ブランドのなりすまし、オンライン広告、悪意のあるマーチャントで購入詐欺ネットワークが被害者を食い物にする

Executive Summary

2025年4月19日、Recorded Future® Payment Fraud Intelligenceは、lidlorg[.]comを特定しました。これは、詐欺ウェブサイトの1つで、ドイツの国際ディスカウント小売業者を標的とするブランドなりすましを用いているとみられています。2025年5月8日時点での分析では、lidlorg[]comが71件の同様の詐欺ウェブサイトネットワークに関連していることが確認されています。これらのサイト群は、ブランドなりすましとオンライン広告キャンペーンを組み合わせ、拡散を図っています。確認された詐欺サイトはいずれも、訪問者の取引処理において12件の共有マーチャントアカウントのうち1件以上を使用しています。これらのマーチャントアカウントによるすべての取引は、不正の可能性が高く、クレジットカード情報の不正取得（カードコンプロマイズ）を助長する恐れがあります。

購入詐欺は、金融詐欺リスク、およびコンプライアンスリスクを、カード発行会社および加盟店契約会社にもたらします。特に、詐欺に関与するマーチャントアカウントが資金洗浄行為の支援にも悪用されるケースでは、これらのリスクが顕著です。このようなリスクを軽減するために、カード発行会社は特定されたマーチャントアカウントおよびそれらと取引のあるカードアカウントに対して措置を講じるべきです。一方、加盟店契約会社も同様に、該当するマーチャントアカウントに対して適切な対応を行う必要があります。これらのリスク軽減策については、本レポートの「Mitigations（対策）」セクションで詳述しています。

主な調査結果

2025年4月19日、弊社はlidlorg[.]comを特定しました。これは、ドイツの小売業者を標的としたブランドなりすましを用いた購入詐欺サイトの1つであるとみられます。
詐欺サイトlidlorg[.]comは、同様の手口で被害者を詐取し、被害者データを盗み取る71件の詐欺ドメインネットワークの一部である可能性が高いと考えられます。これらのサイトは同一のマーチャントアカウントを使用して不正取引を実行しています。
lidlorg[.]comに関連するマーチャントアカウントで行われる取引は、不正である可能性が高く、クレジットカード情報の不正取得（カードコンプロマイズ）を助長する恐れがあります。これらのマーチャントアカウントには、以下の企業が含まれます：AKRU KERAMIK GMBH、ANT ONLINE E-COMMERCE STO、BALSAMIC、CLOTHWEARABLY、LMS AESTHETICS、MYCOZYBABIES、ONCLOTHESSHOES、PETHOUSEN LLC、REFINEDHAT、YSP CLOTHINGGSHOP、YSP NIHILSTOOL、および YSP QHWLKJSHOP
詐欺ドメインおよびマーチャントアカウントのネットワークが、単一の脅威アクターによって管理されているのか、または複数の脅威アクターが協働しているのかは明確ではありません。たとえば、ダークウェブ上での提携や、ダークウェブを基盤とするサービスの提供を通じて、より大規模な詐欺エコシステムの一部として運営されている可能性があります。
この詐欺ネットワークを単一または複数の脅威アクターに帰属させるために、カード発行会社および加盟店契約会社は、マーチャントデータへのアクセスを通じて、マーチャント登録情報や企業データなどに見られる共通点を分析することが可能です。

購入詐欺ウェブサイトに関する脅威分析

2025年4月19日、Recorded Futureはlidlorg[.]comを購入詐欺サイトとして特定しました。lidlorg[.]comの運営者は、ドイツの国際的ディスカウント小売チェーンを標的としたブランドなりすましを行っており、ドメイン名におけるタイポスクワッティング（類似ドメインの悪用）およびブランドロゴの不正使用が確認されています。「EU-STORE」や「L. Clearance」といった偽装名称の使用に加え、lidlorg[.]comに関連する2つの広告アカウントも特定されています（図1）。この詐欺サイトは、3つの関連マーチャントアカウントを利用して被害者を詐取しているとみられます。これらのアカウントにより、運営者は不正取引を実行し、被害者の個人情報および金融データを窃取して、後続の詐欺活動に悪用している可能性があります。

Recorded Future Payment Fraud Intelligence 購入詐欺サイトは、リンクされたマーチャントアカウントの利用によって、フィッシングサイトと区別されます。私たちが特定した購入詐欺サイトは、他のオンライン詐欺と類似しており（特に、購入者が決して受け取ることのない商品やサービスを提示する点で共通しています）、しかし、単なるフィッシングサイトとは異なります。フィッシングサイトが偽のフォーム送信などによって被害者のデータを収集するのに対し、購入詐欺サイトは実際に支払いを処理できる点が特徴です。

