詐欺脅威インテリジェンス

2万店以上からなる偽ショップのネットワークの内部

ステファン・ダシッチ| 2026年3月18日
偽物のクローンショップ

私たちは、2万件を超えるドメイン、数十の共有IPアドレス、そして異なる店名を貼り付けただけの全く同じ店舗デザインからなる、広範な偽サイトネットワークを特定しました。これらが存在する目的はただ一つ、ユーザーの支払い情報や個人データを盗むことです。これらすべてを結びつける共通点は、ほとんどの人が何とも思わないようなブラウザのタブタイトル、「あなただけのための比類なき品揃え」です

磨き上げられた店先、空っぽの倉庫

偽サイトとは、正規のオンライン小売店のように見せかけるために作られた詐欺サイトです。商品一覧、ブランドロゴ、顧客レビュー、ショッピングカート、そして一見すると正常に機能しているように見える決済ページなどが用意されています。しかし、約束した商品は決して届きません。被害者が何も受け取れない場合もあれば、広告価格のほんの一部に過ぎない安っぽい模造品が届く場合もあります。

いずれにせよ、販売されている商品はあなたのデータそのものです。こうした偽のショップは、あなたの支払い情報、請求先住所、個人情報を収集し、それらを犯罪者向けのマーケットプレイスで転売したり、直接なりすまし詐欺に利用したりします。

この問題の規模は爆発的に拡大している。最近の脅威インテリジェンスデータによると、2025年第1四半期の偽のオンラインショップによる詐欺は、前年同期比で790%増加した。その一因として、貿易関税をめぐる経済不安により、消費者が安価な代替品を求めるようになったことが挙げられる。

2024年のホリデーシーズンだけでも、研究者らは8万件以上の偽店舗を特定したが、その多くは数日以内に消滅するか、店名を変更していた。2025年後半の業界データによると、ソーシャルメディア上でブロックされた脅威の65%を偽店舗が占めており、その主なYouTube Facebook YouTube 。

こうした手口はますます組織化が進んでいる。研究者らは最近、世界中の350以上のファッションブランドを装った3万店以上の偽店舗が関与する組織的な詐欺キャンペーン「FraudWear」の実態を明らかにした。

別の調査により、「BogusBazaar」というフランチャイズ形式のネットワークが明らかになった。このネットワークでは、中核となるチームがサーバー、決済処理、テンプレート基盤を維持管理し、分散型の運営者がその上に個々のショップを立ち上げていた。このネットワークは2021年以降、7万5000のドメインを通じて100万件以上の注文を処理していた。

偽のショップが成功するのは、広告をクリックしたり、検索結果からアクセスしたり、洗練された見た目のサイトにたどり着いたりといった、私たちにとって馴染み深い購買行動を利用しているからです。さらに、期間限定のオファーやカウントダウンタイマー、在庫切れの警告などを用いて、心理的なプレッシャーを巧みにかけてくるのです。

同じ店舗、違う名前

不審なECサイトのドメインを調査していたところ、共通のインフラストラクチャのパターンを共有する2万以上のサイトからなるクラスターを特定しました。

その多くは「.shop」というトップレベルドメイン(TLD)を使用しており、登録料が安く、一見すると信頼できそうな名前であることから、詐欺師たちの間で人気を集めています。Cloudflareのメールセキュリティデータによると、.shop」ドメインは現在、スパムや悪意のある活動に関連するTLDの中で上位にランクインしています。

ページのソースコードを詳しく調べたところ、これらのサイトを結びつけている要因が明らかになりました。いずれもWordPressで動作しており、Sellviaという米国を拠点とする正規のECプラットフォームを利用しています。Sellviaは、既製のテンプレート、商品カタログ、決済処理機能を提供することで、ユーザーがドロップシッピングストアを迅速に立ち上げられるようにしています。

各店舗のフロントページは、Sellviaのテーマを再利用し、そのネットワークから商品画像を取得しています。私たちが確認した6つの「異なる」テンプレートは、実際には2つの基本テーマに外観上の違いを加えたものに過ぎません。以下に、まったく異なるブランド名の下で同じテンプレートがどのように表示されるかを示す例を、ペアでいくつか紹介します。

左画像右画像
左画像右画像
左画像右画像
左画像右画像
左画像右画像
左画像右画像

20,000ドメイン、36のIPアドレス

見た目の類似点の裏側では、これらの偽サイトは共通のインフラ基盤を共有しています。2万件を超えるドメインのすべてが、わずか36個のIPアドレスのセットに解決されます。

そのような集中度は、正規のオンライン小売業者には見られないものです。これは、あるグループがサーバーやテンプレートを管理し、個々のオペレーターがその上にドメインを次々と立ち上げる、大規模な詐欺組織の典型的な特徴です。

こうした活動の多くは、207.244.x.x や 23.105.x.x などの IP アドレス範囲を含む、ごく少数の IP アドレス範囲に集中しています。この集中傾向は、特定のホスティングプロバイダーが好まれていること、そして「ドメインを立ち上げ、テンプレートを適用し、公開する」というスピード重視の構成が採用されていることを示唆しています。

これは、他の偽ショップネットワークで見られるフランチャイズ型のモデルと似ています。中核となるグループがサーバー、テンプレート、決済システムを管理し、各運営者がドメインを登録してその上に店舗サイトを立ち上げます。あるサイトが通報されたり閉鎖されたりすると、別のサイトがその代わりとなるのです。

