2万店以上の偽ショップがひしめくネットワークの内幕 |Malwarebytes

私たちは、2万件を超えるドメイン、数十の共有IPアドレス、そして異なる店名を貼り付けただけの全く同じ店舗デザインからなる、広範な偽サイトネットワークを特定しました。これらが存在する目的はただ一つ、ユーザーの支払い情報や個人データを盗むことです。これらすべてを結びつける共通点は、ほとんどの人が何とも思わないようなブラウザのタブタイトル、「あなただけのための比類なき品揃え」です。

磨き上げられた店先、空っぽの倉庫

偽サイトとは、正規のオンライン小売店のように見せかけるために作られた詐欺サイトです。商品一覧、ブランドロゴ、顧客レビュー、ショッピングカート、そして一見すると正常に機能しているように見える決済ページなどが用意されています。しかし、約束した商品は決して届きません。被害者が何も受け取れない場合もあれば、広告価格のほんの一部に過ぎない安っぽい模造品が届く場合もあります。

いずれにせよ、販売されている商品はあなたのデータそのものです。こうした偽のショップは、あなたの支払い情報、請求先住所、個人情報を収集し、それらを犯罪者向けのマーケットプレイスで転売したり、直接なりすまし詐欺に利用したりします。

この問題の規模は爆発的に拡大している。最近の脅威インテリジェンスデータによると、2025年第1四半期の偽のオンラインショップによる詐欺は、前年同期比で790％増加した。その一因として、貿易関税をめぐる経済不安により、消費者が安価な代替品を求めるようになったことが挙げられる。

2024年のホリデーシーズンだけでも、研究者らは8万件以上の偽店舗を特定したが、その多くは数日以内に消滅するか、店名を変更していた。2025年後半の業界データによると、ソーシャルメディア上でブロックされた脅威の65％を偽店舗が占めており、その主なYouTube Facebook YouTube 。

こうした手口はますます組織化が進んでいる。研究者らは最近、世界中の350以上のファッションブランドを装った3万店以上の偽店舗が関与する組織的な詐欺キャンペーン「FraudWear」の実態を明らかにした。

別の調査により、「BogusBazaar」というフランチャイズ形式のネットワークが明らかになった。このネットワークでは、中核となるチームがサーバー、決済処理、テンプレート基盤を維持管理し、分散型の運営者がその上に個々のショップを立ち上げていた。このネットワークは2021年以降、7万5000のドメインを通じて100万件以上の注文を処理していた。

偽のショップが成功するのは、広告をクリックしたり、検索結果からアクセスしたり、洗練された見た目のサイトにたどり着いたりといった、私たちにとって馴染み深い購買行動を利用しているからです。さらに、期間限定のオファーやカウントダウンタイマー、在庫切れの警告などを用いて、心理的なプレッシャーを巧みにかけてくるのです。

同じ店舗、違う名前

不審なECサイトのドメインを調査していたところ、共通のインフラストラクチャのパターンを共有する2万以上のサイトからなるクラスターを特定しました。

その多くは「.shop」というトップレベルドメイン（TLD）を使用しており、登録料が安く、一見すると信頼できそうな名前であることから、詐欺師たちの間で人気を集めています。Cloudflareのメールセキュリティデータによると、「.shop」ドメインは現在、スパムや悪意のある活動に関連するTLDの中で上位にランクインしています。

ページのソースコードを詳しく調べたところ、これらのサイトを結びつけている要因が明らかになりました。いずれもWordPressで動作しており、Sellviaという米国を拠点とする正規のECプラットフォームを利用しています。Sellviaは、既製のテンプレート、商品カタログ、決済処理機能を提供することで、ユーザーがドロップシッピングストアを迅速に立ち上げられるようにしています。

各店舗のフロントページは、Sellviaのテーマを再利用し、そのネットワークから商品画像を取得しています。私たちが確認した6つの「異なる」テンプレートは、実際には2つの基本テーマに外観上の違いを加えたものに過ぎません。以下に、まったく異なるブランド名の下で同じテンプレートがどのように表示されるかを示す例を、ペアでいくつか紹介します。

20,000ドメイン、36のIPアドレス

見た目の類似点の裏側では、これらの偽サイトは共通のインフラ基盤を共有しています。2万件を超えるドメインのすべてが、わずか36個のIPアドレスのセットに解決されます。

そのような集中度は、正規のオンライン小売業者には見られないものです。これは、あるグループがサーバーやテンプレートを管理し、個々のオペレーターがその上にドメインを次々と立ち上げる、大規模な詐欺組織の典型的な特徴です。

こうした活動の多くは、207.244.x.x や 23.105.x.x などの IP アドレス範囲を含む、ごく少数の IP アドレス範囲に集中しています。この集中傾向は、特定のホスティングプロバイダーが好まれていること、そして「ドメインを立ち上げ、テンプレートを適用し、公開する」というスピード重視の構成が採用されていることを示唆しています。

これは、他の偽ショップネットワークで見られるフランチャイズ型のモデルと似ています。中核となるグループがサーバー、テンプレート、決済システムを管理し、各運営者がドメインを登録してその上に店舗サイトを立ち上げます。あるサイトが通報されたり閉鎖されたりすると、別のサイトがその代わりとなるのです。

しかし、このクラスタリング構造は弱点にもなり得る。少数のサーバーをダウンさせれば、数千ものサイトをオフラインに追い込むことができるからだ。

偽のショップから身を守る方法

こうした偽の店舗は、独立した事業ではありません。それらは、説得力のある外観を装い、素早く動き、そして同じくらい素早く姿を消すように設計された、大規模で反復可能な事業の一環なのです。

そのサイトが不審に感じられたり、急かされているような気がしたり、あるいは「良すぎて怪しい」と思ったりした場合は、そのように扱ってください。ほんの数秒余分に確認するだけで、サイバー犯罪者に金銭や個人情報を渡してしまう事態を防げます。

ブラウザ保護機能をご利用ください。以下のようなツール Malwarebytes Browser Guard のようなツールを使えば、決済画面に到達する前に既知の詐欺サイトをブロックできます。
ドメイン名を注意深く確認してください。特に、.shop、.top、.store、.xyz といった見慣れない拡張子には注意が必要です。これらが、一般的な名称やブランド名のように聞こえる名前と組み合わされている場合はなおさらです。その小売業者について聞いたことがない場合は、それが最初の警告サインとなります。
大幅な値引きには疑いの目を向けるべきです。他のどこでも売り切れている商品が、見知らぬサイトだけで大幅に値引きされている場合は、それは罠です。
「コピペ」された店舗には注意が必要です。異なる名称のサイトが複数あり、レイアウトや商品画像、バナーがすべて同じである場合、同じテンプレートを使用している可能性が高いです。正規の店舗は、そのような運営は行いません。
第三者のレビューを探してみましょう。「レビュー」や「詐欺」といったキーワードを付けて、その店舗名を検索してみてください。検索結果にそのサイト自体しか出てこない場合は、何かを物語っています。
直感を無視してはいけません。何かおかしいと感じたら、すぐにやめてください。「どうなるか試してみよう」というだけで、支払い情報を入力してはいけません。
より安全な決済方法を利用しましょう。クレジットカードはデビットカードよりも高い保護機能を備えています。バーチャルカードや決済サービスを利用すれば、個人情報と販売者の間にさらなる保護層を設けることができます。