愚かな自分への戒めも込めて敢えてまとめます。
私は「これはダメなやつ」と判断しましたが、そうじゃない可能性も完全に否定しきれないのでURLは公表しません。責任取れませんので。
まあ、間違いなくダメなやつでしょうけど。
ちなみにアイリスオーヤマの詐欺サイトだったんですけどね。
公式サイトでも注意喚起されているのでご注意を。
時系列
まずは、どんな流れでまんまと引っかかったのかを書いてみます。
それはGoogle検索から始まった
普通に欲しい商品をGoogleで検索していました。
その時はオイルヒーターを探していたので、なにかいい商品はないなかーと検索していたらGoogle広告の欄にそのサイトが表示されました。
Google広告に表示されるくらいだし、と思ってとりあえずクリックしてみました。
安かった
そのサイトは某家電メーカー(アイリスオーヤマですけど)の名前を使ったサイトで、かなり安く販売していました。売ってるだけで物が届くかは別だけど。
次の画像は詐欺サイトです。この画面にピンときたら詐欺サイト。
サイトの作り自体は特に怪しい感じもなく、商品もきれいにカテゴライズされて登録されていたり、カートのシステムもちゃんとできていました。
ぱっと見た感じ、すごい凝ってもいないけど、よくある普通のショッピングサイト。
ただ、値段が安い。このとき、ちょっと怪しいなとは感じました。
Googleで検索してみる
少し引っかかるものがあったので、サイトのURLをGoogleで検索してみました。
普通にインデックスされているようだったので、生まれては消えていく詐欺サイトではないのかな、という判断をしました。
後でまとめますが、この行為は全く無意味で何の裏付けにもなりません。
購入を決める
ここでまあ良いかと購入を決めます。
まずは会員登録しないといけないようなので、会員登録をします。
よくある基本的な情報を入力します。氏名、住所、メールアドレス、パスワード。
そのまま決済へと進みます。
決済はクレジットカードしか対応していないようだったので、クレジットカード情報を入力します。
決済でエラー
クレカの情報を入力して、注文ボタンを押すとエラーが出ました。
英語でpendingと表示されています。
英語で表示されたことに違和感を感じながらも、クレカの決済がうまく行っていないのかなと思い、5分ほど待ってみます。
メールも来ていないようだし、商品がカートから落ちない。
いくらなんでもこんなに待つことはないので、何か変だと思い始めます。
きちんと調べてみる
これはやられたかな…と思い、ほぼ興味本位で調べてみます。
調べるまでもないのですが、どういうところでどんなサービス使って動かしてるのか気になってしまう性格なんですよね…
まずはドメイン。
これはWhoisで調べるくらいしかできないので、Whoisで調べてみます。
たいした情報は得られませんでしたが、何日か前にnamecheapで取得されたドメインで、CloudFlareのDNSを使っていることはわかったものの、登録者情報は匿名化されてしまっていました。(登録者情報は仕様だから仕方ない)
ここでは具体的に相手が誰なのかを調べているわけではないので、切り上げてサーバー情報を調べます。
ドメイン名からIPアドレスを調べ、サーバーの所在地を確認します。
WhoisでネームサーバーがCloudFlareということはわかっていたので、案の定ClourFlareのサーバーを使っていて、IPアドレスはUSのものでした。
ほぼアウトだけど…
国内企業の日本語サイトである以上は、もうこの時点でほぼアウトだと判断できるんですが、会員登録情報を使ってさらに確認をします。
アイリスオーヤマは自社サイトはもちろんのこと公式オンラインショップも開設しています。
公式オンラインショップで先ほど登録に使った情報でログインを試みてみます。
はい、ダメでした。
普通に考えて公式っぽい作りで会員情報を分ける理由はないでしょう。
これは確実な方法とは言えないので、興味本位で試したみたレベルです。
普通はないと思うけど、会員情報が分かれていることもありえますからね。
最後に会社概要や利用規約も確認しましたが怪しい内容だったので、これはもうダメだなと諦めました。
本来は先にこの辺をチェックしましょうね!
