今年1月、ジョアン・ファブリックスが1年以内に2度目の破産申請をすると、詐欺師たちはその好機を逃しませんでした。数日のうちに、「joannlosangeles.com」「jo-annclosingonsale.shop」「joanndiscount.shop」といったURLを持つ偽ウェブサイトが次々と出現し、いずれも正規のウェブサイトとほぼ同一に見えるよう設計されていました。
ジョアンの偽サイトは、社名、ブランドイメージ、商品画像などを悪用し、大幅な値引きで商品を提供するふりをしていました。目的は、買い物客のクレジットカード情報や個人情報を盗むことでした。これらの偽サイトで注文した顧客は、実際には商品を受け取ることなく、支払い情報を盗まれました。
「ウェブサイト全体の見た目や雰囲気は、本物のウ�ェブサイトと非常によく似ていました」と、ベター・ビジネス・ビューロー(BBB)の広報・ソーシャルメディア担当ディレクター、メラニー・マクガバン氏は述べています。 「携帯電話で『ここで買い物を』という広告やメールのリンクをクリックしたとしても、そのURLは見ていないはずです。」
BBBによると、これらの偽ジョアンのウェブサイトは、注意深い消費者でさえ騙される可能性のある、ますます巧妙化するウェブサイト詐欺の典型例です。詐欺師たちは、AmazonやPayPalといった有名小売業者から、料金徴収会社、求人ポータル、金融機関まで、あらゆるものを模倣し、本物そっくりのリアルな偽ウェブサイトを作成しています。
このような詐欺は長年増加傾向にありますが、一部のサイバーセキュリティ専門家は、新たな開発によって詐欺がさらに増加することを懸念しています。それは、技術スキルの限られた犯罪者でも、わずか数分で正規サイトのほぼ完璧な複製を作成できるAIツールです。
そのプロセスは単純です。攻撃者は、犯罪者向けマーケットプレイスやダークウェブフォーラムでAI搭載ツールを購入します。正規サイトのURLを入力すると、AI搭載ツールは即座に本物のページをスクレイピングし、その外観を複製し、個人情報や金融情報を取得するために設計された偽のフォームを追加します。詐欺師は、コードを1行も書かずに、ページを微調整し、複数の言語に翻訳し、(多くの場合数分で)展開することができます。
「恐ろしいのは、それがいかに簡単であるかということです」と、サイバーセキュリティ企業Netcraftのインテリジェンスおよび戦略担当副社長、ロバ��ート・ダンカン氏は述べています。「これにより、技術者以外の人々がツールにアクセスでき、参入障壁が低くなります。」
より広範な網を張り巡らせる
ジョアン・ファブリックスは、偽サイトとFacebook広告の存在を認識しており、消費者に対し、https://www.joann.com/ がジョアン製品を正規に購入できる唯一のウェブサイトであると警告した。また、偽サイトを通じて購入した人は、金融機関に請求額の異議申し立てを行うよう呼びかけた。ジョアンは6月初旬、このブランドをライバル企業のマイケルズに売却した。
ジョアンの偽サイトがAIの助けを借りて作成されたかどうかは不明である。しかし、Netcraft社は、違法AIツールを利用して作成された、68カ国で194の異なるブランドを偽装した約10万件のドメインを特定しました。同社は、これらの偽サイトが現在、オンライン上のフィッシング活動全体の6~7%を占めていると推定しています。
このツールにより、詐欺師は、これまで偽サイトの作成にかかる労力に見合うほどの大きなターゲットではなかったブランドを狙うことができるようになります。ダンカン氏によると、大企業は偽サイトを迅速に検出・削除するための高度なシステムを備えている一方、中小企業にはこうしたリソースが不足していることが多いとのことです。
「大企業、特に有名ブランドは、こうした脅威を予期しています」と、個人情報盗難の被害者を支援する非営利団体、アイデンティティ盗難リソースセンターのジェームズ・E・リー会長は述べています。「しかし、今やサイバー詐欺の標的となっているのは、中小企業、つまりあらゆる企業なのです」とリー氏は言います。
正規の企業を装ったテキストメッセージ(スミッシング)は、被害者を偽サイトに誘い込むための有効な手段であり、攻撃者はスパムフィルターを回避し、より個人的かつ迅速な方法で人々にアプローチできると、インターネットセキュリティセンターの主任サイバー脅威インテリジェンスアナリスト、ティム・デイビス氏は述べています。メッセージは、通話サービス会社、宅配会社、雇用主を装い、短縮URLでリンクされたウェブサイトへのリンクを記載し、真のリンク先を隠しています。
身を守る方法
偽ウェブサイトを見分けることはますます困難になっていますが、サイバーセキュリティの専門家は、消費者ができる対策をいくつか挙げています。
-
テキストメッセージやメール内のウェブサイトへのリンクをクリックするのではなく、アドレスを直接入力して企業の公式ウェブサイトにアクセスしてください。
-
ウェブアドレスをよく確認してください。詐欺師は、公式のkmart.comやamazon.comではなく、「kmart-jobs.com」や「amazon-sale.net」のように、正規のドメイン名の末尾に単語を追加することがよくあります。また、URLの微妙なスペルミスや置き換えにも注意してください。例えば、「i」の代わりに「1」、アルファベットの「O」の代わりに数字の「0」などです。
-
モバイル端末でウェブサイトを閲覧する際は、特に注意してください。画面が小さいため、疑わしいURLを見つけるのが難しくなります。
-
フィ��ッシングメールやウェブページのスペルミスや文法エラーだけで偽サイトだと判断するのはやめましょう。以前は有効でしたが、今ではAI生成コンテンツが完璧なテキストを生成するため、この検出方法は時代遅れになっています。
-
緊急を要するような言葉遣いですぐに対応を求める、通常とは異なる個人情報を求める、あまりにも良すぎる取引内容など、疑わしいと感じた場合は、直ちに利用を中止してください。BBB(連邦民事司法委員会)やFBIのインターネット犯罪苦情センター(IC3)などの機関にサイトを報告してください。
ジャッキー・スノーはロサンゼルス在住のライターです。連絡先はreports@wsj.comです。