ネットショッピングの利用者が増加傾向にある昨今、詐欺サイトによる被害も急速に拡大しています。

詐欺サイトとは、その名のとおり、「金銭」や「個人情報」などを騙し取ることを目的に作られた偽物のサイトのことです。

近年では、本物のサイトと見分けがつかないほど精巧に作られているケースが多く、判別はますます難しくなっています。

本記事では、詐欺サイトの被害に遭わないために、見分け方やアクセスしてしまった場合に想定される被害、具体的な対処法などを事例を交えて解説します。

「詐欺サイトの見分け方を知りたい」「どのように対策すればいいのか知りたい」という方は、ぜひご確認ください。

詐欺サイトとは？

詐欺サイトとは、個人情報やクレジットカード情報、金銭などを詐取する目的で作られた、本物そっくりの偽サイトのことです。

近年の詐欺サイトは、公式サイトのロゴや画像を盗用して本物そっくりの巧妙なデザインを装うだけでなく、URLを似せたり、生成AIで自然な文章を作ったりなどの手口も取り入れ、判別がますます難しくなっています。

ネットショッピングに関するトラブル報告

消費者庁が発表した「令和5年版消費者白書」によると、2022年のインターネット通販に関する相談のうち、約4割が以下のような商品トラブルでした。

こうしたトラブルの多くは詐欺サイトが関与していることが確認されており、消費者庁からも注意喚起がされています。

参考：消費者庁｜令和5年版消費者白書（令和5年6月13日）

詐欺サイトの見分け方

多くの詐欺サイトは、正規サイトと見分けがつかないほどに巧妙に作られており、気付かずに情報を入力してしまうと、個人情報や金銭を窃取される恐れがあります。

詐欺サイトの被害を防ぐために、正規サイトと見分けるための6つのポイントを解説します。

とくに近年の詐欺サイトは巧妙化しており、注意深く確認しないと見抜けないケースが増えています。

6つのポイントを確認していきましょう。

▼偽サイトの特徴

出典：警察庁｜「偽サイト」「詐欺サイト」に注意！

ポイント（1）：URLやドメインに不自然な点はないか

詐欺サイトはデザインだけでなく、URLやドメイン名までも正規サイトを模倣して生成します。

誤って情報を入力しないために、以下の項目を確認するようにしましょう。

正規サイトの多くは、悪意のある第三者に通信を傍受されないように、通信を暗号化しています。

そのため、まずは通信が暗号化されているかを確認しましょう。

通信が暗号化されている場合、アドレスバーに鍵マークがつき、URLが「https」ではじまります。

ただし近年は、暗号化通信を利用する詐欺サイトも存在するため、「https」ではじまるからといって、それだけで正規サイトと判断するのは危険です。

また、URLに加えて、ドメイン名も確認する必要があります。

国内の企業サイトの場合、「.com」「.jp」「.co.jp」が多くを占めていますが、詐欺サイトの場合は「.xyz」「.live」など、馴染みのないドメインが使用されているケースが多いです。

▼詐欺サイトのURL

出典：消費者庁｜人気インテリア家具や雑貨等の公式通信販売サイトを装った偽サイトに関する注意喚起（令和５年４月26日）
そのほかにも、「amazon」が「amaz0n」になっているなど、社名やサービス名の一部が、似た文字に変換されているケースもあります。

