偽のオンラインショップの状況は、粗雑なフィッシングのクローンから、認証情報の窃取、カード情報のスクレイピング、ブランドなりすましに利用される高度なAI搭載ストアフロントへと進化しています。セキュリティチームは、リスクを単なるサイト数だけでなく、クリック数、データ流出率、金銭的損失といったエンゲージメント指標で測定する必要があります。
トレンド概要
最近の調査によると、2022年から2024年の間に、約17の大規模な脅威アクターグループが、ブラックハットSEOやリダイレクトを用いて消費者を欺くために、69万以上の偽ECサイトを立ち上げたと推定されています。ブラックハットSEOベースの偽EC詐欺グループのリダイレクターとウェブサイトの解明。これらのプラットフォームは、正規のオンラインストアを模倣し、認証情報や支払いデータを収集します。
キャンペーン分析と実例
ある大規模なオペレーションでは、中国の詐欺組織が、ヨーロッパや米国の消費者を標的に、76,000以上の偽高級ブランドストアを構築しました。約80万人の被害者が個人情報を入力し、47万6千人が完全なカード情報を共有しました。これらの取引の一部は直接的な金銭被害につながり、その他はID詐欺に利用されました。世界最大級のオンライン詐欺の背後にいる中国ネットワーク。
また、2024年のホリデーシーズン中に小売業を標的とした別の事件では、ECサイトに対して1日平均56万件のAI駆動型ボット攻撃が発生しました。これにはフィッシング、偽カート、ポイント悪用、基本的なDDoS攻撃などが含まれます。包囲下のショッピング。
検知ベクトルと技術的指標
ブラックハットSEOネットワークは、評判ベースのフィルターを回避するために、しばしば侵害されたサイトをリダイレクターとして利用します。検知には、DNSやリダイレクトパターンの異常分析が必要です。技術としては、異常に高いドメインの入れ替わり、ブランド名のスペルミス、1リクエストあたり複数回のリダイレクトなどの監視が含まれます。
クライアント側では、フィッシング検知にユーザーの警告シグナル(TLS証明書の不一致、HTTPリファラーの異常、認証情報を取得する埋め込みJavaScriptなど)を統合できます。フォームスキミング(Magecartとも呼ばれる)は依然として一般的な脅威であり、TicketmasterやBritish Airwaysの侵害のように、注入されたJavaScriptが大規模にカードデータを窃取する事例もあります。
AI駆動型プラットフォームの進化
生成AIにより、攻撃者はストアフロントのレイアウト、商品説明、偽レビューを自動生成できるようになりました。ある研究では、AIツールが現実的な身元プロファイルや、数年前から存在するかのような合成注文履歴を作成できることが指摘されています。生成AIがもたらす複数のセキュリティリスク。これらのショップは単純なパターン検知を回避し、正規に見せかけて消費者の信頼を得ます。
AI搭載のブラウジングエージェントも、意図しない情報漏洩リスクを伴います。これらは認証情報の流出ルーチンやクリックトラッキングリンクを自動実行し、企業の機密情報を露出させる可能性があります。ブラウジングAIエージェントの隠れた危険性。
法的対策と業界の対応
被害ブランドや法執行機関も対策を講じています。欧州や北米では、著作権や詐欺防止法に基づく削除通知により、場合によってはアクティブなドメインの30~50%が削除されています。しかし、検索エンジンがインデックス済みの偽サイトを迅速に削除するためのライセンスは、世界的には一貫していません。
規制当局は、AI生成ストアフロントが公式ブランドを模倣するケースにおいて、本人確認や詐欺防止を管理するAIアライメントポリシーの検討を進めています。EC分野でもKYC(顧客確認)対策が注目されつつありますが、執行はまだ初期段階です。私たちは人間か、それともスパマーか。
ニッチトレンド:防御的リダイレクトフレームワーク
一部の防御側は、既知のシグネチャだけでなく、リダイレクトチェーン検知にも対応したWebアプリケーションファイアウォール(WAF)を導入しています。これらのシステムは、不規則なリファラーフローやセッション境界を持つサイトを検知します。フィンガープリントやJS整合性チェックと組み合わせることで、単なるURLの評判に頼らない検知が可能となります。
セキュリティと利便性のバランス
過剰な誤検知によるブロックは、特にフラッシュセールや新ブランドキャンペーン時に、正規のEC運営を妨げるリスクがあります。チームは段階的な対応を実施すべきです。たとえば、疑わしいトラフィックはCAPTCHAやサンドボックス分析下で許可し、ユーザーパターンやエンゲージメントを監視してから全面ブロックを検討します。継続的なチューニングが不可欠です。
実践的な推奨事項
- DNSログやWAFルールでリダイレクトチェーン分析を実施する。
- 想定されるブランドCAとTLS証明書チェーンを照合する。
- フォーム注入を検知するため、JS整合性検証を導入する。
- ブランドのスペルミスや短期間登録に関連するドメインの入れ替わりを監視する。
- 定期的なバグバウンティやペンテストで新たな偽ショップを発見する。
- レジストラと連携し、不正ドメインの迅速な削除を実施する。
偽ECプラットフォームは、フィッシングキットからAI強化型の詐欺エコシステムへと成熟し、実在のストアフロントを模倣して多くのユーザーを欺いています。ブランド信頼や消費者資金へのリスクは定量化可能です。今や成熟した防御戦略には、技術的なフィンガープリント、法的手段、リスク調整型のエンゲージメントワークフローが求められ、2025年も先手を打つ必要があります。
ボットネット検知や自動化トラフィック制御に関する当サイトのカバレッジに慣れている防御担当者は、WAFやリダイレクト検知のチューニングを行うことで、これらの偽ショップ対策にも役立てることができるでしょう。
翻訳元: https://www.darknet.org.uk/2025/07/fake-e-commerce-platforms-as-attack-vectors-threats-in-2025/