図 1: lidlorg[.]comとみられる詐欺サイトに関連するオンライン広告アカウントは、Facebook広告上でドイツのブランドを装っていました

私たちの分析によると、 lidlorg[.]com このサイトは71件の詐欺性が高いとみられるECドメインのネットワークの一部であり、詐欺マーチャントアカウントの重複使用によって関連していることが確認されています。これらの詐欺サイトは、支払い機能のために同一のマーチャントアカウントを様々な組み合わせで利用しており、遅くとも2025年2月までには稼働を開始していたとみられます。また、多くのドメインが複数のブランドを装うために、タイポスクワッティング（類似ドメイン名の悪用）を使用しています。私たちの分析時点で、多くのドメインが現在または過去にオンライン広告キャンペーンに関連していることが確認されました。これらの多くは、詐欺行為を含む「不適切なビジネス慣行」に該当するとの理由で、広告プラットフォームによって削除されています。平均すると、これらのドメインは開設後65日程度と比較的新しく、悪意のあるものとみられます。DomainToolsによる平均リスクスコアは88/100でした。

図2は、特定された詐欺ドメインとマーチャントアカウント間の関連性を示しています。本レポートの付録では、確認された詐欺ドメイン、マーチャントアカウント、そしてそれらの関連が確認された時点のタイムスタンプを一覧にしています。

図 2: このグラフは、71件の詐欺ドメイン（lidlorg[.]comを含む）が、8件のマーチャントアカウントを重複して利用している実態を示しています。また、調査内で「初期感染源（patient-zero）」と位置付けられたドメインは、ライトブルーで表示されています（出典：Recorded Future）

直接または間接的に関連するマーチャントアカウントによる取引は、 lidlorg[.]com 不正である可能性が高く、クレジットカード情報の不正取得（カードコンプロマイズ）を助長するおそれがあります。2025年5月8日現在、lidlorg[.]comは訪問者の取引処理に3つのマーチャントアカウントを直接使用していることが確認されました。さらに、他の詐欺性ECドメインとの重複利用を通じて、9件の追加マーチャントアカウントがlidlorg[.]comにに関連していることが判明しています。

マーチャント名

アクワイアラーBIN

MCC

初回検出日

最終検出日

関連詐欺ドメイン

AKRU KERAMIK GMBH

264431

5719

2025-04-30

ANT*ONLINE E-COMMERCE STO

270514

5631

2025-04-09

BALSAMIC

270522

5661

2025-04-01

2025-04-09

CLOTHWEARABLY

271109, 024440

5691

2025-02-25

2025-03-07

LMS AESTHETICS

230230

5719

2025-04-23

2025-04-30

MYCOZYBABIES

271109, 024440

5641

2025-04-16

2025-04-26

ONCLOTHESSHOES

875516

5311

2025-04-23

2025-04-30

PETHOUSEN LLC

230509

5995

2025-04-19

2025-04-30

REFINEDHAT

271109, 024440

5691

2025-04-14

2025-04-23

YSP*CLOTHINGGSHOP

020608

5621

2025-03-04

2025-04-19

YSP*NIHILSTOOL

020608

5311

2025-03-26

2025-04-19

YSP*QHWLKJSHOP

020608

5621

2025-02-25

2025-04-26

表1: lidlorg[.]comに関連するマーチャントアカウントを通じたすべての取引は、不正である可能性が高いとみられます（出典：Recorded Future）

関連マーチャントのURLデータに不正確な情報が含まれていることから、脅威アクターが、このグループ内のマーチャントアカウントを取引のマネーロンダリング（資金洗浄）目的で利用している可能性が示唆されます。たとえば、マーチャントデータによれば、PETHOUSEN LLCはpethousen[.]comに関連付けられていると示されていますが、実際には私たちが確認した3つの詐欺ドメイン（bilability[.]com、dknyonlineuk[.]com、outletmallEU[.]shop）に関連していると考えられます。このような誤って関連付けられたマーチャントURLは、マーチャントが取引ベースのマネーロンダリングに関与している可能性を示す指標となることが多いとされています。

トランザクションロンダリング（取引型マネーロンダリング）は、脅威アクターが高リスクまたは違法な活動を隠蔽することを可能にします。これは、マーチャントの加盟銀行または決済プロバイダーに対して、実際には不明な事業体・商品・サービスの支払いを処理することで行われます。これらの取引は、低リスクまたは合法的な購入に見せかけられていますが、実際には違法行為のための取引であることが多くあります。この意味で、被害者を詐取するすべての購入詐欺取引は、本質的にトランザクションロンダリングの一形態といえます。

