった場合には注意しましょう。
但し、検索結果に出てくるURLのトップレベルドメインが「.jp」である場合でも、アクセスすると海外の偽ショッピングサイトに転送される場合もありますので注意してください。(参考:「ホームページが偽ショッピングサイト等への誘導に使われる!?」)
| 一般的に使われているドメイン | 「.jp」、「.com」、「.net」など |
| 偽ショッピングサイトで使われていることが多いドメイン | 「.xyz」、「.online」、「.fun」、「.asia」、「.shop」、「.icu」、「.top」など(※注3) |
※注3 これらのドメイン全てが偽サイトという訳ではありません。正規サイトで利用されている場合もあります。
また、スマートフォンからアクセスした際には、アドレス欄が狭いことからURLのすべてが表示されていない場合があります。このような特性を悪用し、「http://www.〜.co.jp.〜.xyz/〜」などとしてトップレベルドメインが「.jp」であると見せかける手口もありますので、アドレス欄をタップして、URL全体を確認しましょう。
なお、先の「ブラウザのアドレス欄の例」の図にある「スマートフォン等の場合」のようにアドレス欄に「安全ではありません」というブラウザの警告表示が出ることがありますので注意しましょう。
但し、警告表示が出ない場合でも偽ショッピングサイトではないとは言い切れないため、必ず他の注意点と一緒にチェックしましょう。
商品価格が相場よりも極端に安くないかチェック
「欲しいと思っていた商品等が他のサイトより安く販売されている」、「入手困難なものが購入可能である」といったサイトを見つけると、そのサイトで購入したいと思ってしまうかもしれません。
偽ショッピングサイトでは、このように「ネットは便利でお得」などといった利用者の心理を悪用する手口が巧妙に使われています。
事前に複数のサイトで価格を確認したり、実店舗の価格を確認するなど、その商品の相場を調べ、あまりにも安い場合には注意しましょう。
また、自転車や大型家具などの大きな商品が「全国送料無料」となっていたり、入手困難な商品が大量に入荷しているなどの場合にも、なぜ、そのようなことが可能なのかなどにも注意を払いましょう。
但し、たとえ価格に問題がないと思われるショッピングサイトでも偽ショッピングサイトではないとは言い切れないため、必ず他の注意点についてもチェックしましょう。
不自然な日本語表記になっていないかなどをチェック
偽ショッピングサイトでは、不自然な日本語が使われている場合があります。
例えば、
- 三日か5日届きます
- 振込終、超早い配達
- 休業日:365天受付
など、機械翻訳したような日本語として不自然な表現がある場合には偽ショッピングサイトの可能性が高いため注意が必要です。
また、日本のサイトではあまり使われていない簡体字等の漢字の文字フォント(書式)が使われている場合にも注意が必要です。
会社概要の情報をチェック
購入手続きをする前に、必ず会社概要を確認し、会社名、所在地、電話番号、代表者名のいずれかの記載がない場合には注意しましょう。
連絡先の記載があったとしても、
- 電話番号の表記が国際電話番号表記(「+81-45-XXXX」のような表記)になっている
- 電話番号の桁数が合わない
- メールアドレスしか掲載されていない
- 連絡先メールアドレスにフリーメールを利用している
などといった場合には特に注意が必要です。
また、偽ショッピングサイトでは、全く関係のない会社名、所在地、電話番号、代表者名を無断で使っていることがあります(参考:「偽ショッピングサイトに名前や連絡先を使われてしまったら…」)ので、念のため、会社名、所在地、電話番号、ショッピングサイトの名前で検索するなどして調べてみましょう。
例えば…
- ● 記載されていた会社名で検索したところ、その会社名の別サイトが見つかり、「当社名を騙る偽サイトにご注意ください」といった注意喚起文が掲載されていた。
- ● 衣料品のショッピングサイトの電話番号で検索したところ、海鮮物を扱う会社のホームページに記載されている電話番号と同じだった。
- ● 電話番号の市外局番を調べたところ、記載されている住所地の市外局番と異なっていた。
- ● ショッピングサイトの名前で検索したところ、「このサイトで購入しようとしたが、お金を振り込んでも商品が届かない」といったSNSの投稿が複数あった(ショッピングサイトの名前で検索しようとしても、サイト名がはっきりしない偽ショッピングサイトも多くあります)。
