あるサイトが危険かどうか、詐欺に使われているサイトかどうかを調べるには複数のツールを駆使することが有効です。とはいえ、インターネットのセキュリティに詳しい人ではない限り、高度な検査ツールを駆使して調べてその意味を完璧に理解するのは難しいでしょう。そこで、総合的に判断ができる便利なツールをご紹介します。
尚、これらのツールも完全ではないことを覚えておきましょう。たとえばScam Adviserで問題なし、Scam Detectorで問題ありと出る場合もあります。また、単なる偽装に使っているだけのサイトであれば「最近つくられて訪問者が少ない」という以外、何の危険も検出されない可能性もあります。
ツールの話をする前に、ドメイン名やWHOISからわかる特徴について解説します。
偽サイトの特徴
ドメイン名
トップレベルドメインとは?
ウェブサイトのドメイン名において、ドットで区切られた文字列の一番右の部分(ラベル)のことを、TLD、トップレベルドメイン(Top Level Domain)といいます。たとえば、https://example.co.jp というドメインがあったとします。その次に来るcoが2ndLDセカンドレベルドメイン)といいます。co.jp であれば日本で登記された企業のサイトであることがわかります。
このトップレベルドメイン(.comなど)、またはトップレベルドメインとセカンドレベルドメインの組み合わせ(.co.jpなど)が、ドメインの属性を表します。詳しい解説は割愛しますがご興味ある方はこちらをご覧ください。
日本ネットワークインフォメーションセンター. ドメイン名の種類.
https://www.nic.ad.jp/ja/dom/types.html
トップレベルドメインから偽サイトを判別する
政府や軍などのサイトの場合、このトップレベルドメインを獲得するには一定の条件を満たしていなければなりません。したがって、アメリカ合衆国政府とか、アメリカ軍の偽サイトを作っても、詐欺グループは”.gov”(政府)や”.mil”(軍隊)のドメインをとることができません。そこで、軍関係の偽サイトというのは”.mil”以外の誰でも取りやすいトップレベルドメインをとります。たとえば net, us, onlineなど。対象国の軍事機関のトップレベルドメインは何かを調べれば、詐欺師が使う軍のサイトが偽物であることは見破れます。
とはいえ、詐欺師が「このサイトは軍のサイトではない」ということを認めながら「軍が人事や総務の業務をアウトソーシングしているので”.com”になっている」と言い訳をするなら、被害者の方は信じてしまうかもしれません。もしあなたが説得する側の立場であれば、これだけでは不十分であると考えるでしょう。
ECサイトの真偽を見分ける方法というのは消費者庁でも資料を作っています。この資料に悪質サイトのリストがありますが、ドメイン名の最後の部分(TLD, top level domain)がlive, life, shop, xyz, store, buzz となっていることにお気づきでしょうか。詐欺サイトに多いTDLは、xyz , top , com , shop , site , cc , icu , kr , co , jp , net ,asia,biz,online,ruなどがあります。もちろん、com、jp, netなどを使ったサイト全てが悪質サイトではありません。しかし、ECショップのTLDがtop, shop, site, xyz, vipなどであればほとんどの場合詐欺サイトです。
消費者庁|人気インテリア家具や雑貨等の公式通信販売サイトを装った偽サイトに関する注意喚起(令和5年4月26日) https://www.caa.go.jp/notice/assets/consumer_policy_cms103_230426_01.pdf
ドメイン名はある程度参考になりますが、これだけでは詐欺であると断定することはできません。しかし、SNSやマッチングサイトで知り合っただけで実際に会っていない相手から知らされたサイトのURLをよく見てみることは大切です。そしてドメインの字並びだけではなく、WHOIS情報を調べてみましょう。
WHOIS LookupでWHOIS情報を調べる
Whoisとは、IPアドレスやドメイン名の登録者などに関する情報を、インターネットユーザーが誰でも参照できるサービスです。このWHOISのデータに、詐欺サイトの重要な特徴を見ることが出来ます。
ツール: Whois Lookup: ドメインの登録情報を確認し、サイトが信頼できる運営者によって管理されているかをチェックできます。Scam Adviserの評価を補完する形で使えます。
サイトのオーナーの情報
詐欺サイトの多くはオーナーの名前や連絡先を隠すサービスを使っています。たとえばこちらのDomain Toolsで検索したネットショップビジネスの詐欺で使われたサイトのWHOIS情報を見ると、レジストラント(ドメイン権利者、名義人)の名前や住所、電話番号、メールアドレスが全てレジストラ(ドメインを登録する業者)になっています。Name Siloというレジストラは無料で名前を隠すサービスを提供しているため、プライバシー保護にも役に立ちますが、一方で犯罪者にも悪用される傾向にあるようです。すべての名前をWHOISから隠すサイトのオーナーが詐欺であるわけではありませんが、詐欺サイトの名義人は名前を隠す傾向にあります。
