世界的なホリデー商戦が最盛期を迎える中、サイバーセキュリティ研究者は、精巧な偽装ECサイトのネットワークを通じて消費者をだますことを目的とした、大規模で産業化された作戦を発見しました。
2025年11月に公開された報告書で、BforeAIの研究部門であるPreCrime™ Labsは、偽オンラインショップのドメインを大量登録する協調的なキャンペーンを特定しました。
これらのサイトは正規の小売業者になりすまし、金融データを盗み、偽の決済システムを通じてマルウェアを配布するよう設計されています。
調査では年初から登録された244のドメインを分析し、ブラックフライデーや独身の日(Singles’ Day)といった主要な小売イベントを狙う明確な戦略が明らかになりました。
テレメトリは、主に中国のインフラに根差した、よく構造化された作戦であることを示しています。特定されたドメインのうち79件は中国で登録されており、West263 International Limited(46ドメイン)とDynadot(41ドメイン)が主要レジストラとして挙げられています。
産業化されたインフラとTTP
このキャンペーンは孤立した事案の寄せ集めではなく、「高度に組織化されたインフラ・アズ・ア・サービス(IaaS)モデル」です。登録活動のピークは10月に発生し、ホリデーの早期トラフィックを取り込むタイミングで78の新規ドメインが出現しました。
研究者は、これらのWHOISエントリの50%以上がプライバシー保護を利用して帰属の特定を困難にしている一方で、バックエンドのASNメタデータは一貫して中国または香港のホスティング事業者を指し示していると指摘しました。
脅威アクターは自動化されたサイト生成ツールを用いて、これらのストアフロントを大量生産しています。
OSINTによる突合により、共有されたJavaScriptライブラリ、同一の決済テンプレート(しばしばShopifyの構造を模倣)、複数ドメインにまたがる追跡ピクセルの使い回しが明らかになりました。
DNSlyticsを用いたピボットにより、一部のドメインはCloudflare を使って発信元を隠しているものの、ホスティングのブロックは数週間ごとに新しいクラスター向けに頻繁に再利用されていることが判明しました。
報告書は、被害者を欺くために用いられるいくつかの明確な戦略を強調しています:
- アジェンダ志向のキャンペーン:「peaceforsecurity[.]com」のような一部のドメインは、「Women Dresses 2025」を販売する高級ファッションストアを装っていました。この手口は、慈善的な感情につけ込む、あるいは大手ブランドの正当な人道支援キャンペーンに合わせて検知を回避しようとしている可能性があります。
- 曖昧なクロスブランディング:攻撃者は消費者を混乱させるためにブランドを混在させています。例えば「lululemonsalehub[.]com」は、スポーツブランドとは無関係なヘア製品を宣伝している一方で、ページタイトルには「Shein」への言及があり、混沌とした複数ブランドのなりすましを形成していました。
- 季節要因による緊急性:即時のクリックを促すため、アクターは「mango-flashsale[.]com」のようなドメインや、「gymclothes980[.]store」のような汎用サイトを登録しました。これらのサイトは粗雑なテンプレートと「送料無料」オファーを用いて、個人を特定できる情報(PII)やクレジットカード情報を収集します。
緩和策と見通し
このキャンペーンは、ドメイン登録動向の継続的な監視が極めて重要であることを浮き彫りにしています。特に、TikTokやFacebookのようなソーシャルプラットフォーム上での可視性を最大化するために、主要な小売期間と同期する動きに注意が必要です。
これらの調査結果を受けて、BforeAIは確認済みドメインをGMOやDynadotなどのレジストラにエスカレーションし、即時停止を求めました。
サーバーのテイクダウンにより複数のクラスターは名前解決できない状態になりましたが、これらの運用者のしぶとさを踏まえると、.top、.shop、.vipといった新たなTLDへ移行する可能性が高いとみられます。
翻訳元: https://gbhackers.com/fake-shopping-domains/