本レポートで特定された詐欺ネットワークが単一の脅威アクターによって運営されているのか、または複数の脅威アクターが協調して行動しているのかは明確ではありません。購入詐欺に関連するマーチャントアカウントの不正使用は、しばしば複数のドメインネットワーク間で重複しており、その様子は図2に示されています。詐欺ネットワーク全体に分散して存在するマーチャントアカウントは、共通の起源または運営者を示唆する類似点を持つ場合があります。一方で、マーチャントアカウントに関連する詐欺ドメインはしばしば異なっており（たとえば、被害者への拡散に使用される広告プラットフォームの種類など）、それぞれ異なる特徴を示しています。

このため、詐欺ネットワークの運営主体の特定に関しては、以下の2つのシナリオが同程度の可能性を持つと考えられます。

複数の脅威アクターが運営する詐欺ドメインネットワークが、同一のマーチャントアカウントを利用している場合。これらのマーチャントサービスは、ダークウェブ上の第三者による「現金化」サービスの一環として貸し出されている可能性があります。
単一の脅威アクターが、ドメインおよびマーチャント基盤を統括している場合。このアクターは、特定を困難にするためにドメインやマーチャントアカウントの組み合わせを意図的に入れ替え、ネットワーク全体を運用している可能性があります。

不正なダークウェブサービスのエコシステムが支えている可能性が高いです 詐欺活動に関与する脅威アクターを支援していると考えられます。詐欺を目的とした脅威アクターによってこの構造が支えられていることが示唆されます。

詐欺ベースのマルバタイジングサービス：脅威アクターは、オンライン広告プラットフォーム上で不正な広告サービスを運営しています。その手口には、広告主アカウントの侵害や、盗まれた金融データを使用した広告キャンペーンの購入などが含まれます
「キャッシュアウト」サービス：脅威アクターは、自らの管理下にあるマーチャントアカウントを他の脅威アクターに提供し、盗まれたカードデータを換金する手段として利用させています。
トラフィックサービス：脅威アクターは、検索結果などにおいて悪意ある広告（詐欺サイトを含む）の露出を人為的に増やすため、トラフィックを操作しています。または、既存の訪問者トラフィックを詐欺ドメインで収益化するため、「キャッシュアウト」サービス提供者と提携する場合もあります。

カード発行会社および加盟店契約会社は、マーチャントデータへのアクセスを通じて、脅威アクターの特定を目的とした分析を行うことが可能です。マーチャント登録情報の共通点が見られる場合は単一の脅威アクターによる運営が示唆され、一方で登録内容に不整合が見られる場合は、複数の脅威アクターが関与している可能性が高いと考えられます。同一の企業データは、単一の脅威アクターによって運営されている関連マーチャントアカウント間で共通して見られる特徴の一例です。

詐欺ドメインは、マーチャントアカウントに比べて取得が容易であり、検知や対策に対して耐性が低く、インフラとしての代替も容易であるため、ドメイン分析のみでは本詐欺ネットワークに関与する脅威アクターの特定は困難であると考えられます。

不正防止のための対策

購入詐欺は、金融詐欺リスク、およびコンプライアンスリスクを、カード発行会社および加盟店契約会社にもたらします。特に、詐欺に関与するマーチャントアカウントが資金洗浄行為の支援にも悪用されるケースでは、これらのリスクが顕著です。これらのリスクを軽減するためには、以下の緩和策を適用することが推奨されます。

カード発行会社

不正防止を顧客対応上の摩擦よりも優先し、特定された詐欺マーチャントアカウントとのすべての取引を即時に拒否すること。また、該当マーチャントと取引のある顧客カードアカウントを追跡し、追加の不正兆候を検出したうえで、措置を講じることが重要です。
- 該当マーチャントとの取引を試みた顧客アカウントについては、不正リスクスコアを引き上げ、追加審査の対象としてフラグを付与します。
- フラグ付けされたアカウントに対しては、追加の不正兆候が確認された場合、高い信頼度に基づきカードの再発行やその他の是正措置を実施します。
顧客への影響（摩擦）を最小限に抑えるため、特定された詐欺マーチャントアカウントとの取引データを、カード保有者ポートフォリオ全体の中で分析したうえで、マーチャントまたは顧客カードアカウントへの対応を判断します。
- 特定されたマーチャントとのすべての顧客取引をグループ化（バケット化）します。
- 組織のリスク許容度に基づいて不正発生率の閾値を設定します。この閾値は、ポートフォリオ全体で観測された基準値の不正発生率よりも高く設定する必要があります。
- バケット内の顧客取引が不正発生率の閾値を超えた場合、特定されたマーチャントアカウントとのすべての顧客取引を自動的にブロックし、必要に応じてカードの再発行を検討します。