などといった場合には、偽ショッピングサイトの可能性が高いため注意しましょう。
商品購入画面に不審な点がないかチェック
商品購入手続き時の個人情報を入力する画面に不審な点がないかについて確認しましょう。
例えば、
● 住所の入力欄が「番地・アパート名」、「市区町村」、「都道府県」、「郵便番号」といった不自然な順番になっている(「郵便番号」、「都道府県」、「市区町村」、「番地・アパート名」の順番が一般的です)。
● 「都道府県」のリストが「北海道」〜「沖縄」という順番になっていないため、選びづらくなっている。
● 会社概要等では、カード払いなど複数の支払い方法ができる旨の記載があるにも関わらず、購入手続き画面では銀行振り込みのみとなっている(但し、クレジットカード払いができる偽ショッピングサイトもあり、後日、入力したカード情報が悪用された事例もあります)。
● 振込先口座が会社名義ではなく、個人名義の口座になっている。
などといった場合には、偽ショッピングサイトの可能性が高いので注意が必要です。
振込む前に電話で確認する
代金を振り込んでも商品が届かないため、サイトの会社概要欄等に記載されていた連絡先に電話したところ、電話がつながらなかった、または関係のない会社等につながったことから、偽ショッピングサイトで騙されたことに気づいたというケースが多くあります。
偽ショッピングサイトで騙されないためには、商品代金を振り込む前に電話で確認することが一番確実な対策です。
偽ショッピングサイトで騙されないためだけではなく、様々なトラブルを避けるためにも、はじめて買い物するサイトでは、購入前に電話で確認してみるとよいでしょう。
また、2回目以降の購入時は、検索結果からサイトにアクセスするのではなく、事前にブックマークやお気に入りに登録しておき、そこからアクセスする、スマートフォンの専用アプリがあるサイトではアプリを利用するようにしましょう。
セキュリティ対策ソフトを活用する
ウイルス対策ソフトやフィルタリングソフトなどのセキュリティ対策ソフトの中には、偽ショッピングサイトにアクセスしようとすると警告表示する機能を備えた製品もあります。
ウイルス感染を防ぐ、違法有害情報にアクセスしないようにするといった目的だけではなく、偽ショッピングサイトで騙されないためにもセキュリティ対策ソフトを導入しましょう。
偽ショッピングサイトの被害防止については、下記も参考としてください。
【チラシ】偽ショッピングサイトに注意!!(PDFファイル:667KB)
偽ショッピングサイトに騙されないための7つのポイントを解説する動画を、神奈川県警察公式YouTubeチャンネルで公開していますので、併せてご覧ください。
【神奈川県警察公式YouTubeチャンネル】インターネットを介した詐欺に注意
偽ショッピングサイトに名前や連絡先を使われてしまったら…
偽ショッピングサイトで騙されて入力してしまった個人情報が、別の偽ショッピングサイトの連絡先として利用されてしまった、ホームページに掲載していた会社概要の情報が偽ショッピングサイトで利用されてしまったなどということがあります。
そのようなことが分かった場合には、下記を参考に対応してください。
【個人情報を利用された場合】
● 非通知や知らない番号からの着信については事前に着信拒否設定をしておく。
● 身辺の不安を感じる場合には、住所地を管轄する警察署に相談する。
【会社概要の情報を利用された場合】
● 会社の情報を無断で使っている偽ショッピングサイトを発見した方や、騙された方からの連絡があった場合には適切に対応しましょう。特に会社の情報が掲載されていた偽ショッピングサイトのURLはしっかり確認しましょう。
● 会社のホームページの目立つところに、「当社名を騙る偽サイトにご注意ください」などといった注意喚起文を掲載しましょう。
● 会社の情報を無断で使っている偽ショッピングサイトでの被害が広がらないよう、そのサイトが利用しているホスティングサービス(事業者からサーバを借りてホームページを運用できるサービス)が分かる場合には削除依頼をする、偽ショッピングサイトの情報を関係機関に情報提供するなどしてみましょう。
会社概要の情報を利用された場合については、下記の情報も参考にしてください。
ホームページが偽ショッピングサイト等への誘導に使われる!?
