「ミャクミャク」検索に仕掛けられるわな 偽サイト誘導でわが社も“加害者”に？：大阪・関西万博の人気に便乗

大阪・関西万博の関連グッズを検索する消費者を狙う偽通販サイトが急増中だ。消費者が被害に遭うだけではなく、無関係な企業サイトが乗っ取られ、偽サイトへの誘導に加担させられる場合もある。どう対処すべきか。

[TechTargetジャパン]

　人々が日常的に利用するインターネット検索が、サイバー犯罪の入り口になっている。特に、「大阪・関西万博」やその公式キャラクター「ミャクミャク」といった話題性のあるキーワードが、消費者をわなにかけるための「餌」として悪用されている実態が明らかになった。トレンドマイクロには、万博グッズを検索した利用者から「検索結果をクリックしたら偽の通販サイトに誘導された」といった相談が寄せられているという。

検索上位に潜む「汚染された」Webサイト

併せて読みたいお薦め記事

偽情報を悪用する攻撃

• 「SEOポイズニング」復活の“謎”　SEOを攻撃に悪用する手口
• それはMcAfeeの「偽アラート」では？　背後には危ない“不正アフィリエイト”

　このように、検索エンジンの検索結果上位に有害なWebサイトを表示させやすくして、そのWebサイトに標的を誘導する手口を「SEOポイズニング」と呼ぶ。攻撃者は、Webサイトを不正なプログラムで改ざんし、検索エンジンに万博関連の商品を扱っているかのように誤認させる。消費者が検索結果の上位に表示された汚染サイトのリンクをクリックすると、本物そっくりの偽ショッピングサイトに転送される仕組みだ。

　トレンドマイクロの調査によると、こうした偽サイトへの誘導元となる改ざんされたWebサイトの数は、2024年9月の約2500件から2025年8月には1万1000件超へと、およそ1年で約4.5倍に急増している。稼働が確認されている偽ショッピングサイトの数も、同期間で約6万〜10万件に上っており、深刻な状況だ。

　偽サイトで商品を購入してしまうと、代金をだまし取られるだけではなく、入力した氏名、住所、クレジットカード情報などの個人情報が盗まれ、別の犯罪に悪用される危険性がある。最近では、注文後に「欠品したので返金します」などの文言を記した偽メールを送り付け、返金手続きを装って逆にお金を送金させる「返金詐欺」の被害も報告されている。

企業が気を付けるべき2つのリスク

　SEOポイズニングは消費者だけにとっての脅威ではない。企業にとっては、気付かないうちに自社が犯罪の「加害者」にされてしまうリスクをはらんでいる。

　1つ目は、自社のWebサイトが乗っ取られ、犯罪の踏み台にされるリスクだ。攻撃者は検索エンジンが信頼する企業のWebサイトを悪用するために、そのWebサイトを改ざんし、偽サイトに訪問者を送り込む中継地点にする。これによって、企業の社会的信用に傷が付く恐れがある。

　2つ目は、自社ブランドを勝手に使われる「なりすまし」のリスクだ。公式サイトの画像やロゴを盗用した偽サイトで粗悪品が販売されれば、ブランドイメージは損なわれる。被害に遭った消費者からの問い合わせやクレーム対応に追われ、本来の業務が圧迫される事態にもなりかねない。

求められる対処

　今後も、注目のイベントや人気商品はSEOポイズニングを悪用した犯罪の標的になる可能性がある。トレンドマイクロは消費者に対して、被害を回避するために以下の行動を呼び掛けている。

• 公式サイトのURLであることを確認する
• 販売元として実在の住所や連絡先が表示されていることを確認する
• 市場価格と比べて極端に安くないかどうかを疑う
• 支払い方法が銀行振り込みのみなど不自然ではないかどうかを確認する
• Webサイト内の日本語が不自然ではないかどうかを確認する

　企業については、Webサイトを管理するコンテンツマネジメントシステム（CMS）やソフトウェアを常に最新の状態に保ち、脆弱（ぜいじゃく）性を放置しないことが重要だ。万が一の被害に備え、被害者から連絡があった場合にどの部署がどう対処するのか、事前に社内で連携体制を整えておくことも、企業の信用を守る上で欠かせない。