【トラブル】注意喚起!!これは詐欺サイト?低レベルなものにひっかかったかも・・・

きちんと見るとどう見ても怪しいECサイトだったのですが、クレジットカードを入力してしまうというミスをしてしまいました。
不審に感じ、すぐに該当クレジットカードを停止しましたので、金銭的な実被害はなし。(クレジットカード切替の手間などは発生)

詐欺ECサイトかどうかの確証はありません。
しかし、もしそうだった時や、類似のケースで被害に合う方を減らすことを目的として、情報を残しておきます。
(間違えていると営業妨害となる可能性もありますので、サイトURLは記載しません。ご了承ください。)

発生事象

とある自転車グッズが欲しかったのですが、販売しているサイトが全然見つかりませんでした。(廃番になっている感がします。)

そんな中、Google検索にて商品名で検索したところ、在庫のあるECサイトを発見。
「ラッキー」と思い注文しようとしたのですが・・・

クレジットカードを入力し、「VISA認証サービス(2段階認証のようなもの)」に遷移したのでこちらもパスワードを入れたところ、パスワードエラー。
3回入力すると、エラー画面に遷移しました。

あまり使わないパスワードでもあり「間違えているかな?」とも思ったため、パスワードを再設定。
しかし、リトライしても同じエラー。

これはさすがにおかしいと感じました。

対処

内容は後述しますが、「これは怪しい。対処せねば。」と判断し、クレジットカード会社に速攻連絡しました。

対処法は「ご心配でしたら、カード番号を再発行いたしますか?」です。
(まあ、それしかないですよね・・・)

即時停止、並行してカード再発行となりますので、手元にカードが届くまで1〜2週間は該当クレジットカードを使うことができないです。
もちろん、不正利用は防げます。
また、電気代などの定期的に決済が発生するようなケースに該当すると、それらを個別に切り換えていく必要があります。

要は、手間!ですが、とりあえずリスクは回避!ですね。

※ちなみに、どこのサイトですか?みたいな会話はなかったです。受け取っても困るのでしょうね。プライバシーに関わるものもあるでしょうし。

※当件におけるカード再発行は無償対応でした。

※カード再発行は、再発行の審査自体が完了すれば、そのカード会社発行元のECサイト(例えば、Amazonや楽天のようなサイトを指します)の登録に反映されることが多いようです。
つまり、新カードが手元に届く前でも、そのサイトでのオンラインショッピングは可能なことが多いようです。
(カード会社からすると機会損失ですからね・・・)

何かがおかしいぞ・・・?

上記のパスワードエラーだけでも十分おかしいですが、他にもおかしな点が多々ありました。

本当、普通に見れば「おかしい」と思う内容ですが、Google検索から直接商品ページに飛んでしまったため、確認が薄くなったということはあります・・・

レビューの日本語がおかしい

これだけで「詐欺ECサイト」と判断できるわけではありませんが、総じて怪しい日本語ばかりです。

最近、Amazonレビューも似たような感じですので、慣れてきてしまっているのも危ないですね・・・

謎に安すぎる、単位がおかしい

これも「確定」とは言い切れませんが、怪しいです。

さらに、小数点以下のある価格・・・円で小数点以下がある商品って、どういうことでしょうか。

サイトのフッターが想像以上にポンコツだった

もうね、普通に見ると笑っちゃいます。

「Bootstrap」「jQuery」、、、ECサイトで、IT技術のリンクなんて貼りません。
「配送方法について」「Link」で、各サイトのトップページに飛ばしてどうするんですか。(本当にYahoo!のトップページに飛んだりします)

なお、「会社概要」はどこかの本物ECサイトの内容をパクっていると思われます。
(メールアドレスの記載等、当ECサイトと異なるドメインで表示されておりましたので。)

「利用規約」「特定商取引法に基づく表記」「プライバシーポリシー」等がない

もはや法律違反ですね。

でたらめなクレジットカード情報でも次の画面に遷移する

クレジットカードを停止したので、適当に遊んでみました。

有効期限を変えたりと「間違った情報」で送信してみましたが、次の画面である「VISA認証サービス」に遷移します。
「VISA認証サービス」が突破できない挙動も同じでした。

「VISA認証サービス」に遷移すること自体、クレジットカード会社側のチェック処理を通るはずです。
(VISA認証サービスを使うかどうかの設定がありますので)

これはもう、クレジットカード会社につながっていないとしか思えない挙動でした。

相談

「情報処理安全確保支援士(登録セキスペ)」の立場としてもさすがに放置しておくわけにはいきませんでしたので、しかるべき機関に通報しておきました。

実被害はありませんし、詐欺ECサイトか確定したわけでもありませんので、そのスタンスでの通報です。

皆様方におかれましても、似たような状況を発見しましたら、是非、通報ください。(ネットで送信するだけです)

通報サイト

一般社団法人セーファーインターネット協会

日本における公式窓口になります。

セーファーインターネット協会 Safer Internet Association(SIA) | 一般社団法人セーファーインターネット協会(SIA)は、違法・有害情報の流通を防止するために、民間企業らによって設立された団体です。統計に基づいた施策の立案・実施、効果測定など、民間組織ならではのノウハウを活かし、とかく場当たり的・扇情的対策になりがちな分野において、効果的な対策を行ってまいります。