ドメインの年齢
詐欺サイトのドメイン年齢は1年以内が多い
詐欺サイトの多くは、立ち上げられてから1年以内である傾向があります。例外もありますが、長くても2年以内でしょう。その理由は以下の通りです。
リスク回避: 詐欺師は詐欺行為が発覚する前に素早く利益を得たいと考えています。サイトが長期間存在するほど、法執行機関やセキュリティ業者からの監視が強まるため、短期的な詐欺サイトが多いのです。
コストの削減: ドメインやサーバーの維持費用を抑えるため、詐欺師は短期間だけ活動することが一般的です。ドメイン登録や運営を短期間で行うことで、詐欺行為を行うコストを最小限に抑えることができます。
警戒を避けるため: 長く運営されているサイトはユーザーからの信頼を得やすい一方、詐欺サイトが長く続くとユーザーが警戒しやすくなります。1年未満で閉鎖することは、詐欺師が追跡されるリスクを減らすための戦略です。
法的な追跡回避: サイトが1年以上続くと、法的な手続きや調査が開始されることが多いため、詐欺師は新しいドメインを頻繁に作成し、短期間で使い捨てます。
そのため、詐欺サイトの多くは1年以内に登録され、素早く閉鎖されるか別のドメインに移行するパターンが多いです。上記のWHOIS情報の例でいうと、2024年7月24日に登録されたサイトで、このブログの投稿の約2か月前に作られたばかりであることがわかります。
何年も前に登録されたドメインもある!
但し、何事にも例外があります。ある被害者の方から報告を受けた暗号資産取引所のURLは、数年前から存在するものでした。これはなぜなのでしょうか? 以下のような可能性が考えられます。
- 古いドメインの買取りや乗っ取り: 以前は正当な目的で使われていたドメインが、現在の所有者によって詐欺目的に悪用されるケースです。詐欺師が古いドメインを購入または乗っ取って使用すると、長年の運営実績があるため、信頼性を装うことが容易です。
- 事業方針の変更や詐欺行為への転換: もともとは合法的に運営されていたサイトが、経営困難や方針転換により詐欺行為に利用されることもあります。長期間信頼を築いてきたサイトが、後になって詐欺行為を開始することで、ユーザーの警戒心を下げ、被害を大きくすることが可能です。
レジストラ
レジストラはユーザからの要求を受けて、ドメイン名を地域インターネットレジストリに登録を行う業者の総称です。レジストラが詐欺ということはありませんが、詐欺グループの利用が多い傾向にあるレジストラは存在します。その多くは、安価で露メイン登録ができ、ドメイン登録者の情報を安価(もしくは無料)で隠すサービスがあります。
以下のレジストラは詐欺に使われるケースが報告されているものです。但しこういったレジストラ自体が悪質な行為を容認した利支援しているわけではありませんし、詐欺に使われている証拠を示せば対処してくれるところもあります。
Namecheap
手頃な価格と匿名性のサポートが魅力で、詐欺サイトやスパム業者にも利用されるケースが報告されています。
ただし、Namecheap自体は違法行為を容認しているわけではなく、報告があれば対処しています。
PublicDomainRegistry (PDR)
詐欺的なドメインのホスティングに利用されることが多いと報告されています。スパムに関連するドメインも多く、悪質なサイトが存在することがあります。
GMO Internet (Onamae.com)
日本を拠点とするレジストラですが、詐欺的なサイトに利用されるケースも報告されています。
Tucows/OpenSRS
Tucowsも大規模なレジストラであり、スパムや詐欺サイトが一部で利用されているとの報告があります。
ALIBABA Cloud Computing
中国に拠点を置くAlibaba Cloudは、比較的規制が緩く、スパム業者や詐欺サイトに利用されることが報告されています。
サーバーとホスティングプロバイダ
ホスティングプロバイダは、サーバーを提供・管理し、ユーザーがウェブサイトやアプリケーションをインターネット上で公開できるようにするサービス会社です。WHOIS情報のネームサーバーのところを見るとどこのホスティングプロバイダのサーバーを使っているかがわかります。
詐欺サイトが選ぶサーバーやホスティングの特徴は、低コストでドメイン登録者の情報を隠してくれるところです。以下に挙げるホスティングプロバイダは詐欺によく使われていることが知られているところです。但し、これらのホスティングプロバイダは、真っ当なビジネスにも利用されています。したがってWHOIS情報を調べて以下のプロバイダを使っていることが分かっただけでは詐欺サイトであると断定することはできません。
Alibaba Cloud (Aliyun)
中国を拠点とするホスティングサービスで、低コストで柔軟なプランが多いため、詐欺サイトにもよく利用されています。特に国際的な法執行機関との連携が遅いと指摘されることがあります。
Namecheap
