ある日の調査作業の過程で、SNS「X(旧Twitter)」上において、急成長中の越境EC大手「Temu」のサポート担当を名乗る「個人アカウント」を見かけました。
該当アカウントは一般ユーザーに対し、「サポート対応」を理由に、購入情報や登録メールアドレスなどを指定のメールアドレスに送るよう提案。
この種の手口は「フィッシング詐欺」と呼ばれ、多くの場合、DMやメール経由で個人情報を盗み取るか、メッセージアプリに誘導して金銭を騙し取る形で展開されます。これまで200件以上のネット詐欺調査を行ってきた記者からすると、「またか」という感想しかありませんでした。
そのためこれも典型的な詐欺の一例だろうと考えながら、投稿内容をなんとなく見ていると一つ気になる点が。
情報送信先として記載されていたメールアドレスが「l***.*****@temu.com」と、あたかもTemuの公式ドメインを使用しているように見えたのです。
メールアドレスの「@」の前「l***.*****」には、氏名を思わせる文字列が設定されていました。形式は「名(ファーストネーム).姓(ラストネーム)」という構成で、企業のビジネスメールでよく見られるパターン。しかもドメイン部分の「@temu.com」は、確認した限りでは正真正銘のTemu公式ドメインと一致しています。
一般的な詐欺では、フリーメールサービスが使われることがほとんどです。一部例外はあるものの、企業の正規ドメインを含むアドレスが詐欺に「受信用」として利用されるケースはまれ。
Temuを名乗る個人アカウントが正規ドメイン「@temu.com」を使用していた点は、従来の詐欺手口と比べても異質さを感じました。
新しい手口?興味しかありません。
■ 二つのシナリオ 正規アドレス流出か、“おとり”悪用か
この手の背景には、少なくとも二つのシナリオが考えられます。
ひとつは、このメールアドレスが正規利用者以外の「誰か」に悪用されているケースです。SNS上で「このメールに送ってほしい」と投稿し、実際にその宛先でメールを受信するには、投稿者自身がそのアカウントを操作できる状態にあるか、あるいは外部から受信可能な設定が行われていることを意味します。
よって、もし本当に受信可能であるならば、「正規のメールアドレス情報が外部に知られ、それが利用されている」、「システムに対する不正アクセスが行われている」、あるいは「内部関係者が意図的または不注意にアカウントを操作している」といった状況が考えられます。
そしてもうひとつの考えられるシナリオは、詐欺師がメールアカウントを乗っ取ってはいないものの、ユーザーを騙すために正規アドレスを信頼性の“おとり”として悪用しているケースです。
この場合、ユーザーがメールを送信しても、それはアドレスの正規利用者に届き、詐欺師はメールを受信できません。しかし、詐欺師はユーザーが「正規の窓口に連絡した」と信じた心理を利用し、SNS上で引き続き「すぐに解決するため」と偽って、偽のウェブサイトやマルウェアのリンクへ誘導する手口が考えられます。
結果がどちらであれ、Temuにとっては問題のある状態です。前者の場合、企業のセキュリティ体制に脆弱性がある、あるいは内部統制上の問題を抱えている可能性が示唆されます。
一方、後者の場合は、正規の連絡先情報が詐欺行為の“おとり”として悪用されている事実だけで、ブランドの信頼性を損なう危険があります。特にSNS上での不正利用を早期に把握・対応できなかった場合、企業にとって情報監視体制や注意喚起の遅れといった運用上の問題も出てきます。
これ、マズくないか?そんな直感が頭をよぎりました。
■ 変わる名前、変わらぬ意味
第三者によるメールアドレスの悪用や、なりすまし詐欺が確認された場合には、社会的責任からTemuへの通知、そして取材する立場としては事実確認が必要となる場合が出てくるでしょう。
加えて記者からすると、これまで見たことがない手口。「新たなネタになるな」そう考えながら、興味をもってさらに調査を進めてみると、該当アカウントにはもう一つの特徴がみえてきました。
問題のアカウントは、Temuのサービスに関して困りごとを投稿している一般ユーザーに限らず、Temuに不満や不審を持つユーザーにも接触していました。内容は「サービス向上のために是非意見をうかがいたい」といったもので、あたかも企業側のような口ぶり。
