2/2のIT Mediaの記事が気になり、時間が取れたので少し調べてみた所、財布のひもが緩み正月モードで警戒が薄れがちな”年始”を狙った攻撃の様に思えました。

www.itmedia.co.jp

　アイリスオーヤマの公式通販サイト「アイリスプラザ」を装った偽サイトの被害が増えているとして、1月下旬に兵庫県警察サイバー犯罪対策課や大阪府警察本部・府民安全対策課が相次いで注意喚起を行った。

　偽サイトはアイリスプラザからロゴや商品写真を転載して公式サイトになりすまし、割安な価格で販売しているように見せかけて個人情報やクレジットカード番号の入力を求める。アイリスオーヤマによると実際に「個人情報を送った」「支払いをしてしまった」という相談を複数受けているという。

　アイリスオーヤマが偽サイトを最初に発見し、そのURLとともに注意喚起したのは21年3月。その後も偽サイトは増え、既に閉鎖されているものを含めてこれまでに27件のURLを確認している。

 

公式発表

・アイリスプラザに偽装したサイトにご注意ください

 

キタきつねの所感

今回はアイリスオーヤマから、フィッシングサイト情報が出ているので、これを調べてみました。

尚、IT mediaの記事にもありましたが、兵庫県警等も以下の様な注意喚起を出しています。フィッシングサイトトップページ（画像）を見ると、”怪しい”事が分かる方が多いかと思いますが、残念ながら「釣られてしまう」方も結構いらっしゃる様です。

【偽サイトに注意！】
　アイリスオーヤマ公式通販サイト「アイリスプラザ」が偽サイトによる被害が発生しているとして、注意喚起をしています。
　県警でも年末から同様の相談を多数受けています。
　インターネット検索で「広告」として偽サイトが表示される場合もあるので注意してください！ https://t.co/9Yp8NQTP6i

— 兵庫県警察サイバー犯罪対策課 (@HPP_c3division) 2022年1月21日

 

下記がアイリスオーヤマの公式発表に掲載があった偽装（フィッシング）サイトです。

※因みに記事には27サイトと書かれているのですが29個かかれています。連れていかれる先が同一の所もあるので、重複を除くと27だったのかと思われます

。

これらの偽装サイトなのですが、2/4の調査時点で９つのサイトが稼働していました。（生存率33%）

 

そのほとんどが、下記の様なトップ画面デザインでした。

　【生存が確認されたサイト】

　①https://www.ihogle.com/
　②https://www.iris-jp.shop/
　③https://www.irisplaza-jp.shop/
　④https://www.irisplaza-co-jp.com
　⑤https://www.iris-store.shop/
　⑥https://www.iris-plaza.shop/
　⑦https://www.irisplaza-store.com/
　⑧https://www.irisplaza-jp.com/
　⑨https://onlymhduty.shop/　※ここだけトップ画面のデザインが違います

 

2月時点で稼働中という事で「Happy New Year」表記に違和感を持つ方も多いかと思いますが、こうした状態になっている背景は2つ考えられます。

 

①クリスマス～正月にかけて仕掛けたフィッシングキャンペーンの後、サイトを閉鎖しなかっただけ（攻撃の後が残っている）

②「Happy New Year」という表現を2月にしていても『不思議に思わない』攻撃者（グループ）である

両方共に考えられる背景事情かと思いますが、（プロの）フィッシング攻撃者であると思うので、②の可能性を感じます。

 

旧暦で2022年の旧正月は『2月1日』です。北京五輪が開催されている隣国の中国では、春節（旧正月）期間中に12億人の方が移動すると報じられており、コロナ感染拡大も懸念されていますが、2月1日を正月と捉えれば、コンテンツが古い訳ではない。これが偽装ページがの生き延びている”理由の１つなのではないかと思います。

中国で春節移動が本格化、昨年比３割増の１２億人…当局は感染拡大を警戒 : 国際 : ニュース : 読売新聞オンライン

 

旧正月の文化が根付いているのは中国だけでなく、台湾もそうですし、お隣の韓国でもそうだったかと思います。日本では旧正月を祝う風習は（一部を除いて）あまり無く、休日設定になっている訳ではありませんので、『1か月以上も新年セールをするサイトは無い！』と感じてしまうのですが、攻撃者との間のこうした文化の差が”違和感の正体”である可能性は十分にありそうです。

 

偽装サイト（※上記①～⑧）の癖を調べてみると、8サイトはほぼ同じ作りになっていました。まず割引率が5割～7割と、異常なので、多くの方はここでフィッシングに気づくだろう・・とは思うのですが、見かけの『激安』に目が眩んでしまう方も一部にはいらっしゃるのが残念な所です。

※因みに、アイリスオーヤマから発表された偽装サイトはすべて『https』であった事を考えると、ひと昔前のフィッシングサイトの見分け方である『鍵付き』かどうかは、判別方法としては危険である事が分かります。

 

サイトのソースコードを見ると「zen-cart」（オープンソースソフトウェア）を使っている事が分かります。

こうしたECサイト構築パッケージを使い、商品画像や商品説明などを本物のサイト（今回の場合であればアイリスプラザ）からコピーしてしまえば、一見見分けがつかないサイトが出来てしまいます。

 

しかし丁寧にサイトを見ていくと不自然な所も多々あります。一番分かりやすいのが（こうした記事よって対策されてしまう可能性もあるのですが）ロゴです。

 

◆本物のロゴ

◆偽装サイト（※魚拓サイトのデータを含みます）

 

 

 

 

攻撃側は古いロゴをコピーして使い回しているという事なのかと思いますが、「公式通販」の文字が偽装サイトのロゴには書かれていません。

 

