私たちが日常的に使用するネットショッピング。Ｇｌｏｓｓｏｍ株式会社が２０２２年に行った調査では、「Ａｍａｚｏｎや楽天などＥＣサイトで買い物をしますか？」という質問に対して９０．４％の人が「はい」と答えました。そんな中でＥＣサイトを利用する際に入力する「ＩＤ・パスワード」を盗み取る『フィッシング詐欺』が横行しています。その巧妙な手口の実態に迫ります。

Ａさんの場合：精巧に作られた配送通知…ログインすると…

　大阪府に住む２０代のＡさんのもとに届いた１通のメール。

　【Ａさんのもとに届いたメールの内容】
　「商品を１つ本日お届け予定です」

　配送日時のお知らせと思いきやこのメールは実は精巧に作られた偽物でした。

　（被害にあったＡさん）
　「身に覚えがなかったんですけど、もしかしたら何か頼んでいたのかなと思って、詳細にとんで何を頼んだか見ようと思って。そしたらフィッシングメールだったんですけど」

　本物と見比べてみると、文言は違いますが偽物のメールにも「Ａｍａｚｏｎ」のロゴが載っていて、一見しただけでは見分けがつきません。Ａさんは本物のメールだと思い、リンクからログインを試みたといいます。そして５日後…。

　（被害にあったＡさん）
　「『商品が注文されました』みたいなメールが来て、２商品が頼まれていて。全く身に覚えがなかったので」

　アカウントを乗っ取られ、勝手にティッシュとイヤホンが注文されていたのです。しかも…。

　（被害にあったＡさん）
　「これが勝手に使われた分で、その下に僕が頼んだとして（ティッシュを）僕の住所と名前で注文されていて。こっちの履歴だけ見られるんですよ」

　カモフラージュのためか、ティッシュをＡさんの自宅に注文。高額なイヤホン（２万６６７７円）は別の住所に非表示で注文されていました。そのため購入履歴には表示されず、発見を遅らせる狙いだったとみられます。Ａさんは商品発送前に非表示の注文に気付いたため注文をキャンセルできました。金銭被害はなかったのですが、憤りを隠せません。

　（被害にあったＡさん）
　「これが発送されていたらどうなっていたんだろうなっていう。泣き寝入りするしかないのかなと思うとむかつきますよね。若い世代がだまされることはないだろうと思っていたんですけど」

Ｂさんの場合：乗っ取り被害にあいパスワードを変更…しかし再び注文が！

　同様の被害は他にもありました。青森県に住む３０代のＢさんも乗っ取り注文の被害にあいました。

　（被害にあったＢさん）
　「Ｕｂｅｒ券（商品券）１万円分×５枚。『ご購入ありがとうございました』っていうＡｍａｚｏｎからのメールが来ていたんですね。それで、こういう買い物はしていないぞということで…」

　知らないうちに５万円分の商品券を注文されていたのです。Ｂさんはすぐにキャンセルしてパスワードも変更しました。ところが…。

　（被害にあったＢさん）
　「次の日また同じことがあったので。２回目は同じもの（商品券１万円分）を２２枚なので２２万円」

　憤マン取材班に対してＡｍａｚｏｎは「個別事例には答えられない」として、パスワード変更後に乗っ取り注文をされた原因について明かしませんでした。

　Ｂさんの２回目の乗っ取り注文は不正購入と認定されてキャンセルされましたが、まさか自分のアカウントが乗っ取られるとは思いもしなかったといいます。

　（被害にあったＢさん）
　「本当に初めての経験だったし、ちょっと驚きと恐怖っていう感じでしたね」

精巧に作られた偽サイト「犯人に筒抜けになる仕組み」

　アカウントはなぜ乗っ取られたのか。サイバー犯罪の専門家であるＳＢテクノロジー・セキュリティリサーチャーの辻伸弘さんは「フィッシングサイトを使った手口」だと指摘します。

　（ＳＢテクノロジー・セキュリティリサーチャー　辻伸弘さん）
　「フィッシングサイトって言われるような、いわゆる偽サイトってやつですね。本物のサイトと同じような作りになっているものがあって。そこにメールとかで偽サイト（フィッシングサイト）に誘導させて、そこにＩＤ・パスワードを入力させて盗む」

　偽サイトの中には本物のサイトをコピーして作られたものもあり、アドレス以外で見分ける方法がないといいます。

　（ＳＢテクノロジー・セキュリティリサーチャー　辻伸弘さん）
　「表示されているページが本物です。では今から偽物に切り替えるので見ていてください。偽物です」

　確かに見比べても瓜二つです。続いてＩＤなどを抜き取る方法を実際に見せてもらうと…。

　（辻さん）「偽サイトの方にログインをやってみようかなと思います。ユーザーＩＤはですね、『ＭＢＳ』でいいですかね。パスワードは何にしましょうかね」
　　（記者）「ではよんチャンテレビという番組なので『４ｃｈａｎ』で」
　（辻さん）「『４ｃｈａｎ４ｃｈａｎ』と入れました」

　ログインボタンをクリックすると…。

　（ＳＢテクノロジー・セキュリティリサーチャー　辻伸弘さん）
　「こんな感じで、入力した情報がフィッシングサイトを作った攻撃者・犯人に筒抜けになる、というものがフィッシングサイトのよくあるポピュラーな仕組みです」

　フィッシングサイトにひとたび誘導すれば、秘密のパスワードも簡単に抜き取れるのです。

乗っ取り注文された商品は「海外転送倉庫」に

　では注文された商品はどこに届けられるのでしょうか。Ａさんのアカウントで勝手に注文されていたイヤホン。取材班はその届け先に指定されていた東京都内の住所に向かいました。その住所には…。

　（海外転送業者の社長）
　「（Ｑ注文の住所がこちらに指定されていたが？）弊社は海外転送倉庫ですから。弊社が受け取る商品は、他社の注文になりますから、その中で不正利用されているかどうかの判断は弊社としてはできない状態ですね」

　この業者は、会員登録した利用者がＡｍａｚｏｎなどの通販サイトで注文した商品を、この倉庫を経由して海外に転送するサービスを提供しています。多くの通販サイトは海外に直接配送できないため、海外に住む人などがこうしたサービスを利用しているといいます。

　（海外転送業者の社長）
　「弊社としては、（不正利用を）発見次第、利用者のアカウントをブロックしたりＩＰアドレスをブロックしたりとかの対策しかできない。（Ｑ不正なことにサービスが利用されていることについては？）このサービス自体は何も問題ないサービス」

　個人情報保護の観点から乗っ取り注文を行った利用者の情報は公開できないと話しました。

『パスワードやＩＤが漏れることは日常茶飯事に起こっている』

　こうした乗っ取り注文について、Ａｍａｚｏｎは「フィッシング詐欺に関連するウェブサイト２万件以上の削除に協力した」などと、不正行為を一切認めない姿勢です。

　一方で、サイバー犯罪の専門家である辻伸弘さんは「アカウントの乗っ取りは今や珍しいことではない」と指摘します。

　（ＳＢテクノロジー・セキュリティリサーチャー　辻伸弘さん）
　「偽物を見抜けたらいいんですけど、なかなか見抜けないと思うので。パスワードやＩＤが漏れることってすごい大事件のように感じるかと思うんですけど、日常茶飯事に起こっている」

　フィッシングメールを何気なくクリックしたことから始まる乗っ取り注文。あなたのアカウントもいつの間にか乗っ取られているかもしれません。