クレカ停止
ここまで調べれば、愚かな私でもこれはマズイ状態だということはすぐにわかります。
即座にクレカの盗難・紛失ダイヤルに電話して、クレカの停止、再発行を依頼しました。
担当者に事情を説明したところ、今のところは不正利用された痕跡はないとのことでした。こちらもアプリでチェックしましたが大丈夫そうでした。
なぜ気づかなかったのか
本来であれば価格設定を見てありえない、おかしいと思わなければいけないんです。年末だからと思って完全に油断していました。
Googleを信じる愚かさ
まずGoogle広告と検索結果を信じてしまった自分が愚かだったとしか言いようがありません。
Google広告なんて詐欺だろうがなんだろうがサイトの内容とキーワード、広告内容が適切なら簡単に広告出せちゃいます。(後に停止になるかもしれないけど)
検索結果だって単にクロールしているだけだから、そのサイトが信用できるかどうかの判断基準になんてなるわけがありません。
いいか、Googleの広告も検索も信じるな!絶対だ!
わかっていたつもりでしたが、あっさりとやられました。
スマホ対応の罠
気づかなかった原因の1つ目は、昨今のスマホ対応にも一因があると感じています。
私はスマホでモノを買う習慣がなく、決済が絡むものはほぼPCで行います。
そのため、スマホ特化したサイトをPCで表示させると、ちょっと変とか、妙に幅が狭いといったことはよくあります。
それが普通になってしまっているので、一部画像の解像度が低かったりしても気にしないで閲覧していました。
完成度の高さ
サイトの完成度が高かったことも気づかなかった要因としてあります。
多くの製品がちゃんとカテゴライズされて登録されており、公式サイトのパクリではありますが画像もちゃんと使われています。
それぞれの商品ページはきちんと作られており、怪しいところはほとんどありません。
なぜ怪しいところがないのか?
答えは簡単です。スマホ対応のひとつの形が画像による商品説明だらかです。
商品説明のほとんどを画像で作ってしまえば、画像を表示幅に合わせて拡大縮小するだけでスマホ対応できてしまいます。
画像を持ってきて貼り付けるだけなら、簡単お手軽にそれっぽいページを作ることができちゃいます。言葉の壁だって軽々と乗り換えられます。
ちなみにスマホで見てみると…
これはダメですね。スマホで見てたら気づく自信がありません。
スマホ表示に最適化されているので、これはわかんない。
URLもスマホだと見ないことが多いから、これは騙される確率はかなり高いと思います。ちゃんとSSL対応してるし。
スマホが起点だったら完全にやられてたかも。
なぜ気づいたのか
それまで日本語で表示されていたのに、注文確定時に突然英語でpendingと表示されたところから怪しいと感じはじめました。
そこで気づいたとしても、もう手遅れなんですけどね。
メール
会員登録後や注文確定後にメールが来ませんでした。
ちなみに後で気づいたのですが、それらのメールはGmailの迷惑メールに分類されていました。だから気づかなかっただけですが、ここでGoogleに助けられるとはな…皮肉なものよ。
いや、でも、会員登録完了だけでもちゃんと届いてれば日本語怪しいところあったから気づいたかもしれないな…やっぱりGoogleは信じちゃダメだな。
迷惑メールに分類されてメールは会員登録完了と「カード情報を再度入力しろ」といった内容のメールが2通。
これ、絶対信じちゃダメなヤツ!
再入力するのがダメなのは言うまでもない。
だが本当の目的は、カード情報を入力したアホに登録できていないと思わせるために送られているんだからな。(たぶん)
ここで安心して放置してしまうと相手の思うツボ。
会社概要や利用規約
公式サイトっぽい作り&言い回しなのに会社概要が全く関係ない会社になっていました。
利用規約にいたっては会社名のところがダイソンになってたからな…アイリスオーヤマじゃなかったのかよ。お前の設定ガバガバだな!
