なりすましサイトとは、実在するサイトを装って個人情報や商品代金をだまし取ろうとするサイトのことです。
国内では2022年の5月から急増しており、被害に遭うと利用者だけでなく企業にも大きなダメージをもたらします。
本記事では、
- なりすましサイトの特徴や国内での現状
- なりすましサイトの被害例
- なりすましサイトを見分けるポイント
- なりすましサイトに遭遇した場合の対処法
などについてお伝えします。
なりすましサイトの概要から対策まで網羅的に解説していますので、ぜひ最後までご覧ください。
\自社のなりすましサイトの検知・フィッシング対策に!/
目次
なりすましサイトとは
なりすましサイトとは、実在するサイトの外観を真似して、本当のサイトであるかのように利用者をだますサイトのことです。
なりすましサイトの被害に遭うと、商品代金や個人情報(クレジットカード情報や住所・名前など)をだまし取られてしまいます。
次の画像のように、なりすましサイトは2022年の5月から急増しており、2022年9月には50,000件を超えました。
(※なりすましサイトは、フィッシングサイトとも呼ばれます)
※引用:フィッシング対策協議会
近年、なりすましサイトのURLは大量に生成されているうえ、
- テイクダウン(フィッシングサイトを閉鎖すること)
- URLフィルタリング
といった、なりすましサイト対策の手法も機能しにくくなってきています。
企業側がなりすましサイト対策をおこなう一方で、なりすましサイト側も対策から逃れるためにあらゆる手段を講じているのです。
下記記事では、なりすましの事例や主な手口、対策方法などを解説していますのでご参照ください。
なお、なりすましサイトへの主な誘導元は、フィッシングメールです。
企業になりすましたメールを送り、なりすましサイトへ誘導してから個人情報をだまし取る手口が主流になっています。
フィッシングメールの実例や見分け方の詳細は、次の記事をご覧ください。
なりすましサイトの被害例
続いて、なりすましサイトの被害例について、利用者側と企業側に分けて解説します。
利用者側の被害例
利用者側の被害例は、次のとおりです。
【利用者側の被害例】
- 代金を支払ったあとに注文した商品が届かない、偽物の商品が届く
- 個人情報を取得されたあとに悪用されてしまう
- 不当な金額を要求される
- マルウェアなどのウイルスに感染する
なりすましサイトでは、正規サイトの商品価格より安く表示されていることも多いです。
しかし、代金を支払ったのに注文した商品が届かない、もしくは偽物の商品が届くという被害があとを絶ちません。
また、なりすましサイトで入力した個人情報を取得されると、迷惑メールや振り込め詐欺などに利用されることがあります。
取得したメールアドレスに架空請求をおこない、不当な金額を要求される被害も見受けられます。
さらに、怪しいメールを開いて添付ファイルを実行した場合、マルウェアなどのウイルスに感染する恐れもあるため注意が必要です。
マルウェアに感染した場合の復帰手順や具体的な対処法は、下記記事で解説していますのでご参照ください。
企業側の被害例
続いて、企業側の被害例は次のとおりです。
【企業側の被害例】
- 売上が減少する
- 利用者からの信用を失う
- 被害者からのクレームや問い合わせが相次ぐ
本来なら自社サイトにくるはずだった利用者が、なりすましサイトで商品を購入することで売上が減少します。
また、企業側に否がないにも拘(かか)わらず、被害を受けた利用者は、企業へ悪い印象を持ってしまうかもしれません。
さらに、被害者からクレームや問い合わせが公式サイトに相次ぐ場合があり、対応に追われてコア業務が回らなくなるリスクもあります。
このように利用者だけでなく、企業もなりすましサイトによって被害を受けてしまいます。
当サイトでは、インターネットセキュリティの全容が分かる資料を無料配布していますので、セキュリティ対策を図りたい方はお気軽にダウンロードしてください。
なりすましサイトを見分けるポイント
この章では、なりすましサイトを見分けるポイントを大きく2つに分けて解説します。
- ドメイン・サイト名を確認する
- ドメイン・サイト名以外で見分けるポイント
ドメイン・サイト名を確認する
まず、サイトのドメイン名やサイト名を確認しましょう。
正規サイトのドメイン名やサイト名にかなり似ていますが、よく見ると少し違うことに気付きます。
たとえば、「cacco.co.jp」が本当のドメインだとすると、