最近、国内の会社等のホームページが改ざんされ、偽ショッピングサイトへの誘導に使われてしまっているといった事案が発生しています。
セキュリティ対策が十分にされていないとホームページ内に偽ショッピングサイト等へ誘導する不正なページが埋め込まれてしまうことがあります。
埋め込まれた不正なページは、様々な商品名やその商品の紹介に用いられる文言を利用し、検索サイトで上位に表示されるようになっています。
そのため、欲しい商品を検索サイトで探し、見つけたショッピングサイトが国内のサイトだと思いアクセスした方が海外の偽ショッピングサイトに誘導されてしまいます。
また、偽ショッピングサイト等へ誘導する不正なページを埋め込まれるだけではなく、コンピュータウイルスや、サーバ全体を乗っ取るためのツール、他のサイトを攻撃するためのツールなどの様々な不正なファイルを埋め込まれてしまうこともあります。
万が一、ホームページが偽ショッピングサイトなどへの誘導に使われてしまった場合、
- ● 組織の信用失墜
- ● 調査、復旧等にかかわる労力
- ● 第三者への被害(攻撃の踏み台、ウイルス感染の原因等)に関する賠償
などの不利益が生じることになりかねません。
■ ホームページ改ざん(不正ページの埋め込み)に使われる主な手口
● ホームページ管理用のID/パスワードを不正に利用される
ホームページ管理用のID/パスワードをフィッシングやウイルス感染などにより搾取された、パスワードを推測されたことにより、ホームページが改ざんされることがあります。
● サーバで利用しているOSやソフトウェアの脆弱性を攻撃される
Webサーバ(ホームページに利用しているサーバ)のOSやソフトウェアに脆弱性(セキュリティホール)がある状態で運用していたため、その脆弱性を攻撃されてホームページが改ざんされることがあります。
特に最近ではCMS(Contents Management System:ホームページ管理システム)やCMSのプラグイン(拡張機能)の脆弱性を攻撃され改ざんされる事例が多くあります。
また、ショッピングサイトなどの利便性向上のために導入した、または独自に開発したソフトウェアの脆弱性を攻撃されてホームページが改ざんされることがあります。
■ ホームページを改ざんされない(不正ページを埋め込まれない)ためには・・・
ホームページを改ざんされない(不正ページを埋め込まれない)ために、以下を参考として対策を行ってください。
● 管理者のID/パスワード等を適切に管理する
ホームページ管理者のID/パスワードを第三者に知られないように適切に管理しましょう。
パスワードは、
- 英数字、記号を含めて12文字以上のできる限り長いものにする
- 名前や誕生日、簡単な英単語など推測しやすいものにしない
- 他のシステム、サービス、サイトなどと同じものを使い回さない
ようにして、複数の担当者間で同じID/パスワードを使うのではなく、担当者毎にID/パスワードを設定する、退職等した担当者のID/パスワードは、その都度、使えないようにしておきましょう。
更には、ホームページ管理システム(CMS)ではID/パスワードのみではなく、利用できる場合には二要素認証を使いましょう(CMSによっては、二要素認証用のプラグインが提供されていることがあります。
なお、フィッシングやウイルス感染によってID/パスワードを盗まれることがありますので、下記の情報を参考に対策を行いましょう。
● ホームページ更新が行える端末等を制限する
万が一、ホームページ管理用のID/パスワードを第三者に知られてしまった場合でも改ざんされることがないようにするために、あらかじめホームページ更新が行える端末を自社やホームページの制作、管理を委託している会社等の端末のみに制限しておきましょう。
● サーバで利用しているOS、ソフトウェアを常に最新の状態で運用する
Webサーバで利用しているOSやソフトウェア(CMSとそのプラグインを含む)などは、常に最新の状態にアップデートして運用しましょう。
● WAF等のセキュリティ製品を活用する
Webサーバに対する攻撃を防ぐため、WAF(Web Application Firewall:ウェブ・アプリケーション・ファイアウォール)等のセキュリティ製品を導入しましょう。
WAFとは、ウェブアプリケーション(Webサーバ上で動作するソフトウェア)に対する攻撃からWebサーバを保護するセキュリティ製品のことで、Webサーバのソフトウェア等のアップデートが間に合わない場合でも攻撃を防ぐことが期待できます。
最近ではOSやソフトウェアの脆弱性を修正(アップデート)するプログラム(パッチ)が提供される前に、その脆弱性を悪用する攻撃(ゼロデイ攻撃)が増えています。
そのような攻撃を防ぐためにもWAFの導入は有効な対策となります。
なお、ホームページの運用に利用しているホスティングサービス(事業者からサーバを借りてホームページを運用できるサービス)によっては、無料でWAFの機能を提供している場合がありますので、その場合にはWAFの機能を有効にしてください。
WAFの利用については、下記を参考にしてください。
Web Application Firewall 読本(IPA:情報処理推進機構)
● ホームページ運用をアウトソーシングする
ホームページが改ざんされる(不正なファイルを埋め込まれる)ことがないよう、適切なセキュリティ対策を実施しながら運用するための知識、労力が不足している場合には、ホームページの運用をサーバの管理を含めてアウトソーシングすることも有効な手段です。
但し、アウトソーシングする場合には、相手先事業者との間で責任範囲等を明確にするSLA(Service Level Agreement:サービス品質保証)をサイバーセキュリティに関する事項を含めて締結するようにしておきましょう。
また、更新が容易でタイムリーに行え、セキュリティ対策の心配がいらないことから、ホームページの替わりにSNSを利用するなど運用形態の変更も検討してください。
なお、ホームページの運用形態の検討時には、下記を参考としてください。
IPAテクニカルウォッチ「ウェブサイト開設等における運営形態の選定方法に関する手引き」(IPA:情報処理推進機構)
ホームページを運用するにあたっては、下記を参考に適切なセキュリティ対策を実施してください。
安全なウェブサイトの運用管理に向けての20ヶ条 〜セキュリティ対策のチェックポイント〜(IPA:情報処理推進機構)
情報発信元
神奈川県警察本部 生活安全部
サイバー犯罪捜査課
電話:045-211-1212(代表)