URLもドメイン名も、一目見ただけで判断しないようにしましょう。

ポイント（2）：運営会社情報が正しく記載されているか

本来、ネットショップやECサイトは「特定商取引法」に基づき、以下の情報を表記することが義務付けられています。

そのため、これらの情報が記載されていないサイトは、詐欺サイトである可能性が高いです。

ただし、架空の住所や無関係な企業の電話番号が記載されているケースもあるため、運営会社情報が記載されているだけで、正規サイトと判断するのは危険です。

とくにはじめて利用するサイトでは、次のポイントを確認するようにしましょう。

ポイント（3）：問い合わせ先はフォーム・フリーメールだけでないか

運営者への連絡手段が、「お問い合わせフォーム」や「フリーメールアドレス」しかない場合は、注意が必要です。

トラブルが発生しても返信がなく、また、取引の途中で音信不通になる、商品が届かない・返金も受けられないという被害につながりやすいです。

ポイント（4）：極端な安売りはされていないか

本来50万円以上する高級ブランドバッグが数万円で売られているなど、極端な安売りをしている場合は詐欺サイトの可能性があります。

正規サイトで大幅な値引きがされる場合は、「賞味期限が近い」「傷がある」「型落ち商品」など、値引きの理由が明確に記載されているケースが多いです。

一方、詐欺サイトの場合は、ユーザーを誘い込むことが目的のため、値引きの理由が書かれていないケースがほとんどです。

さらに、多くのサイトで売り切れているような入手困難な商品が「在庫あり」となっている場合も、詐欺サイトである可能性が高いため、注意が必要です。

ポイント（5）：支払い方法が限定されていないか

正規サイトの場合、「クレジットカード」「銀行振込」「コンビニ支払い」など、複数の支払い方法が利用できるのが一般的です。

一方で詐欺サイトの場合は「銀行振込のみ」など、支払い方法が限定されているケースが多く見られます。

さらに、振込先口座の名義が法人名でなく、個人名になっているケースは、とくに注意が必要です。

ポイント（6）：不自然な日本語表現は使われていないか

詐欺サイトは、海外のグループが関与していることが多く、不自然な日本語が使われていることが少なくありません。

たとえば、「あなたが得る送料無料」「待つください1週間」といった、自動翻訳をそのままコピペしたような表現や、見慣れない「产」「对」といった漢字が使われている場合は、詐欺サイトの可能性が高いです。

ただし近年は、生成AIによって自然な日本語表現が使われるケースも増えているため、文章が自然だからといって、安心するのは危険です。

ここまで紹介した「詐欺サイトを見分ける6つのポイント」は、どれかひとつだけで判断できるものではありません。

「少しでも違和感がある」「はじめて利用する」などの場合は、6つすべて確認し、被害に遭わないように注意しましょう。

詐欺サイトに誘導する方法

攻撃者は、情報や金銭を詐取するために、ターゲットを詐欺サイトへ誘導します。

ここでは、代表的な誘導手口を4つ紹介します。

どのような手口が用いられるのか詳しく確認していきましょう。

フィッシングメール

「フィッシングメール」とは、送信者を偽ってメールを送り、文中記載のURLから偽のサイトに誘導する手口です。

たとえば、クレジットカード会社や金融機関を装って、「不正利用のお知らせ」や「パスワード変更のお願い」といった件名のメールを送信し、正規のメールとそっくりに作られた文面のURLをクリックさせ、詐欺サイトに誘導します。

見分けるポイントとして、正規のメールの場合は冒頭に「○○様」と宛名があることが多いですが、フィッシングメールは「お客様」「ご利用者様」といった総称になっているケースが多いです。

スミッシング

「スミッシング」とは、携帯電話の電話番号宛にメッセージを送信する「SMS」を利用したフィッシング詐欺の一種です。

攻撃者は、フィッシングメールと同じく、大手企業や公的機関を装ってSMSを送り、偽サイトへの誘導を試みます。

電話番号宛てに巧妙な文面のメッセージが届くと、メールよりも油断しやすく、個人情報を入力してしまうケースが多く、被害が多発しています。

またメッセージに、「緊急」「重要」「確認してください」など、不安や焦りを感じさせる文言が多く使われていることも、被害が増加している要因といえます。

ネット広告

SNSや検索エンジンの結果ページに詐欺サイトの広告を掲載し、誘導する手口も登場しています。

SNSでは、ユーザーの年齢や性別、興味関心のある事柄などをもとに、そのユーザーにあった広告が自動的に表示されるようになっています。

この中に詐欺サイトの広告が紛れており、実際に利用したユーザーから「注文した商品が届かない」という被害が報告されています。

また、ユーザーが検索したキーワードと連動して表示される「検索連動型広告」から、詐欺サイトに誘導するケースも確認されています。

実際、「鉄道会社のサイト名」を検索すると、画面最上部の広告枠に正規サイトではなく詐欺サイトの広告が掲載されるといった事態も発生しています。

ソーシャルメディア

広告以外にも、SNSを利用して詐欺サイトへ誘導する手口が報告されています。

代表的な例として、有名人や企業を装った偽のアカウントが、詐欺サイトへのリンクを含むメッセージを配信するケースが挙げられます。

また、「このリンクをクリックして無料のギフトカードを受け取る」や「このアンケートに答えて豪華賞品をゲット！」など、偽のキャンペーンを宣伝して、詐欺サイトへ誘導させる手口もあります。