レジストラとしても知られるNamecheapは、手頃な価格でホスティングサービスも提供しており、詐欺サイトやスパム業者に利用されることがあります。
Reg.ru
ロシアに拠点を置くホスティングプロバイダで、詐欺サイトやサイバー犯罪に関連するドメインが登録されることがあると報告されています。
Hostinger
リトアニアに拠点を置くホスティングサービスで、非常に安価なホスティングプランを提供しているため、詐欺サイトに利用されることがあります。特に初期費用が少ない点が魅力となっています。
GoDaddy
世界的に有名なホスティングプロバイダで、詐欺サイトも利用することがあります。特に大量のドメインを安価に購入できるため、一部の詐欺業者に好まれています。
DigitalOcean
シンプルで低価格な仮想プライベートサーバー(VPS)を提供しており、詐欺サイトが匿名で短期間利用することがあります。インフラが迅速にスケール可能であるため、短期間の詐欺行為に利用されやすいとされています。
Amazon Web Services (AWS)
AWSは非常に大規模なクラウドサービスで、正当なビジネスから悪質な詐欺サイトまで幅広く利用されています。詐欺サイトもスケーラブルでコスト効率の良いAWSを短期間使用することがあります。
OVH
フランスを拠点とする大手ホスティングプロバイダで、比較的規制が緩いため、一部の詐欺サイトや悪質なウェブサイトがここでホストされているという報告があります。
Hetzner
ドイツのホスティングプロバイダで、安価でパフォーマンスの高いサーバーを提供しています。スパムや詐欺に利用されることがあると報告されていますが、Hetzner自体は悪質な行為を容認しているわけではありません。
しかしこういったWHOIS情報だけではサイトが詐欺であるという判断はできません。しかし高度な知識を必要とするツールは素人ではなかなか使いこなせません。誰かから渡されたサイトのURLが安全かどうかを確認するには、総合的な判定をしてくれる便利なツールをかつようしましょう。
Scam AdviserとScamDetector
Scam Adviserの特徴
Scam AsdviserはサイトのURLを入力するとサイトの評価をしてくれます。日本語にも対応しているのが便利です。下記の画面ショットの画面をさらにスクロールダウンしてゆくと、詳しい解析結果が出てきますが、この画面ショットの範囲だけでも貴重な情報が得られます。見てほしいのはNegative Highlightsと書かれている部分です。Domain ToolsでWHOIS情報を調べた同じサイトを例にしています。サイトの所有者の名前が隠されている、スパマーや詐欺の多いレジストラ、サイト年齢が若いという点はWHOISからもわかりました。さらに、サイトにどれくらいの人がアクセスしているかというのがTrancoのサイトランキングです。サイトのランクが低い、トラフィックが少ないと出ていれば、そのサイトを訪問する人が少ないということです。
但しここに出てきた情報だけでは完ぺきではありません。たとえば本当にスタートしたばかりのサイトであれば、登録されてからの時間は少ないですし、訪問者が少ないのも当然かもしれません。真っ当なビジネスでも、詐欺やスパムが多いレジストラを使うことは考えられます。
Scam Adviserの特徴は以下の通りです。
ウェブサイトの信頼性評価: Scam Adviserは、ウェブサイトの信頼性を評価し、詐欺の可能性があるかどうかを判定します。サイトの登録情報、運営国、ドメインの歴史など、技術的な要素をベースにスコアリングをおこなっています。
使いやすいUI: URLを入力すると、数秒でウェブサイトの安全性スコアが表示されるため、ユーザーにとって非常に直感的です。日本語にも対応しています。
データベースの広範性: Scam Adviserは、多くの国々や業種のデータをカバーしており、特にフィッシングや詐欺サイトの判別に優れています。
ユーザーフィードバック機能: 評価されたサイトに対して、ユーザーがフィードバックを提供する機能もあり、これによりデータベースが改善されていきます。
ビジネス認証: 正当なビジネスや企業が、信頼性を証明するためにScam Adviserの認証を受けることもできる仕組みがあります。
Scam Detectorの特徴
Scam DetectorはサイトのURLを入力するとサイトの評価をしてくれます。日本語に対応していませんが、ブラウザの翻訳機能を使って日本語で読むことが出来ます。パソコンの場合は右クリックして「日本語に翻訳」を選択してください。
下記の画面ショットの画面をさらにスクロールダウンしてゆくと、詳しい解析結果が出てきますが、この画面ショットの範囲だけでも貴重な情報が得られます。見てほしいのは1番目のスクショの点数と、2番目のスクショのサマリーです。ドロップシッピング詐欺に使われたサイトの評価は低く、ドメイン作成日が7月24日、そして疑わしいサイトへの近さが47となっています。その下のグレーの囲みの中にある文章は、サイトの概要が書かれたwebサイトの表面には表れないサイトの説明文章です。この例の場合「Best Buyのオンラインショッピング」とありますね。つまり米国のBest Buyを模倣したサイトではないでしょうか?