まあ、以前ダイソンで同じようなサイトが話題になってたことがあるから同じヤツの仕業だろうな。
異様な価格設定
そしてやはり異様な安さも釣られた要因のひとつであると同時に、気づいた要因のひとつでもあると言えるでしょう。
半額くらいなら、まああるかもって思うかもしれませんが、他の商品を見てみると新品で7割引、8割引とかがゴロゴロ出てくるんです。
これは明らかにおかしいです。
特定の商品だけが型落ちで安売りしているといった状態ならともかく、すべての商品が異様に安いんです。
これ、全商品を型落ちだけで4~5割引くらいとか、微妙な割引率で並べられたらまったくわからないかもしれない。
こんなところをチェックしよう
お前に言われたくない案件かつ基本的なことですが、今まで書いたことを踏まえると、この辺を注意するだけでもずいぶん違うと思うので参考までに。
- サイトのデザインなどの見た目で判断しない
- 欲しいと思っている商品の価格が異様に安くないか
- 取り扱っているすべての商品が異様に安くないか
- 会社概要や利用規約がおかしくないか確認する
もちろん、きちんと調べようと思えば調べられますが、見てわかるこの辺を押さえとくだけでもかなり違います。
やれドメインだサーバーだなんて調べてもどうせわからんのだから、見てわかるところで判断するほうが良いんじゃないでしょうか。
実際に会社概要や利用規約を見たらおかしかったですからね…
防ぐのは無理、ならば対応方法を考えておく
絶対大丈夫と思うのは個人の自由ですが、万が一の場合にどうするかは考えておいても良いんじゃないでしょうか。
パスワードの使い回しをしない
当たり前過ぎていまさら感もありますが、基本中の基本。
ネット通販に限ったことではありませんが、パスワードの使い回しは避けましょう。
私はパスワードの使い回しをしないので、万が一こういったサイトにうっかり登録してしまっても、その情報を使って他のサイトにログインされるようなことはありません。
余談ですが、渡しの場合は昔Googleがお漏らししたときに色んなところに影響があったから使い回しを止めたんですけどね。
きっかけはやっぱりGoogle。さすがGoogle。
やっちまった!と思ったらすぐにクレカを止める
もしかしたら使われないかもしれないし、ちゃんと登録されていないかもしれない。短時間だったし大丈夫じゃない?
安心してください。そんなわけありません。
夢を見てはいけません。現実を見ましょう。
自分だけは大丈夫などという根拠のない自信を持ってはいけません。
ネットは悪意に満ちあふれていますから、相手は間違いなく情報を抜いているし、それを悪用する気マンマンです。
私も最初は「これくらい大丈夫じゃね?」と思いましたが、そう思いたい自分がいるんだなと客観視して粛々とクレカを止めました。
クレカを止めると事後の手続が面倒なのはよーくわかります。躊躇しちゃいますよね。
ですが、不正利用されれば結局再発行しなくちゃいけない上に、さらに面倒な手続きがプラスされることになるので、さっさと止めちゃったほうが良いです。
すぐに不正利用されなかったとしても、忘れた頃にやられるかもしれませんよ?
精神衛生上もすぐに止めて、安らかに日々を過ごす方が良いと思います。
ちなみ私の場合は最初にカード引き落としに引っかかったのがニンテンドースイッチオンラインの継続でした。(正確にはPaypal支払いになっていて、カードが止まってPaypalで決済できなかった)
メールで引き落とせなかった通知が来るから、ちゃんと止まってる事がわかって良かった。ありがとう任天堂!
ちょうど良い機会だからしばらく更新しないでおくか…
自分は大丈夫!じゃない
私の場合は未然に防げていると思いますが、自分がこんなつまらんモノに引っかかるなんて考えてもみなかったです。
ちょっと詳しいと思っていましたがこのザマです。
引っかからないように注意するのも必要ですが、相手はどんどん巧妙化していくので引っかかったらどうするかも一度考えておくと、いざというときに慌てなくて済みます。
せめてクレカを止めるにはどうしたら良いかくらいは確認しておきましょう!
ネット絡みだけじゃなく、紛失や盗難という可能性もありますからね。
この手のサイトもそうですし、フィッシングサイトやランサムウェアなどが無くならないのは引っかかる人がいるからです。
次はまた自分の番かもしれないし、あなたの番かもしれません。
皆さん、充分に注意してくださいね!