被害を防ぐためには、必ず送信元を確認し、公式アカウントかどうかチェックすることが重要です。

【5つの具体事例】詐欺サイトへの誘導方法

前述の通り、詐欺サイトへの誘導にはメールやSMSが使われるケースが多いです。

ここでは、実際にどのような文面・内容でメールやSMSが送られてくるのか、具体事例を用いて紹介します。

国勢調査の回答依頼を装い偽サイトへ誘導する事例

2025年9月、総務省統計局を名乗り、「【国勢調査2025】ご協力のお願い（回答者に記念品をご用意）」や「【国勢調査2025】調査へのご協力のお願い（回答義務あり）」といった国勢調査への回答依頼を装ったフィッシングメールが確認されました。

メール文中にあるURLをクリックすると、総務省統計局のホームページを装った偽サイトに誘導されます。

▼総務省統計局を装ったメールの文面例

出典：フィッシング対策協議会｜国勢調査への回答依頼をよそおうフィッシング (2025/09/22)

総務省統計局では、このようなフィッシングサイトで電話番号・認証コードなどを絶対に入力しないよう注意を促しています。

このようなメールが届いた場合は、安易にリンクをクリックせず、URLが公式のものであるか確認したり、公式サイトから直接アクセスしたりなど、詐欺サイトに誘導されないための対策を取るようにしましょう。

東京ガスの偽サイトに誘導する事例

2025年4月には、東京ガスを名乗ったフィッシングメールが報告されています。

「【myTOKYOGAS】ご請求料金確定」など、重要なお知らせを装ったメールが届き、文中のURLをクリックすると、偽サイトに誘導されます。

▼東京ガスを装ったメールの文面例

出典：フィッシング対策協議会｜東京ガスをかたるフィッシング (2025/04/09)

万が一、不正なリンクをクリックしてしまうと、マルウェア感染やクレジットカード情報の窃取といった被害が生じる恐れがあります。

たとえ普段利用しているサービスからのメールであっても油断せず、ログインは必ず公式アプリや公式サイトを経由しておこないましょう。

国税庁の偽サイトに誘導する事例

2024年1月には、国税庁を名乗り「【重要】滞納した税金がございます！【税務署】」など、重要なお知らせを装ったメールが送られた事例が報告されています。

メール内のURLをクリックすると、国税庁のホームページを装った偽サイトに誘導され、そこで個人情報やVプリカ発行コード番号などを入力すると、個人情報やVプリカ（現金と同等の価値）が搾取されてしまいます。

国税庁の公式サイトでは、これまでに確認された不審なメール文面を公開し、注意を呼びかけています。

▼国税庁を装ったメールの文面例

出典：フィッシング対策協議会｜国税庁をかたるフィッシング (2024/01/11)

三菱UFJ銀行の偽サイトに誘導する事例

2023年10月、三菱UFJ銀行を装って「銀行口座の取引を一時的に規制しています」などのSMSを送り、詐欺サイトへ誘導する手口が確認されました。

▼「三菱UFJ銀行」を装ったSMSの文面例

出典：フィッシング対策協議会｜三菱UFJ銀行をかたるフィッシング (2023/10/30)

詐欺サイトは本物のサイトの画面をコピーして作られており、偽サイトとわからず利用すると、以下のような情報が詐取される可能性があります。

また、URLをクリックしたAndroid端末で、不審なアプリがインストールされることも確認されています。

これは、SMS内のURLから偽サイトに誘導し、「警告」などの文言を表示することで利用者に不安を煽ったうえで、対象方法と称して不審なアプリのダウンロード・インストールを促す手口です。

三菱UFJ銀行は、取引に関する案内などをSMSで送ることは一切ないと公表しており、公式サイトでも注意を呼びかけています。

Amazonの偽サイトに誘導する事例

2023年1月、Amazonを名乗って「プライムの自動更新設定を解除いたしました」などの内容のSMSやメールが送られる事例が報告されました。

文中に記載されたQRコードを読み取ると、詐欺サイトへ誘導される仕組みになっていました。

▼Amazonを装ったメールの文面例

出典：フィッシング対策協議会｜Amazon をかたるフィッシング (2023/01/05)

これまでもAmazonを装った不審なURL付きの偽メールは多数確認されていましたが、今回のケースでは、文中にQRコードが表示されている点が特徴です。

文中のQRコードを読み取ると、正規のサイトとそっくりに作られた詐欺サイトへと誘導され、ログイン ID (E メールまたは携帯電話番号)、パスワード、氏名、住所、電話番号、クレジットカード番号などの入力を促されます。