- 「ca-cco.com」
- 「caccos.store」
など、似たドメイン名をつけているケースが多いです。
また、実在するサイトを装って利用者をだまそうとしてくるのは、国内の悪用者だけではありません。
海外の悪質なウェブサイトによってトラブルに巻き込まれた事例も、多数発生しています。
消費者庁では「悪質な海外ウェブサイト一覧」を公開しているので、参考にしてください。
ドメイン・サイト名以外で見分けるポイント
ドメイン・サイト名以外で見分けるポイントは、次のとおりです。
【ドメイン・サイト名以外で見分けるポイント】
- 振込先が個人名(外国人の場合が多い)
- セキュリティ対策ソフトを活用する
- 支払い方法が銀行振込のみ
- 問い合わせ先が「フリーメールアドレス」
- 振り込む前に電話で確認する
- 「特定商取引に関する表示」が曖昧⇒店舗名・住所・電話番号・メールの表示が欠けている
- 価格が極端に安い
- フォームの崩れやリンク切れなど、Webサイトの作り方に粗雑な点が見られる
- 有名ブランド名+激安 などの表示がある
- 商品がEMS(国際スピード郵便)等の海外郵便として送付されることになっている
上記のようなポイントがある場合はなりすましサイトを疑い、商品の購入や個人情報の入力は控えるようにしましょう。
なりすましサイトに遭遇した場合の対処法
なりすましサイトに遭遇した場合、どのように対処すればよいのでしょうか。
この章では、なりすましサイトに遭遇した場合の対処法を解説します。
なりすましサイトを見つけてしまった場合の対処法
なりすましサイトを見つけてしまった場合、商品の購入や個人情報の入力は控えて次のような対処をしましょう。
- WebサイトのURLを書き留める
- 都道府県警察のフィッシング専用窓口、もしくはサイバー犯罪相談の窓口へ通報する
「都道府県警察のフィッシング専用窓口一覧」は、警察庁のサイトから確認できます。
なりすましサイトで登録・購入してしまった場合の対処法
万が一、なりすましサイトに登録・購入してしまった場合の対処法は、次のとおりです。
【なりすましサイトで登録・購入してしまった場合の対処法】
- 金融機関への連絡
- 国民生活センターや警察へ通報
- 救済法を利用
- 返金手続き
- 会員登録の削除
- IDやパスワードの変更
振込手続きをしてしまった場合は銀行へ、クレジットカードで決済をしてしまった場合はカード会社へ連絡します。
また、国民生活センターや警察へも通報しましょう。
救済法に基づいて警察や金融庁から銀行に連絡が入り、対象口座が凍結されて返金手続きできる可能性があります。
なりすましサイトに入力したIDやパスワードと同じものを使っているサイトがある場合、そのサイトのIDやパスワードを忘れずに変更しましょう。
【企業向け】なりすましサイトの被害を防ぐ4つの対策
続いて、なりすましサイトの被害を防ぐ対策として、企業にできる4つの対策を紹介します。
- 自社サイト上で注意喚起する
- ドメイン登録を監視する
- 送信ドメイン認証技術を導入する
- 不正アクセス検知サービスを導入する
なりすましサイトを作られると企業も大きな被害を受けるため、しっかり対策することが大切です。
【対策1】自社サイト上で注意喚起する
多くの人の目に触れるように、自社サイトの目立つところへ注意喚起のお知らせを掲示しましょう。
その際は、なりすましサイトの特徴や、被害に遭った場合の対処法なども記載するのがおすすめです。
利用者をなりすましサイトの被害から守るのはもちろんのこと、注意喚起することで対策に積極的であることをアピールできます。
なお、なりすましECサイト対策協議会から「顧客向け注意喚起文_サイト掲示用」のサンプルが出ていますので、ぜひ活用してみてください。
※参考:なりすましECサイト対策協議会
【対策2】ドメイン登録を監視する
2つ目は、ドメイン登録を監視することです。
多くの場合、なりすましサイトでは正規のサイトと似たドメインが使われます。
似たドメインはできるだけ自社で取得しておきつつ、悪用者によって似たドメインが取得されないか監視を続けましょう。
なお、ドメイン登録の監視は担当者の負担が大きくなることもあり、ツールの活用や外注がおすすめです。
詳しくは、下記記事で紹介していますのでご参照ください。
【対策3】送信ドメイン認証技術を導入する
フィッシングメール対策に有効なのが、送信ドメイン認証技術の導入です。
