SENJUのごみ漁りをきっかけに偽サイトに興味を持ち始めたのですが、既に先駆者が色々とやっている中で中身のないことを書いてて嘲笑されてるんじゃないかと思いながらも懲りずにごみ漁りを続けていたら、ビジネスとして詐欺サイトを調査されている会社さんのページに遭遇しました。

偽サイト情報を集めている会社さんあるんですね！知らんかった（汗）https://t.co/tPuQqV8zYq

— tadmaddad (@tadmaddad) 2020年5月3日

このGWは、暇すぎるのでボケ防止にコードを（書くこと＆弾くこと）を日課にしていたのですが、上記の会社さんの記事でギター販売の偽サイトも紹介されてることを知り、ちょっと漁ってみました。

これら偽サイトはほぼ内容は同じではあるもののサイト（ドメイン）ごとに記載されている住所やメールアドレス等はいずれも異なるようです。また、サイトは単一のホスト上で運営されている模様です。

ひょっとしたら他にも偽サイトがあるのかな？ということで上記ホストに紐づく他のサイトも確認してみたところ、約1600サイトが紐づいているようです。これらサイトの全てが偽サイトであるかは確認できていませんが、幾つかのサイトをピックアップしてアクセスしてみたところ、上記の会社さんが紹介していた偽サイトと同様の作りとなっていることが確認できました。

せっかくなので定番のurlscanに放り込んでみたのですが

Yahooに飛ばされる状態に。。。 どうもurlscanさんはNordVPN経由でアクセスしているようで（自身のVPS環境に対してurlscanでアクセスして確認してみました。）、今回の偽サイトはurlscanのようなところからのクローリング対策をしているかもしれません。

仕方がないので自分でクローラーもどきでも作ってみようかということで、垃圾车（ごみ収集車）と命名したTor経由でクローリングしてみるも再びYahooに飛ばされちゃいました。その後、Tor + User-Agentのランダム切り替え実装するもダメ。これはやっぱマイナーなVPN借りるしかないかと思ったものの、結局は最近は全く使ってないVPS経由でやってみたころ、何とか行ける気配！（けどスクショ取ってない）

途中までうまくいっていたもののサイト構成によってスクレイピング失敗するのを修正して再々トライしたところ、再びYahoo行きとなりました。（同一IPからのアクセスなのでそうなるだろうと覚悟していたもののやっぱりやらかした感。）連中も色々と対策していることを身をもって知るGWとなりましたわ。やはりVPN契約するしかないのか。。。

ちなみに対象ホストってネットワーク的にはAS 32097 ( WholeSale Internet, Inc. ) なんだけど、コンパネを覗くと中国語なページなんですよね。

宝塔ってなんやねん？ってヘルプからアクセスしてみると中国の方向けのホスティングっぽいですね。

2020年4月30日に消費者庁から「SENJU株式会社」と称する通信販売サイトを運営する事業者に関する注意喚起が行われました。この注意喚起を受けて報道も行われ、Twitterやブログ等でも取り上げられているようです。

消費者庁による注意喚起

「SENJU株式会社」と称する通信販売サイトを運営する事業者に関する注意喚起

注意喚起の詳細については上記を参照してもらうとして、このメモでは上記注意喚起において例示されていた通販サイト以外にも同様のごみサイトが存在することから、それらごみサイトを漁ってみた結果となります。

Let'sごみ漁り

消費者庁の注意喚起で例示されていた通販サイト２つ（viss[.]gscsistore[.]xyz、wbw[.]maorshop[.]xyz）の他、Twitterで紹介されていた別ドメインのサイト（funky[.]ushopgirls[.]xyz）をドメイン起点に漁ってみました。（やったことはMaltegoにVTトランスフォームを入れて対象ドメインを起点にGet Subdomainsを実行）

漁った結果

ごみを漁った結果、以下のホストが見つかりました。これらサイトの幾つかは接続できない若しくは通販サイトのコンテンツが確認できないものもありますが、いずれのホストについても今回の通販サイトを構築した人物（組織）が用意したドメイン配下ですので、これらホスト上で運営されているサイトは信頼すべきではないですね。

