ホリデーシーズンに横行する偽ショッピングサイトの脅威
世界的なホリデーショッピングシーズンがピークを迎える中、サイバーセキュリティ研究者たちは、精巧な偽のeコマースサイトネットワークを通じて消費者を騙すことを目的とした、大規模かつ組織的なサイバー犯罪活動を明らかにした。BforeAIの調査部門であるPreCrime™ Labsが2025年11月に発表したレポートによると、偽のオンラインショップドメインの大量登録を伴う協調的なキャンペーンが確認された。これらのサイトは、正規の小売業者になりすまし、金融情報を盗み、偽の決済システムを通じてマルウェアを配布するように設計されている。
調査では、今年に入ってから登録された244のドメインが分析され、ブラックフライデーや独身の日といった主要な小売イベントを標的とする明確な戦略が浮き彫りになった。テレメトリーデータは、主に中国のインフラに起因する巧妙に構造化された操作を示しており、特定されたドメインのうち79は中国で登録され、West263 International Limited(46ドメイン)とDynadot(41ドメイン)が主要なレジストラとなっている。
組織化されたサイバー犯罪の手口
このキャンペーンは孤立した事件の集まりではなく、「サービスとしてのインフラストラクチャ」モデルとして高度に組織化されている。登録活動のピークは10月に発生し、ホリデーシーズンの初期トラフィックを捉えるために78の新しいドメインが登場した。研究者たちは、これらのWHOISエントリの50%以上が帰属を曖昧にするためにプライバシー保護を利用していると指摘しているが、バックエンドのASNメタデータは一貫して中国または香港のホスティングプロバイダーを指している。
攻撃者は、自動化されたサイト生成ツールを使用して、これらの店頭を大量生産している。OSINTを通じたクロスリファレンスにより、共有されたJavaScriptライブラリ、同一のチェックアウトテンプレート(しばしばShopify構造を模倣)、複数のドメインにわたる再利用されたトラッキングピクセルが明らかになった。DNSlyticsを介した調査では、一部のドメインがCloudflareを使用して発信元を隠しているものの、ホスティングブロックは数週間ごとに新しいクラスターのために頻繁に再利用されていることが判明した。
巧妙な欺瞞戦略
- 目的志向型キャンペーン: 例えば、「peaceforsecurity[.]com」のようなドメインは、高級ファッションストアになりすまし、「Women Dresses 2025」を販売することで、慈善的な感情を悪用したり、主要ブランドの正当な人道キャンペーンと連携して検出を回避しようとしている。
- 曖昧なクロスブランディング: 攻撃者は、消費者を混乱させるためにブランドを混在させている。例えば、「lululemonsalehub[.]com」は、アスレチックブランドとは無関係のヘア製品を宣伝し、ページタイトルでは「Shein」に言及するなど、混沌としたマルチブランドのなりすましを作成している。
- 季節的な緊急性: 即座のクリックを促すため、攻撃者は「mango-flashsale[.]com」や「gymclothes980[.]store」のようなドメインを登録している。これらのサイトは、粗雑なテンプレートと「送料無料」のオファーを利用して、個人識別情報(PII)やクレジットカード情報を収集する。
対策と今後の見通し
このキャンペーンは、主要な小売期間と同期するドメイン登録トレンドを継続的に監視する必要性があることを浮き彫りにしている。特にTikTokやFacebookのようなソーシャルプラットフォームでの可視性を最大化するためだ。BforeAIは、確認されたドメインをGMOやDynadotなどのレジストラにエスカレートし、即時停止を求めた。サーバーのテイクダウンにより、いくつかのクラスターは解決不能になったものの、これらの運営者の回復力は、彼らが今後も.top、.shop、.vipなどの新しいTLDに移行する可能性が高いことを示唆している。