一般社団法人セーファーインターネット協会(SIA)は、違法・有害情報の流通を防止するために、民間企業らによって設立された…

セーファーインターネット協会 Safer Internet Association(SIA) | 一般社団法人セーファーインターネット協会(SIA)は、違法・有害情報の流通を防止するために、民間企業らによって設立された団体です。統計に基づいた施策の立案・実施、効果測定など、民間組織ならではのノウハウを活かし、とかく場当たり的・扇情的対策になりがちな分野において、効果的な対策を行ってまいります。

一般社団法人セーファーインターネット協会(SIA)は、違法・有害情報の流通を防止するために、民間企業らによって設立された…

Google

Google検索経由でのアクセスでしたので、こちらにも通報。

(補足)

上記の通報については、身元を明かす必要はありません。逆に回答も何もないと思われます。

実害が発生した場合は、警察に相談することになります。

もしくは、独立行政法人 国民生活センターセンターが窓口です。

感想

最大のセキュリティーホールは人間、だと痛感しました・・・

Google検索経由で直接商品ページに遷移してしまった、たいした金額の買い物ではなかったということもあり、ささっと作業してしまいました。
クレジット決済がエラーにならなかったら、怪しいと思わなかった可能性が高いですね、、、

クレジットカード使用は、やはり注意しなければいけませんね。

かといって、利便性を考えるとクレジットカードを使わない、ECサイトを使わない、という選択肢はないですね。

オススメの対策(総括)

パスワードの使いまわしは絶対NG

今回のケース、クレジットカードを止めて不正防止したとしても、入力したパスワードは取られてしまっています。

同じパスワードを使い回しているとそちらへの被害の可能性も捨てきれません。

人間の脳でいろいろなパスワードを覚えることは不可能ですので、ツールを利用しましょう。
ランダムなパスワードの生成機能などもあります。

私はパスワードを作るアルゴリズムを考えるのが面倒になったので、全てツールにおまかせしています。
そのため、自分でもパスワードが分かっていません。笑

重要なパスワードはパスワード桁数を異常に長くしていますので、手打ちするときは涙が出ます。

パスワードマネージャーで機密情報を保護。1Passwordでデータ侵害を防止し、アプリを保護し、パスワードを自動入力しま…

間違ったクレジットカード情報をわざと入力してみる

あえて間違ったクレジットカード情報を入力することで、本当に決済サービスに接続しているかを確認する技です。

クレジットカード番号はチェックデジットがかかっており、Luhnアルゴリズムで番号が妥当かどうか判断されます。
(チェックデジットとは、番号に対して、特定の計算式が成り立つ場合に「正しい番号」とチェックする仕掛けです。
簡単な入力ミスの防止などを目的として利用されています。)

今回、このチェックデジットのチェックはサイトに実装されていましたので、本当にデタラメな番号だと画面遷移できませんでした。

FinTech Diary

カード番号の最後の一桁は「チェックデジット」と呼ばれ、カード番号の有効性を判定するのに利用されます。 今回はチェックデジ…

そもそもサイトをキチンと見る

今回は、サイトを徘徊すればすぐに分かるレベルでしたね・・・

もちろん、これでも万全ではありません

今回は決済エラーとなるポンコツっぷりでしたが、決済OKになってしまうとすぐに疑えませんよね。
普通のECサイトのように、注文メールなども来ると、さらに疑問を抱きません。

Amazonや楽天のそっくりページで騙すケースもあります。

セキュリティ的なチェックは専門的な知識が必要になってきますのでハードルが高いかと思いますが、
せめて、クレジットカードの利用明細はこまめに確認し、怪しい決済がされていないかは確認するようにしましょう。

※ちなみに私、ECサイトがハッキングされてカード番号が流出したこともありますし、カード会社から「不正利用の疑いがあります・・・」と連絡があってカード番号を切り換える、などと、色々経験しています。笑

※なお、クレジットカードの取り扱い自体は、少しずつセキュリティ強化されております。

関連記事

JR東海の新幹線予約「エクスプレス予約」をご利用の方であれば、目にされたかもしれません。 「エクスプレス予約」とは、ネットで東海道・山陽新幹線の乗車券、指定席を予約できる仕組みですね。 ネットで予約しておき、「EX-ICカード」[…]

※ご回答希望の場合は、ご連絡先も記入ください
"意見が持てる" デジタルコラム
絶賛配信中!

メルマガ詳細はこちら >>>

送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。
   
         
最後までお読みいただき、ありがとうございました。
以下も、ぜひご活用ください^^
出版物
ITmedia
メルマガ
Site Access Log by HTTP Header

    >情報システムの

    情報システムの"教科書"本を発売中!


    ■ 情シス、システムコンサルタント、システムエンジニアの方へ
    情シスの定石(技術評論社)

    ■ システムエンジニア、情シスの方へ
    システム設計の教科書(技術評論社)

    CTR IMG

    株式会社グロリア ご紹介