• gscsistore[.]xyzドメイン

ursal[.]gscsistore[.]xyz
urs[.]gscsistore[.]xyz
uta[.]gscsistore[.]xyz
utamaro[.]gscsistore[.]xyz
utas[.]gscsistore[.]xyz
utible[.]gscsistore[.]xyz
vco[.]gscsistore[.]xyz
vesp[.]gscsistore[.]xyz
vfea[.]gscsistore[.]xyz
vf[.]gscsistore[.]xyz
vfs[.]gscsistore[.]xyz
viii[.]gscsistore[.]xyz
viss[.]gscsistore[.]xyz
vista[.]gscsistore[.]xyz
viuva[.]gscsistore[.]xyz
vivos[.]gscsistore[.]xyz
vlos[.]gscsistore[.]xyz
vlt[.]gscsistore[.]xyz
voa[.]gscsistore[.]xyz
vogel[.]gscsistore[.]xyz
vuit[.]gscsistore[.]xyz
wair[.]gscsistore[.]xyz

RiskIQにて確認したホスト（5/2追記）
urion[.]gscsistore[.]xyz
usm[.]gscsistore[.]xyz
uti[.]gscsistore[.]xyz
uticas[.]gscsistore[.]xyz
uund[.]gscsistore[.]xyz
vcr[.]gscsistore[.]xyz
vedro[.]gscsistore[.]xyz
vhs[.]gscsistore[.]xyz
vig[.]gscsistore[.]xyz
vild[.]gscsistore[.]xyz
vireo[.]gscsistore[.]xyz
vj[.]gscsistore[.]xyz

• maorshop[.]xyzドメイン

sweal[.]maorshop[.]xyz
swizz[.]maorshop[.]xyz
swm[.]maorshop[.]xyz
sy[.]maorshop[.]xyz
totz[.]maorshop[.]xyz
tou[.]maorshop[.]xyz
tpd[.]maorshop[.]xyz
tph[.]maorshop[.]xyz
tpm[.]maorshop[.]xyz
tpmp[.]maorshop[.]xyz
tpo[.]maorshop[.]xyz
tpr[.]maorshop[.]xyz
tpt[.]maorshop[.]xyz
trac[.]maorshop[.]xyz
trah[.]maorshop[.]xyz
trap[.]maorshop[.]xyz
tr[.]maorshop[.]xyz
utai[.]maorshop[.]xyz
vc[.]maorshop[.]xyz

RiskIQにて確認したホスト（5/2追記）
swbw[.]maorshop[.]xyz
swiwet[.]maorshop[.]xyz
tp[.]maorshop[.]xyz
tqc[.]maorshop[.]xyz
vici[.]maorshop[.]xyz

• ushopgirls[.]xyzドメイン

beat[.]ushopgirls[.]xyz
club[.]ushopgirls[.]xyz
color[.]ushopgirls[.]xyz
fit[.]ushopgirls[.]xyz
focus[.]ushopgirls[.]xyz
hike[.]ushopgirls[.]xyz
let[.]ushopgirls[.]xyz
line[.]ushopgirls[.]xyz
lowes[.]ushopgirls[.]xyz
out[.]ushopgirls[.]xyz
play[.]ushopgirls[.]xyz
range[.]ushopgirls[.]xyz
ski[.]ushopgirls[.]xyz
suit[.]ushopgirls[.]xyz
tive[.]ushopgirls[.]xyz
touch[.]ushopgirls[.]xyz
well[.]ushopgirls[.]xyz
wide[.]ushopgirls[.]xyz

RiskIQにて確認したホスト（5/2追記）
funky[.]ushopgirls[.]xyz
rant[.]ushopgirls[.]xyz

漁ったごみはゴミ箱へ

魚拓を取ることも兼ねていつもお世話になっているurlscanに放り込んでおきました。