しかし、このクラスタリング構造は弱点にもなり得る。少数のサーバーをダウンさせれば、数千ものサイトをオフラインに追い込むことができるからだ。

偽のショップから身を守る方法

こうした偽の店舗は、独立した事業ではありません。それらは、説得力のある外観を装い、素早く動き、そして同じくらい素早く姿を消すように設計された、大規模で反復可能な事業の一環なのです。

そのサイトが不審に感じられたり、急かされているような気がしたり、あるいは「良すぎて怪しい」と思ったりした場合は、そのように扱ってください。ほんの数秒余分に確認するだけで、サイバー犯罪者に金銭や個人情報を渡してしまう事態を防げます。

  • ブラウザ保護機能をご利用ください。以下のようなツール Malwarebytes Browser Guard のようなツールを使えば、決済画面に到達する前に既知の詐欺サイトをブロックできます。
  • ドメイン名を注意深く確認してください。特に、.shop、.top、.store、.xyz といった見慣れない拡張子には注意が必要です。これらが、一般的な名称やブランド名のように聞こえる名前と組み合わされている場合はなおさらです。その小売業者について聞いたことがない場合は、それが最初の警告サインとなります。
  • 大幅な値引きには疑いの目を向けるべきです。他のどこでも売り切れている商品が、見知らぬサイトだけで大幅に値引きされている場合は、それは罠です。
  • 「コピペ」された店舗には注意が必要です。異なる名称のサイトが複数あり、レイアウトや商品画像、バナーがすべて同じである場合、同じテンプレートを使用している可能性が高いです。正規の店舗は、そのような運営は行いません。
  • 第三者のレビューを探してみましょう。「レビュー」や「詐欺」といったキーワードを付けて、その店舗名を検索してみてください。検索結果にそのサイト自体しか出てこない場合は、何かを物語っています。
  • 直感を無視してはいけません。何かおかしいと感じたら、すぐにやめてください。「どうなるか試してみよう」というだけで、支払い情報を入力してはいけません。
  • より安全な決済方法を利用しましょう。クレジットカードはデビットカードよりも高い保護機能を備えています。バーチャルカードや決済サービスを利用すれば、個人情報と販売者の間にさらなる保護層を設けることができます。

プロのヒント: Malwarebytes は、これらのドメインを詐欺サイトとしてブロックします。

妥協の指標(IOCs)

IPアドレス

  • 108.59.1.151
  • 108.59.12.118
  • 108.59.14.13
  • 108.59.8.97
  • 108.62.0.220
  • 108.62.116.82
  • 108.62.117.45
  • 162.210.195.105
  • 162.210.195.113
  • 162.210.198.37
  • 162.210.199.12
  • 162.210.199.183
  • 162.210.199.235
  • 192.96.200.81
  • 198.7.58.168
  • 198.7.58.87
  • 199.115.115.2
  • 207.244.102.13
  • 207.244.109.109
  • 207.244.126.106
  • 207.244.126.19
  • 207.244.126.21
  • 207.244.67.158
  • 207.244.69.201
  • 207.244.71.143
  • 207.244.89.198
  • 207.244.91.203
  • 23.105.160.43
  • 23.105.172.14
  • 2023年10月5日
  • 2017年10月23日
  • 2019年10月23日
  • 2023年8月26日
  • 23.82.13.161
  • 23.82.13.34
  • 5.79.69.45

私たちは単に詐欺を報告するだけでなく、詐欺の発見を支援します。

サイバーセキュリティリスクは見出し以上の広がりを見せてはなりません。怪しいと感じたら、Malwarebytes Guardで詐欺かどうか確認しましょう。スクリーンショットを送信、不審な内容を貼り付け、またはリンク・テキスト・電話番号を共有すれば、詐欺か正当かを判断します。すべてのMalwarebytes Premium AndroidMalwarebytes 利用可能です。

著者について

ステファン・ダシッチ

ステファン・ダシッチ

ウイルス対策ソリューションに情熱を燃やすStefanは、幼い頃からマルウェアのテストやAV製品のQAに携わってきました。Malwarebytes チームの一員として、Stefan はお客様の保護とセキュリティの確保に尽力しています。

最新記事

バグ
アップル

Apple、サイトがユーザーのデータにアクセスできる可能性のあるWebKitの脆弱性を修正

3月18, 2026

Appleは、WebKitの脆弱性(CVE-2026-20643)を静かに修正する「バックグラウンドセキュリティ改善」をリリースしました。

詐欺
「Fake Pudgy World」サイト

「Fake Pudgy World」というサイトが、ユーザーの暗号資産のパスワードを盗み出しています

3月17, 2026

このフィッシングサイトは、Igloo Inc.やPudgy Penguinsとは一切関係がありませんが、ファンを誘い込み、仮想通貨のパスワードを盗むことを目的として作成されています。

モバイル
車輪付きのトロイの木馬がスマートフォンの画面に侵入する

Google、アクセシビリティ機能を悪用するAndroid への取り締まりを強化

3月17, 2026

マルウェアは長年にわたり、Androidアクセシビリティ機能を悪用してきました。Googleは、その悪用を大幅に困難にしました。

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