Shopify「Shop」アプリで相次ぐ偽領収書詐欺：NortonやAppleを装った手口に注意

サイバー犯罪者がShopifyの注文追跡アプリ「Shop」を悪用し、ユーザーの注文履歴に偽の購入領収書を表示させる新しいフィッシングキャンペーンが確認されました。この偽の領収書に記載されたサポート番号に電話をかけると、詐欺師がカスタマーサービスを装い、個人情報の窃取やリモートアクセスソフトのインストールを試みる「コールバックフィッシング」と呼ばれる手口です。このキャンペーンでは、Norton、McAfee、Apple、PayPalといった知名ブランドがなりすましに利用されており、iPhoneの購入やAppleギフトカード、さらに偽のセキュリティサブスクリプションに関する領収書が報告されています。重要なのは、サイバーセキュリティ企業のGen DigitalやShopifyの調査により、ShopアプリやShopifyのプラットフォーム自体が侵害された証拠は一切確認されていない点です。詐欺師は注文追跡システムの正規の機能を悪用していると見られています。

詐欺の仕組み

この詐欺の核心は、ユーザーがShopアプリに対して抱く信頼を悪用することにあります。Shopアプリは複数の小売店からの注文追跡や領収書を1つのインターフェースに集約する機能を持ちます。詐欺師は偽の注文を作成し、それをユーザーの注文履歴に注入することで、正当な購入履歴と並んで表示されるようにします。Shopアプリは接続されたメールアカウント（Gmail、Outlookなど）から自動的に注文情報を取り込むため、この偽の領収書はユーザーにとって見慣れた信頼できる文脈の中で表示され、信憑性が高まります。

なりすましブランドとソーシャルエンジニアリング

報告されている偽の領収書は、Norton、McAfee、Apple（iPhoneやAppleギフトカード）などのブランドを装い、PayPal風の支払い請求を含むものもあります。ブランドの選択は意図的なソーシャルエンジニアリングです。300ドルを超えるセキュリティサブスクリプションや高価なApple製品の偽領収書は、ユーザーに緊急性とパニックを引き起こし、不当な請求を争うために記載された番号に電話をさせることを目的としています。

コールバックフィッシングの実体

キーとなる要素は、注文詳細、配送先住所フィールド、または商品説明に埋め込まれた電話番号です。これには「この請求に心当たりがない場合はサポートに電話してください」といったメッセージが添えられていることが多いです。被害者が電話をかけると、詐欺師がサポート担当者を装って応答し、以下の行為を試みます。

• 返金の名目でクレジットカード番号や個人情報を聞き出す。
• アカウントのログイン認証情報を取得しようとする。
• デバイスの完全な制御権を奪うリモートアクセスソフトのインストールを騙す。

報告されているほとんどのケースでは、実際の金融口座に不正な引き落としが発生したという証拠はなく、脅威は電話をかけさせること自体にあります。

Shopifyの対応

このキャンペーンを受けて、ShopifyはBleepingComputerに対し、プラットフォームを悪用する不正行為者を特定し、「この活動を大幅に削減し、今後も検出能力を向上させる新しい対策を展開した」と述べています。具体的な技術的対策の詳細は明らかにされていませんが、同社はユーザーに対し、フィッシング、ビッシング（電話を使った詐欺）、スミッシング（SMSを使った詐欺）の識別に関する公式セキュリティガイダンスを参照するよう促しています。これには、@shopify.comなどの公式ドメインからのメールかどうかの確認や、不審な電話番号には絶対に電話しないことなどが含まれます。

公式報告窓口

Shopifyは不審なメールをphishing@shopify.comに転送するよう推奨しています。また、偽の領収書でなりすまされているNortonのブランドを運営するGen Digitalも、Norton関連の不審なメールをspam@norton.comに報告するよう推奨しています。

不審な領収書を見つけた場合の対処法

Shopアプリで身に覚えのない注文や領収書を見つけた場合、記載されている連絡先には一切関わらないでください。代わりに以下の手順に従ってください。

1. 注文に記載された電話番号には絶対に電話しないでください。 正当な企業が、請求に異議がある場合の問い合わせ先として、デジタル領収書内にサポート番号を記載することはありません。

2. 銀行やカード発行会社で直接請求を確認してください。 通知内のリンクではなく、金融機関の公式アプリやウェブサイトにログインして、実際に請求が発生しているかを確認してください。

3. 不審な注文のリンクをクリックしたり、ファイルをダウンロードしたりしないでください。

4. 一時的にShopアプリのメール連携を解除してください。 設定 > メール連携 から行うことで、さらなる偽の注文の自動表示を防げます。

5. 詐欺を報告してください。 通知やメールをphishing@shopify.comに転送し、Nortonを装ったものの場合はspam@norton.comにも転送してください。

6. 既に電話をかけてしまった場合、直ちに銀行に連絡して口座を凍結し、デバイスのマルウェアスキャンを実行し、Shopifyのパスワードを変更し、二段階認証を有効にしてください。

7. Shopアプリ内で該当の注文を「不審」として報告してください。 これにより、プラットフォームが同様の不正注文を特定し、ブロックするのに役立ちます。

重要なポイント

ShopifyのShopアプリを標的にしたコールバックフィッシング詐欺は、フィッシング技術の顕著な進化を示しています。攻撃者はメールを超えて、ユーザーが実際の購入を管理する信頼できるアプリ内に直接偽の領収書を仕掛けるようになりました。このキャンペーンは、Shopifyのインフラの技術的な脆弱性ではなく、プラットフォームに対するユーザーの信頼を悪用しています。最も効果的な防御策はシンプルです。領収書に埋め込まれた電話番号には決して電話せず、疑わしい請求は公式チャネルを通じて確認し、不審な活動を関係プラットフォームに報告することです。