Scam Detectorの特徴は以下の通りです。
詐欺手法の説明: Scam Detectorは、特定の詐欺の手口や方法について詳細な情報を提供します。フィッシング、電話詐欺、偽のオンラインショップなど、詐欺の種類ごとに解説されているのが特徴です。
AIベースの詐欺検出: Scam DetectorはAIを活用して、オンラインでの詐欺や詐欺のリスクを評価します。ユーザーはURLやその他の情報を入力するだけで、即座に詐欺のリスクを確認できます。
ユーザー向け教育リソース: 詐欺を防止するための教育コンテンツやアドバイスが表示されています。
ビジネス検証: Scam Detectorは、ビジネスや企業の信頼性を確認するためのツールとしても利用できます。ウェブサイトだけでなく、会社名や連絡先情報も調べられます。
詐欺の手口ランキング: 毎月、最も多く報告された詐欺や、最新の詐欺手法がリスト化されており、トレンドを追いやすくなっています。
他の役立つツール
詐欺を検出するためには、複数のツールを組み合わせて使うことで、より包括的な防止策が取れます。以下のツールも併用するのが効果的です:
VirusTotal:
ウェブサイトやファイルが悪意のあるものでないかを確認できるマルウェアスキャンツール。サイトやURLの安全性を確認するのに有効です。90ほどのセキュリティベンダーがあるサイトを危険と評価しているかどうかをチェックできます。
注意点としては、セキュリティベンダーの多くはどこかから報告があってはじめて疑わしいサイトの存在を知って検証する場合もあるということです。したがって、危険サイトと判定しているベンダーの数よりも、1つでも「危険」としているベンダーがあるかどうかがカギです。下記の例の最初のものは、偽のZozoタウンで、やはりドロップシッピング詐欺に使われていたものを調べたスクリーンショットです。これを見ると96のベンダーのうち5つのベンダーが「危険(Malicious)」「フィッシング(Phishing)」と評価しています。他の91は「安全」と言っているのではなく、まだ検証していない可能性が大きいです。もう一つのスクリーンショットは偽のアメリカ軍休暇申請用のサイトです。96のベンダーのうち2つのセキュリティベンダーが「危険」「フィッシング」としています。この2つの例で登場しているArtists Against 419は主に前払金型詐欺に使われているサイトを調査してデータベースに入れて公表している団体です。この団体が「詐欺です」と述べている場合、フィッシングやマルウェアが仕組まれていなかったとしても「詐欺サイトである」と言えます。
大手セキュリティソフトメーカーのサイト
トレンドマイクロ・サイトセキュリティセンター:
ウィルスバスターのトレンドマイクロのサイト安全性を調べるツールです。ここで未評価と出た場合、評価を依頼することが出来ます。
ノートン・セーフウェブ:
信頼度の高いノートンのデータベースに基づいてサイトのセキュリティ状況や評判を評価し、フィッシングやマルウェアなどのリスクをチェックすることができます。検索したサイトが未評価である場合、評価を依頼することが出来ます。
サイト調査で分かったことの解釈の仕方~リスクを最小限に抑えよう
Domain Toolsを使ったWhois情報の検索結果の見方と、Scam Adviser, Scam Detector, Virus Total, ノートンとトレンドマイクロと、5つのツールをご紹介しました。
複数のオンラインツールで得られる結果には、ばらつきがみられる場合があります。ここで以下の点について覚えておきましょう。詐欺サイトはできて間もないものが多く、十分な評価がされていません。それぞれのツールの性格や利点などを視野に入れて判断する必要があります。
多角的な視点からの評価
複数のツールを使ってサイトを評価することで、より包括的な判断ができますが、各ツールは異なるアルゴリズムやデータベースを使用しているため、判定にばらつきが生じることがよくあります。例えば:
- Scam Adviser は主にサイトの信頼度を評判や技術的な要因から評価します。
- Scam Detector は詐欺行為の可能性やサイトの構造的な怪しさを重視します。
- Virus Total はマルウェアやフィッシングリンクの有無をチェックします。
- Norton Safe Web や TrendMicro Site Safety Center は大手セキュリティ企業のデータベースを元に、既存の脅威に対する防御力を評価します。
