## この記事でわかること - EC サイトを狙う類似ドメイン攻撃 5 つのパターン - 各パターンの代表的な公開事例 - 中小事業者が学ぶべき教訓 - 自社で同じことが起きていないか確認する手順 ## EC サイトを狙う 5 パターン ![EC サイト 5 つの被害パターン](/blog/ec-typosquat-jirei/five-patterns.svg) > 注: 各事例は公開された Bug Bounty 報告 / 報道記事 / セキュリティブログを整理したものです。詳細は引用元でご確認ください。 ### パターン 1: 偽ログインページでのアカウント窃取 **手口**: `Amazon` → `amaz0n.com`(数字 0)/ `arnazon.com`(rn が m に見える)等の偽ドメインで偽ログイン画面を提示し、ID / パスワードを盗む。 **学び**: ブランド名にゼロや「rn」のような視覚的混同を起こす文字が含まれる場合、防御取得を検討。EV 証明書 + パスワード自動入力警告を併用。 ### パターン 2: 偽商品販売(決済情報窃取) **手口**: 高級ブランドの偽商品ページを類似ドメインで運営し、クレジットカード決済 → 商品は届かない、カード情報は流出。 **学び**: 自社製品の写真が転載されていれば DMCA 通報が有効。長期化する場合は UDRP も視野に。詳しくは [DMCA テンプレ](/blog/dmca-template-domain) と [UDRP 申請手順](/blog/udrp-shinsei-tetsuduki) を参照。 ### パターン 3: アフィリエイト誘導 **手口**: 類似ドメインに飛んだユーザを **競合他社サイトに自動リダイレクト**して、攻撃者がアフィリエイト報酬を得る。 **学び**: 「広告誘導の悪用」は商標法上もグレーで UDRP の勝率が下がる場合あり。Google アラートで「貴社ブランド + アフィリエイト系キーワード」を監視。 ### パターン 4: フィッシングメールの送信元 **手口**: 偽請求書メールを `your-brand-pay.com` のような疑似公式ドメインから送信。受信者は本物と誤認してリンクをクリック。 **学び**: 自社の `_dmarc` を `p=reject` まで強化([DMARC 設定方法](/blog/dmarc-setup-guide))。受信側が偽ドメインを弾けるようにする。 ### パターン 5: SEO スパム / ネガティブキャンペーン **手口**: `your-brand-review.com` `your-brand-fraud.com` 等で偽のネガティブレビュー / 詐欺告発を公開し、SEO で検索結果上位に表示させる。 **学び**: ブランド名 + 否定的キーワードで Google アラート設定。事実無根の場合は名誉毀損訴訟も視野に弁護士相談。 ## 中小事業者が学ぶべき教訓 | 教訓 | 具体策 | |---|---| | 短いブランド名は homoglyph に弱い | 防御取得対象を多めに設定 | | 高額商品は偽サイトの標的 | EV 証明書 + 鍵マーク表示の社内案内 | | 国際展開すると国別 ccTLD も狙われる | `.cn` `.us` `.de` 等の主要 ccTLD で防御取得 | | 短期キャンペーンドメインも狙われる | 期間限定なら短い TTL + 終了後に削除確認 | | 検出が遅いと損害拡大 | 半年に 1 回の定期棚卸し | ## 自社で同じことが起きていないか確認 ドメイン番人の [類似ドメイン棚卸し 単発チェック](/typosquat/check) で 30 秒で確認できます。[dnstwist](/blog/dnstwist-tsukaikata) 11 パターン × 主要 20 TLD で 200+ 候補を網羅、リスク 3 段階で分類します。 ## まずは現状を把握しましょう 棚卸しと DMCA / UDRP テンプレ提供は [類似ドメイン棚卸し+ブランド保護診断](/contact)(5 万円〜)でご相談ください。**申請代行は弁護士領域のため行いません**。 関連記事: - [Typosquatting とは](/blog/typosquatting-toha) - [Homoglyph 攻撃の見分け方](/blog/homoglyph-kogeki) - [TLD swap 攻撃のリスク](/blog/tld-swap-risk-jp) 総合点検は [無料のドメイン診断](/diagnose)、SSL 単独は [SSL 単発チェック](/ssl/check) をご利用ください。