Yahoo!ニュース

東京オリンピックのチケット転売サイトが登場。チケット転売サイトは詐欺の可能性が高いので要注意

大元隆志CISOアドバイザー
東京オリンピックチケットの転売サイト。売りたい人と買いたい人をマッチングする

 東京オリンピックのチケットを売りたい人と買いたい人をマッチングするサイトが登場した。しかし、東京オリンピック公式サイトのチケットのルールには、以下の記載があり、転売が禁止されている。もし、このような転売サイトからチケットを入手したとしても、入場出来ないリスクがあるので、十分注意しよう。

東京2020観戦チケットの転売は禁止されています。

購入いただいた東京2020観戦チケットをオークションサイト等で転売することは、禁止されています(2020年春以降開始予定の公式リセールサービスを除く)。

オークションサイト等に出品されたチケットは、全て無効化され、そのようなチケットでは会場に入場できませんのでご注意ください。

出典:東京オリンピック公式サイト:チケットのルール

■東京オリンピックチケット転売サイトは詐欺の可能性が高い

 今回、存在が確認されたのは、https : //www[.]olympictickets2020[.]com/ というサイト。Googleの怪しいサイトかを判断するセーフブラウジングでは現在の所、安全なサイトと判断される。

 しかし、このサイトの運営者情報を見ると、住所はアメリカで、サポートの電話番号の国番号は+44となっているのだが、これはイギリスを表す国番号。また、olympictickets2020のIPアドレスは、185.118.167.106であるが、これはロシアに割り当てられているIPアドレスとなる。住所も電話番号もサーバのIPアドレスも全て別々の国となっている。

 そして、気になるのがチケット購入用にアカウントを作成する時の入力項目。通常、ECサイト等で新規にアカウントを作成する場合にあまりに多くの入力項目を求めると途中でユーザが離脱してしまうため、メールアドレスのみ等、シンプルにしておくのが一般的だが、このサイトでは非常に多くの入力を求められる。チケットを購入するかどうかも決まっていない、アカウント登録の時点で住所や電話番号を求めるというのは、ユーザにとっては非常に抵抗が大きいし、運営側も警戒されることを恐れて多くは求めない。メールアドレスの実在性をチェックするレベルに留めておくのが一般的だ。まるで個人情報を入手したいがためだけの、設問のように見える。

 

新規アカウント登録のサインアップ画面。通常新規登録時に多くの項目の入力を迫るとユーザが離脱するのでシンプルにするのが一般的。必要以上の項目登録を要求されている。
新規アカウント登録のサインアップ画面。通常新規登録時に多くの項目の入力を迫るとユーザが離脱するのでシンプルにするのが一般的。必要以上の項目登録を要求されている。

 念の為、東京オリンピック公式サイトを調べた所、海外の公式チケット販売事業者(ATR)が掲載されているが、olympictickets2020の記載は無い。少なくとも、公式に認定された転売サイトでは無いことは間違いなさそうだ。

 チャットツールで「東京オリンピックではチケットの転売は禁止されているが、ここで買ったチケットで入場は出来ますか?」と訪ねたところ、ここでもまた、個人情報を入力させるような回答が返ってきた。

 

サポートとのチャット。質問すると担当者が不在なので、名前、電話番号とメールアドレスの入力をうながされる。一見自然なやりとりに見えるが、多言語対応のサイトなのでメールアドレスだけで十分だろう。
サポートとのチャット。質問すると担当者が不在なので、名前、電話番号とメールアドレスの入力をうながされる。一見自然なやりとりに見えるが、多言語対応のサイトなのでメールアドレスだけで十分だろう。

 公式にはチケット転売は認められていないこと、こういったサイトで購入したチケットで入場出来る保証は無いこと、運営会社の所在がはっきりせず、東京オリンピック公式サイトにも登録されているサイトでは無い等の点から考えると、詐欺の可能性が非常に高い。詐欺で無かったとしても、入場出来ない等のトラブルに巻き込まれる可能性が高いので、転売サイトはこのサイトに限らす利用を控えることを推奨する。

■同サイトには、Webスキミングが仕掛けられていた

 実は、olympictickets2020には、クレジットカード情報を不正に入手するWebスキミングコード「MageCart」が仕掛けられていたと、セキュリティ研究者のJacob Pimental氏とMax Kersten氏が指摘していた。

 両者は同サイト上に「MageCart」の存在を発見し、olympictickets2020の運営元に、Twitterやメール、チャット、電話で「MageCart」が埋め込まれているということを知らせた。通報後、この「MageCart」は削除され、現時点では同サイトに「MageCart」は埋め込まれていないという。

 

■MageCart込のフィッシングサイトだったのでは?

 Jacob Pimental氏とMax Kersten氏は、東京オリンピックのチケット転売サイトに「MageCart」が埋め込まれていることを発見し、運営元に親切に伝えたが、そもそもolympictickets2020は、Webスキミングコード「MageCart」を予め混入させたクレジットカード番号入手用のフィッシングサイトだったのでは無いだろうか?と筆者は推測している。

■今後も東京オリンピックを悪用するフィッシング攻撃は増加すると予想されている

 今回のolympictickets2020がどの程度悪意を持ったサイト等かは現時点では不明だが、少なくとも正規に認められたチケット転売サイトで無いことは明らかだ。意図的に運用者側が「MageCart」を埋め込んでいたとしたら、フィッシングサイトだったということになる。

 東京オリンピックの開催が近づくに連れ、東京オリンピックという一大イベントを悪用しようとするフィッシングサイトは今後必ず増加するだろう。

 東京オリンピック運営委員会が正式に取得しているドメインは、tokyo2020.net、tokyo2020.org、tokyo2020.jpの3つ。しかし、今回のようなolympictickets2020といった、正規のサイトと類似したドメインは既に多数存在している。例えば、tokyo2020.comは東京オリンピック運営委員会とは全く異なる会社が取得している。既にこのような東京オリンピックドメインと類似している、あるいは想起させるようなドメイン名は既に1000種類近く取得されているとの調査結果もあり、いつ悪用されてもおかしくない状況となっているので、「東京オリンピックのチケット入手可能!」などのメールには、くれぐれも開かないように注意しよう。

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事