結果をどのように解釈するか
一致するリスク判定:もし複数のツールが「高リスク」や「安全」と一致した場合、その結果を優先的に参考にします。一致が多ければ多いほど信頼性が高まります。
ばらつきがある場合:特定のツールのみがリスクを指摘している場合、そのツールがどのような要因を重視しているかを確認する必要があります。例えば、Virus Totalがマルウェアを検出したが他のツールが検出していない場合、技術的なリスクが高いと考えるべきです。評判や信頼度に焦点を当てているツールが警告を出している場合は、そのサイトの運営者の過去の行動や第三者の評価を考慮する必要があります。
まだ十分に評価されていないサイトへの対応
もしサイトが新しい、またはまだ十分に評価されていない場合、ツールによっては評価が曖昧になることがあります。この場合、以下のように考えてみましょう。
慎重な対応:信頼性が十分でない新しいサイトや情報が少ないサイトは、潜在的にリスクがある(疑わしいものである可能性がある)と考える。
調査依頼:ノートンやトレンドマイクロではサイトを再調査する機能があります。オンライン上で簡単にできるので、依頼を出してみましょう。遅くとも翌日には結果が出てきます。そのうえで再度考えてみるのが良いでしょう。
疑わしさを根拠に説明:具体的にどの点が疑わしいと感じたかを書き出してみましょう。たとえば;
- ドメインが最近登録されたばかりで、運営者情報が公開されていない。
- 訪問者が少ない
- 決済ページが適切に暗号化されていない(httpsが無い)。
- 評判が確立されていないにもかかわらず、大幅な割引や過度な広告が多い。
- 疑わしいレビューや不自然な高評価がある。
- 会社名や代表者名が書かれたページがない。
- 詐欺が多いレジストラやサーバーが使われている。
リスクを最小限に抑えるための考え方
厳しい判定を優先する:オンライン活動にはリスクが伴います。人も組織も目に見えないところにいるわけです。リスクを最小化することを考えることは重要です。複数のツールの判定が一致しない場合、最も高いリスクを示したツールの結果に従うことが良いでしょう。
たとえば下記の画像はドロップシッピング詐欺に使われたサイトの5つのツールの判定結果のスクリーンショットです。Scam Adviserは31/100、Scam Detectorは6.8/100。Virustotalは危険の情報はないとしています。ノートンは「注意、疑わしい」そしてトレンドマイクロは「未評価」です。たとえばマルウェアやフィッシングの検出に強いVirustotalの検査結果(すべてClean)を過信してしまうと、他の重大な点を見過ごしてしまいます。厳しめのScam Detectorと、「疑わしい」とするノートンの結果をとった上で「未評価」としているトレンドマイクロに評価を依頼するのも良いでしょう。
疑わしいことが分かっているサイトを報告しよう
疑わしいサイトを報告する窓口は各種あります。そのようなところへ報告すると、警察やセキュリティベンダーなどにも報告されます。その結果セキュリティツールの危険を検出する元となるデータが更新され、ユーザーのブラウザ上で警告をしてくれるようになります。
インターネットホットラインセンター: インターネット上の違法情報への対応を効果的かつ効率的に推進していくために、インターネット利用者から違法情報に関する情報提供を受け付け、一定の基準に従って情報を選別した上で、警察への情報提供、電子掲示板の管理者等への送信防止措置依頼等を行う団体を設けるサイト。フィッシング詐欺について報告する窓口があります。
フィッシング対策協議会:フィッシング対策協議会は、フィッシングメールやフィッシングサイトに関する情報提供を受け付けています。フォームに入力したりメールで報告すると、法執行機関(警察等)及び関係組織(騙られた被害組織等)へ提供する場合があるそうです。但し報告に対する返答などはありません。
Google Safe Browsing: Googleにもフィッシングやマルウェア、スパムの報告ができます。
まとめ
詐欺サイトを見分けるには、ドメイン名の特徴やWHOIS情報、評価ツールを組み合わせて多角的に調べることが重要です。Scam AdviserやScam Detectorのようなツールを活用し、複数の視点からリスクを判断しましょう。特に新しいサイトや評価の少ないサイトには慎重に対応し、信頼できるセキュリティツールを使って、必要なら再評価の依頼も検討することでリスクを最小限に抑えることが可能です。