加盟店契約会社

- 詐欺ネットワーク内で運用されているその他の不正の可能性があるマーチャントアカウントを特定するため、関連するマーチャントドメインを分析します。カードネットワークのアクワイアラーデータ参照APIを活用し、ドメインに基づいてマーチャントアカウントを検索できる場合があります。
- 自社のマーチャントポートフォリオ内で、アクワイアラーBINおよびMCCの組み合わせをスキャンし、類似するマーチャントデータを持つ不正の可能性が高いマーチャントアカウントを、登録直後または短期間のうちに特定します。カードネットワークのAPIを活用することで、アクワイアラーBINおよびMCCに基づいてマーチャント登録を検索することも可能です。
- 不正が疑われるマーチャントアカウントに対しては、強化されたデューデリジェンス（精査）を実施し、組織のリスク許容度に応じて、調査・一時停止・契約解除などの措置を講じます。

購入詐欺ネットワークの今後の見通し

私たちの分析により、本レポートで特定された購入詐欺ネットワークは、2025年2月以降すでに稼働していることが確認されています。同グループ内で新たな詐欺ドメインが継続的に確認されていることから、詐欺オペレーションは現在も進行中であるとみられます。このことから、詐欺運営者は古いドメインや広告キャンペーンが閉鎖された後も、新たなドメインおよびオンライン広告キャンペーンを展開し、詐欺活動を継続する可能性が高いと予測されます。
これらの新しい詐欺ドメインは、本レポートで特定されたマーチャントアカウントを引き続き利用するものと考えられます。また、加盟店契約会社による詐欺マーチャントアカウントの停止や解約は、運営者による詐欺活動を完全に阻止する効果を持たない可能性が高いとみられます。しかし、この種の是正措置を講じることにより、詐欺ネットワークの運営者は、新たなマーチャントアカウントの基盤を確保するために、追加の時間的・人的リソースの負担を強いられることは、ほぼ確実であると考えられます。