明らかに不審なURLは警戒することができますが、QRコードではリンク先が正規のものか不正なものか、判断することができません。

Amazonを名乗った偽メールによるフィッシング詐欺は依然として多いため、QRコードの有無にかかわらず、サービスへのログインはアプリやブラウザからおこなうなどの対策が必要です。

詐欺サイトが引き起こす具体的な被害

詐欺サイトだと気付かずに利用してしまうと、次のような被害を受ける恐れがあります。

窃取された情報が悪用されると、次のような二次被害につながる恐れもあります。

さらに、詐欺サイトの中にはアクセスしただけでマルウェアに感染させるものもあります。

詐欺サイトにアクセスしてしまった時の対処法

いくら注意していても、詐欺サイトにアクセスしてしまう可能性を完全になくすことは難しいです。

もしアクセスしてしまった場合は、速やかに以下の対応を実施してください。

まず、IDやパスワードを入力してしまった場合は、直ちにパスワードを変更しましょう。

メールアドレスも新しく取得できる場合は、IDも変更することで、安全性をより高めることができます。

また、万が一クレジットカード情報や口座番号を入力してしまった場合は、契約しているカード会社や金融機関に速やかに連絡し、利用停止や番号変更の手続きをおこなってください。

クレジットカードやインターネットバンキングには、不正利用に対する補償が存在しますが、補償申請には警察に被害届を提出する必要があります。こちらも忘れずに提出しましょう。

さらに、業務で利用するデバイスで詐欺サイトに情報を入力してしまった場合は、必ず上長やセキュリティ担当者に報告し、組織として適切な対応を速やかに講じる必要があります。

個人でできる詐欺サイトへの対策

詐欺サイトの被害を防ぐために、個人が実施すべき対策を4つ紹介します。

詳しく見ていきましょう。

ブックマークした公式サイトや正規のアプリからアクセスする

詐欺サイトへの誘導には、メールやSMS、ネット広告が用いられることがほとんどです。

そのため、よく使うサイトは正規サイトをブックマークしておき、アクセスの際は必ずブックマークから開くようにしましょう。

また、公式のアプリが提供されている場合はインストールして、アプリ経由でアクセスすることが推奨されます。

SSLサーバー証明書が導入されているか確認する

正規のサイトであれば、「通信データの暗号化」と「サイト運営会社の身分証明」を目的としたSSLサーバー証明書が発行されています。

証明書が導入されているかは、アドレスバーのURLの横に表示される鍵マークや、URLが「https」ではじまっているかで確認できます。

ただし、SSLサーバー証明書が発行されているからといって、それだけで正規のサイトと断言できるわけではありません。

前述の見分けるポイントを参考に、そのほかのポイントも欠かさずにチェックしましょう。

不審なメールやリンクは安易に開かない

心当たりのない内容のメールやSMSに記載されているURLは、安易にクリックしないよう徹底しましょう。

また、少しでも違和感を覚えた場合は、正規サイトの「お知らせ」などを確認し、フィッシングメールに関する注意喚起がおこなわれていないかを確認してください。

誤ってURLをクリックしてしまわないように、不審なメールはすぐに削除することも大切です。

OS・ソフトウェアは常に最新の状態を保つ

OSやソフトウェアに脆弱性（セキュリティ上の欠陥）が残ったまま放置してしまうと、詐欺サイトにアクセスした際に、マルウェアが侵入する危険性が高まります。

さらに脆弱性を放置することは、マルウェア感染のリスクを高めるだけでなく、システムへの不正侵入など、ほかのサイバー攻撃に悪用される恐れもあります。

基本的なセキュリティ対策として、OSやアンチウイルスなどのソフトウェアは常に最新の状態に保ち、脆弱性を残さないようにしましょう。

企業がおこなうべき詐欺サイトへの対策

詐欺サイトによって被害を受けるのは、個人だけではありません。

従業員が詐欺サイトにアクセスしてしまうと、企業ネットワークに侵入され、顧客情報や機密情報が漏洩するリスクが生じます。

さらに自社でWebサイトを運営している場合、その偽サイトが作られてしまうことで、顧客の信用を失ったり、売り上げに支障をきたしたりなど、大きなダメージを受ける可能性もあります。