著作権（Copyright）の書き方が違う所も、細かい所なのですが差分な気がします。

 

◆本物

 

◆偽装サイト（一部抜粋）

 

年号が2021より、2001の方が怪しく感じてしまいますが、日本のサイトはこうした表現を使わない（見た事がない）のが「全著作権所有」の表記です。

 

DeepLの翻訳結果を見て頂くと、何故この表記になったのかが「よく分かる」かと思います。併せて、どの言語を話す攻撃者（グループ）が偽装サイトを作っているのかが透けて見えてきます。

他には、zen-cartの標準という訳では無い様ですが、URLの名前の付け方が本物のサイト構成を”無視している”傾向がありました。

国内のECサイトでは、一番下の方に書かれている事が多い「特商法」や「プライバシーポリシー」等は、ほぼ無視されており、攻撃者が手を抜いている事が伺えます。

 

精巧で本物そっくりな偽装（フィッシング）サイトというよりは、一見で「安い！」「買わなきゃ！」と思わせる初見重視の作りなのかと思います。

 

フィッシングサイトを普段から見慣れている方には釈迦に説法かも知れませんが、偽装（フィッシング）サイトのトップページを一見しただけでも「違和感」を覚えます。それが『日本語フォント』です。

 

デザインに相当拘る事が多い日本のECサイトで、『この日本語フォント』が、デザインを統括している方から了承を得られる気がしません。

 

本物のサイトと見比べると、画像の中などで使っているフォントは”まったく違う”事がよく分かります。

 

その他の特徴としては、偽装サイトをWhois検索で調べると米国本社のNameCheapが（生きているサイトでは）よく使われていました。日本で言うとお名前.comの様なサービスです。

No	死活	偽装サイト一覧	Whois情報
			Creation Date	Registrar
1	〇	https://www.ihogle.com/	2022-01-17T05:54:30	NameCheap, Inc.
2	〇	https://www.iris-jp.shop/	×	×
3	〇	https://www.irisplaza-online.com/	2022-01-13T08:04:57Z	NameCheap, Inc.
5	〇	https://www.irisplaza-co-jp.com	2021-12-30T01:55:15Z	NameCheap, Inc.
6	〇	https://www.iris-store.shop/	×	×
7	〇	https://www.iris-plaza.shop/	×	×
8	〇	https://www.irisplaza-store.com/	2021-12-20T01:46:58Z	NameCheap, Inc.
9	〇	https://www.irisplaza-jp.com/	2021-12-10T06:57:00Z	NameCheap, Inc.

 

偽装サイトが1月1日（日本の新年）を超えて登録されているケースもありましたので、攻撃側が2月までが”新年”と考えていた可能性がある事は、こうした登録情報からも推測する事ができます。

 

 

余談ですが、既に稼働してないサイトではお名前.comも結構使われていました。元々誰かが所有していたドメインを手放した後に、そのドメインを悪用しようと購入している様でした。

SEQ	死活	偽装サイト一覧	Whois情報
			Creation Date	Registrar
12	×	https://irisplaza.jp	2021/5/7	お名前.com
13	×	https://www.irisplaza.jp	2021/5/7	お名前.com
16	×	https://e0lz3.eb.downtownlane.com/	2021-04-29T05:40:46Z	GMO Internet, Inc. d/b/a Onamae.com
19	×	https://yesyo.jp	2021/3/4	お名前.com
20	×	https://www.otoku-store.jp/	2021/3/29	お名前.com
21	×	https://iric.jp	2021/3/11	お名前.com
22	×	https://magio.jp/	2021/2/20	お名前.com
23	×	https://www.lowestprice.jp/	2021/1/12	お名前.com
24	×	https://hosay.jp/	2021/5/21	お名前.com

 

こうした偽装サイトの登録パターンを見てみると、今回の注意喚起が出た”新年”攻撃キャンペーンは別にして、間隔を空けて偽装サイトを作っている（≒執拗にアイリスプラザを狙っている）事が伺えます。

 

こうしたフィッシング対策には、『お得過ぎる』情報には裏があると警戒心を常に持つ事や、必ず公式サイトから情報を得る様にする事が重要かと思います。

 

※実例（実名）が豊富な下記の様なフィッシング対策の本なども活用されると、より”騙されなく”なるかと思います。

 

余談です。本件を調べている際に、同一の攻撃者（グループ）が、アイリスオーヤマだけを対象にしてない事が分かりました。

 

今回挙げられている偽装サイトのほとんどが、サイト運営者情報の所に「株式会社サラセラ」という名前を使っており、住所や連絡先（業態）も違うのですが、同名の会社に”連絡”が入っている様です。

 

こちらのサイトの注意喚起では、「アイリスプラザ」だけでなく、高性能鍋で有名な「ストウブ」の偽装サイトも出ている事が書かれています。

www.sara-cera.net

 

こちらも、ほぼパターンが同じです。

こちらのサイトでは商品の激安価格の明記はありませんでしたが、5割引との見かけに騙されない様にご留意ください。

 

勝手に名前を使われた会社も被害者となりますので、ここに被害報告をしてはいけませんが、会社名と住所でググってみても出てこないので、こうした手抜きをしている会社概要等も、ECサイト利用者にとっては”怪しさ”に気づけるヒントとなるかも知れません。

 

 

これで最後です。フィッシングサイトの問い合わせ先・・・メインサイトと「ドメインが違う」事が結構あります。（下記の例だとXXXX.vipservice.shop）

 

まぁ、当然の事ながらこんな結果になります。（＝メールを出しても届きません）

※出てきたとしても、”怪しさ”がいくつも散りばめられた検索結果になっているかと思います

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

 

更新履歴

• 2022年2月7日 AM