付録：特定された詐欺ドメイン、リンクされたマーチャントアカウント、検知日

以下の表は、特定された詐欺ドメイン、それらにリンクされているマーチャントアカウント、およびリンクが確認された日付を示しています。

詐欺ドメイン

マーチャント名

確認日

adairs-store[.]shop

YSP*QHWLKJSHOP

2025-03-20

biglotsfactory[.]com

YSP*QHWLKJSHOP

2025-03-26

biliability[.]com

PETHOUSEN LLC

2025-04-19

biliability[.]com

MYCOZYBABIES

2025-04-19

boxrawstore[.]shop

REFINEDHAT

2025-04-19

bugaboo-store[.]shop

YSP*QHWLKJSHOP

2025-03-21

camper-bestsale[.]shop

YSP*NIHILSTOOL

2025-04-09

candywarehouses[.]com

YSP*NIHILSTOOL

2025-03-26

clarkseuoff[.]sa[.]com

MYCOZYBABIES

2025-04-16

deuter-eu-store[.]shop

YSP*QHWLKJSHOP

2025-03-21

discountmarkets[.]shop

CLOTHWEARABLY

2025-03-07

dknyonlineuk[.]com

PETHOUSEN LLC

2025-04-30

eccoshpedk[.]com

YSP*CLOTHINGGSHOP

2025-03-20

ecoalffashion[.]shop

YSP*CLOTHINGGSHOP

2025-03-20

ecofoodcontainers[.]shop

ONCLOTHESSHOES

2025-04-30

eu[.]goldengoosefan[.]com

ONCLOTHESSHOES

2025-04-23

eu[.]stanleys1913[.]com

YSP*CLOTHINGGSHOP

2025-04-19

eu[.]stanleys1913[.]com

MYCOZYBABIES

2025-04-19

eur[.]piinkovip[.]com

CLOTHWEARABLY

2025-02-26

factorydealseu[.]com

YSP*QHWLKJSHOP

2025-04-09

factorydealseu[.]com

CLOTHWEARABLY

2025-02-25

featherrunon[.]shop

YSP*QHWLKJSHOP

2025-04-19

filippa-k[.]shop

CLOTHWEARABLY

2025-02-25

filson-stores[.]com

YSP*NIHILSTOOL

2025-04-09

finalclearancehub[.]com

ONCLOTHESSHOES

2025-04-26

finalclearancehub[.]com

MYCOZYBABIES

2025-04-26

firelighthome[.]shop

YSP*QHWLKJSHOP

2025-04-09

flagshipsale[.]com

YSP*QHWLKJSHOP

2025-04-02

florisvanbommel-outlet[.]shop

YSP*CLOTHINGGSHOP

2025-04-19

fredperrypoloss[.]shop

MYCOZYBABIES

2025-04-16

frosttrekdown[.]shop

YSP*QHWLKJSHOP

2025-04-09

goldberghdeals[.]shop

REFINEDHAT

2025-04-14

groceryoutlet[.]ru

CLOTHWEARABLY

2025-02-26

gudrunstyle[.]com

YSP*QHWLKJSHOP

2025-04-09

guessdiscount[.]shop

YSP*CLOTHINGGSHOP

2025-04-09

hotdealsok[.]shop

YSP*QHWLKJSHOP

2025-04-09

icedcoffee[.]store

YSP*CLOTHINGGSHOP

2025-04-09

jblspeaker[.]shop

CLOTHWEARABLY

2025-02-26

joma-eu[.]shop

REFINEDHAT

2025-04-19

kenwoodappliances[.]shop

CLOTHWEARABLY

2025-03-04

kenwoodkitchen[.]shop

CLOTHWEARABLY

2025-02-28

ketersale[.]shop

YSP*QHWLKJSHOP

2025-03-20

lacoste-eu[.]com

CLOTHWEARABLY

2025-02-26

lidlmarket[.]store

YSP*QHWLKJSHOP

2025-04-03

lidlmarket[.]store

YSP*NIHILSTOOL

2025-04-03

lidlods[.]com

YSP*NIHILSTOOL

2025-04-16

lidlorg[.]com

YSP*NIHILSTOOL

2025-04-19

lidlorg[.]com

REFINEDHAT

2025-04-19

lidlorg[.]com

LMS AESTHETICS

2025-04-23

lidloutlets[.]eu

YSP*QHWLKJSHOP

2025-02-25

lidlsport[.]top

YSP*CLOTHINGGSHOP

2025-03-04

lidlstores[.]com

YSP*QHWLKJSHOP

2025-03-18

lidlv[.]com

YSP*QHWLKJSHOP

2025-04-02

networktsales[.]com

MYCOZYBABIES

2025-04-26

oakley-qc[.]shop

REFINEDHAT

2025-04-19

officialfactorysale[.]com

YSP*QHWLKJSHOP

2025-04-01

onlinedesales[.]com

YSP*QHWLKJSHOP

2025-04-11

ortovox-vip[.]shop

YSP*QHWLKJSHOP

2025-03-20

outletmalleu[.]shop

PETHOUSEN LLC

2025-04-30

outletmalleu[.]shop

LMS AESTHETICS

2025-04-30

outletmalleu[.]shop

AKRU KERAMIK GMBH

2025-04-30

parkside-tool[.]com

BALSAMIC

2025-04-09

parksideamonlini[.]shop

CLOTHWEARABLY

2025-02-27

perfectfoodstorage[.]shop

CLOTHWEARABLY

2025-02-28

physicalant[.]com

REFINEDHAT

2025-04-23

physicalant[.]com

LMS AESTHETICS

2025-04-23

pnjeduewmj[.]com

CLOTHWEARABLY

2025-02-26

pocketchicvip[.]shop

YSP*QHWLKJSHOP

2025-04-11

sale-rapha[.]com

YSP*NIHILSTOOL

2025-03-26

sale-vivobarefoot[.]com

YSP*NIHILSTOOL

2025-04-09

smecmc[.]com

YSP*CLOTHINGGSHOP

2025-03-30

snowpeakk[.]shop

YSP*QHWLKJSHOP

2025-04-26

sportsale-shop[.]click

YSP*NIHILSTOOL

2025-04-16

stanleys1913[.]com

YSP*CLOTHINGGSHOP

2025-03-26

tojoy[.]online

ONCLOTHESSHOES

2025-04-25

tupolevshop-eu[.]top

YSP*QHWLKJSHOP

2025-04-11

ufpro-onlines[.]shop

YSP*QHWLKJSHOP

2025-03-11

uskuiusvipstore[.]shop

YSP*QHWLKJSHOP

2025-04-01

uskuiusvipstore[.]shop

BALSAMIC

2025-04-01

uskuiusvipstore[.]shop

ANT*ONLINE E-COMMERCE STO

2025-04-09

vejadeals[.]shop

ONCLOTHESSHOES

2025-04-23

wayfairbestoffers[.]com

YSP*QHWLKJSHOP

2025-03-26

yogasports[.]shop

REFINEDHAT

2025-04-19