送信元メールサーバの電子署名やIPアドレス認証を利用して、メールがなりすまされているかどうかを判断します。
主な送信ドメイン認証技術は、次の3つです。
- SPF:IPアドレスを利用してメールの送信元を確認する
- DKIM:電子署名を利用してなりすましを検知する
- DMARC:SPFやDKIMで認証が失敗した場合のメールの処理方法を定義する
SPFやDKIMの場合、認証に失敗したメールの取り扱い方法は、受信者に委ねられています。
一方で、DMARCはSPFならびにDKIMでの検証結果を利用して、認証に失敗したメールの取り扱い方法を送信ドメイン管理者が表明する仕組みです。
DMARCは、SPFやDKIMの働きを補強して迷惑メール対策をする役割を果たしています。
下記記事では、送信ドメイン認証技術の仕組みやDMRACのメリット・デメリットなどを解説していますのでご参照ください。
【対策4】不正アクセス検知サービスを導入する
自社の従業員がなりすましサイトで個人情報を取得されてしまった場合、企業が管理するデータに悪用者がアクセスする可能性があります。
その結果、企業が持つ重要な情報が悪用者に引き抜かれてしまい、いずれ大きな損失を被るかもしれません。
そこで、なりすましの不正アクセス対策におすすめなのが「不正アクセス検知サービス」の導入です。
たとえば、かっこ株式会社の「O-MOTION」は、不正の可能性があるアクセスをリアルタイムに検知し、なりすましログインを検知した際は「2要素認証」「アクセス遮断」を組み合わせることで、不正なアクセスを防止することができます。
独自で所有するデバイス情報やユーザーの操作、アクセス時間、IPアドレスなどをもとに、不正アクセスかどうかを判別することが可能です。
なりすましサイトで従業員が個人情報を抜かれてしまっても対応できる「O-MOTION」について、詳しくは以下のバナーをクリックのうえご確認ください!
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
なお、ECサイトの「なりすまし」対策は、以下の記事で詳しく解説しています。
【企業向け】なりすましサイトの被害に遭った場合の対処法
企業がなりすましサイトの被害に遭った場合、下記の対処法が考えられます。
【企業がなりすましサイトの被害に遭った場合の対処法】
- クレームのあった被害者への説明
- 警察の相談窓口へ連絡(警視庁の「都道府県警察本部のサイバー犯罪相談窓口」)
- なりすましサイトに削除要請をおこなう
なりすましサイトの被害者が、公式サイトに対してクレームや問い合わせをする場合があります。
被害の規模によっては、急増するケースに備えて対応できる体制を整えなければなりません。
被害者は心理的にストレスを抱えていることが予測されるため、丁寧な対応が必要です。
また、警察の相談窓口へも忘れずに連絡しましょう。
警察が素早く対応することで、被害を早期に食い止められる可能性が高まります。
被害拡大を防ぐ意味では、なりすましサイトへの削除要請も自社でできる重要な措置のひとつです。
大阪府警のサイトで「偽サイトに関する削除依頼のサンプル」が公開されていますので、ぜひ参考にしてください。
※参考:大阪府警本部
まとめ:なりすましサイトの被害を最小限に食い止めよう
なりすましサイトの被害例や見分け方、被害を防ぐ対策などを解説しました。
なりすましサイトは、利用者だけでなく企業側も次のような被害を受ける可能性があります。
【なりすましサイトによる企業側の被害例】
- 売上が減少する
- 利用者からの信用を失う
- 被害者からのクレームや問い合わせが相次ぐ
被害を防ぐために企業ができる対策は、主に次の4つです。
【なりすましサイトの被害を防ぐ4つの対策】
- 自社サイト上で注意喚起する
- ドメイン登録を監視する
- 送信ドメイン認証技術を導入する
- 不正アクセス検知サービスを導入する
万が一被害にあった場合は、警察への通報やクレーム対応などが必要になります。
なりすましサイト側もさまざまな対策をしているため「これをすれば確実に被害を防げる」という答えは残念ながらありません。
しかし、企業が対策をすることで被害が最小限で済みます。
\自社のなりすましサイトの検知・フィッシング対策に!/
ぜひこの記事を参考に、できる対策から始めてみてください。
なお、下記記事では、偽ECサイトに特化した被害例や対策を紹介していますので関心のある方はチェックしてみてください。