このような深刻な被害を防ぐために、企業がとるべき対策を3つ紹介します。

詳しく確認していきましょう。

1．セキュリティポリシーの策定と周知

セキュリティポリシーとは、企業・組織において実施する、情報セキュリティ対策の基本方針をまとめたものです。

明確にポリシーを定めておけば、未然に被害を防止しやすくなるだけでなく、万が一被害に遭った場合も、被害を最小限にとどめることができます。

また、策定したポリシーを従業員に周知させることで、それぞれのセキュリティに対する意識の向上をはかることができます。

2．セキュリティ教育の実施

情報セキュリティに対する意識には、どうしても個人差があるものです。

たとえ一人でも意識の低い従業員がいると、安易に詐欺サイトにアクセスしたり、情報を入力してしまったりと、取り返しのつかない深刻な被害につながる恐れがあります。

こうしたキュリティインシデントを防ぐためには、従業員一人ひとりが、どのような脅威が存在し、どのような行為が被害リスクにつながるのかを理解することが重要です。

企業・組織は、すべての従業員が高いセキュリティ意識を持ち、セキュリティポリシーを遵守できるように、定期的かつ継続的にセキュリティ教育を実施しましょう。

3．フィッシング詐欺対策に優れたセキュリティソフトやサービス

業務で使用するデバイスには、フィッシング詐欺対策に優れたセキュリティソフトやサービスを導入することが推奨されます。

具体的には、以下のようなサービスの導入が有効です。

マルウェア対策には「LANSCOPEサイバープロテクションの」AIアンチウイルス

詐欺サイトによる被害は、個人情報やクレジットカード情報の窃取・不正利用が多くを占めますが、詐欺サイトにアクセスしたことで、マルウェアに感染するという被害も報告されています。

マルウェアに感染すると、機密情報の漏洩やシステムの乗っ取り、金銭の窃取などのリスクが生じる恐れがあります。

本記事では、マルウェアによるさまざまな被害を未然に防ぐ「盾」として機能するAIアンチウイルス「LANSCOPE サイバープロテクション」を紹介します。

「LANSCOPE サイバープロテクション」では、未知のマルウェアも検知・ブロックする、2種類のAIアンチウイルスを提供しています。

2種類のアンチウイルスソリューションの特徴を紹介します。

世界トップレベルの専門家によるMDRサービス「Aurora Managed Endpoint Defense」

「Aurora Managed Endpoint Defense 」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。

高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。

「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが実施するMDRサービスです。

高精度なアンチウイルス・EDRを併用できることに加え、セキュリティのプロが24時間365日監視をおこなうため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。

緊急時にはお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。

「LANSCOPE サイバープロテクション」は、 アンチウイルスのみ、アンチウイルス＋EDRのみ導入するなど、柔軟な運用も可能です。

「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。

各種ファイル・デバイスに対策できるNGAV「Deep Instinct」

「LANSCOPE サイバープロテクション」では、 AI（ディープラーニング）を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。

下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99％以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※

近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。

「Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているため、多様な形式のマルウェアを検知可能です。

「Deep Instinct」は、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。

※Unit221B社調べ

マルウェアに感染した場合は「インシデント対応パッケージ」にお任せください

「マルウェアに感染したかもしれない」「サイトに不正ログインされた痕跡がある」など、「サイバー攻撃を受けた後」に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。

「LANSCOPE サイバープロテクション」のインシデント対応パッケージは、フォレンジック調査の専門家がお客様の環境を調査し、感染状況や影響範囲を特定します。

また、調査後は、封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスも提供します。

インシデント対応パッケージについて詳しく知りたい方は、下記のページをご確認ください。

まとめ

本記事では「詐欺サイトの見分け方」をテーマに、見分けるためのポイントや具体的な被害事例、対策方法などを紹介しました。

IT技術やAIに発達が著しい昨今、詐欺サイトはますます巧妙化していくことが想定されます。

本記事で紹介した「詐欺サイトの見分け方」を確認することはもちろん、少しでも不審な点があったら、「開かない」「アクセスしない」という意識を徹底しましょう。

また、企業・組織の担当者の方は、従業員一人ひとりに詐欺サイトの脅威を認識させるとともに、万が一インシデントが発生した場合でも、被害を最小限に抑えるための仕組みを整えておくことが重要です。

本記事で紹介した「LANSCOPE サイバープロテクション」のAIアンチウイルスは、攻撃者が作成したばかりの未知のマルウェアであっても、ファイルの特徴から判定し、高い検知率で企業をセキュリティリスクから守ります。

堅牢なセキュリティ体制の構築に、ぜひご活用ください。

また、まずは自社のセキュリティレベルを確認したいという方に向けて、「組織のセキュリティ対策が十分であるか？」を簡単に診断できる「サイバー攻撃対策チェックシート」をご用意しています。

本記事とあわせてぜひご活用ください。