さらに、セキュリティに関する不安や疑惑を訴える投稿に対しては、Temuの安全性や信頼性を一方的に主張する内容も見られました。なりすましにしては“演技が細かい”……。アカウントが個人名義であることを除けば、まるで本物の社員のような説明ぶりです。
もっとも、こうした“演技達者”ななりすましが過去に存在しなかったわけではありません。近ごろではAIの精度がさらに上がっているので、そうした技術進歩の背景もこのアカウントの表現には影響していることが考えられます。ますます興味が湧いてきました。
過去の投稿をさらに遡ると、気になる痕跡がまた見つかりました。アカウントの設定が変わった形跡です。Temuの社員を名乗り始める以前、2022年の投稿には、別の会社名と異なる名前(ひらがなで記載)を使って、一般ユーザーに接触していた記録が残されていました。
SNS上の“なりすまし”アカウントの中には、設定を変えて使い回すケースがよくあります。過去の投稿履歴を完全に削除しきれず、こうした“前の顔”の断片を残してしまうことは珍しくないのです。
ただし、この「古い名前」と、Temuスタッフとしてユーザーに提示している「メールアドレスの名前部分」には、共通点がありました。
メールアドレスに使われている名前は、海外で活動する中国語圏の人がよく用いる「英語ネーム」になっていました。この英語ネームのうち、ラストネーム(姓)の部分と、「ひらがな」で名乗っていた古いラストネームの部分とを照らし合わせると、中国語の姓として一致して解釈することができるのです。例えば、「ちょう」と「Zhang」は、いずれも中国語の「張」にあたると推測できます。
なお、英語ネームのファーストネーム部分は、多くの場合「ジョン」や「アンナ」のように、欧米風の一般的な名前に置き換えられます。そのため、元の中国語名を推測するのはやや困難です。
とはいえ、一致できた姓は中国ランキング10位以内に入る多さ。過去の取材で中国系の手口を追っているときに、同じ名字が複数出てきて混乱させられたことがあります。その経験から、今回はあくまで「名字が一致した」程度の認識でここは留めます。
次に調べたのは記載されていた問題のメールアドレス。まず検索で調べたところ、ビジネスSNSで、@の前に記載されていた氏名と完全に一致するTemu社員のプロフィールページが表示されました。
肩書きには、「日本エリア担当の広報職」と記されており、X上で問題のアカウントが名乗っているファーストネームとも一致。
ただし、このページ自体がなりすましによる工作である可能性も否定できません。そこで、ビジネスSNSにある過去の投稿を確認したところ、Temu社員の肩書きをもつ人物たちがこのアカウントの投稿に反応している痕跡が複数見つかりました。つまり、このページの持ち主は、Temu社に実在する可能性が高そうです。
さらに調査を進めたところ、この人物のファーストネームと、問題のアドレスを使った“サポートの申し出”を、質問投稿サイト「Yahoo!知恵袋」でも確認することができました。どうやら何者かが、いくつかのサービスをまたいで広範囲に活動しているようです。
■ 複数アカウントで同じ活動 見えてきた組織性
実在するTemu社員の名前と正規ドメインを用い、個人アカウントからサポートを申し出る何者か……。次は何を調べればいいのか。
ここで、記者の経験から一つの仮説がひらめきました。
もしこれが詐欺行為であるならば、「背後で組織的に動いている可能性が高い」ということ。不審なアカウントはこの一つにとどまらず、実際にはより大きなグループで組織的に活動している可能性が考えられます。
ネット詐欺の現場では、こうした手口は決して珍しくはありません。複数のアカウントが同じ手法を別々に実行し、同一のテンプレートを少しずつ改変しながら活動するのが特徴です。そのため「声かけ」やメッセージには、共通する特徴が現れるのが常。
試しに、恐らくこれが「共通項目」だと思われる文言をもとに検索をかけてみました。すると、結果は予想どおり。新たに6つの個人アカウントを確認。記者が確認しただけでも、少なくとも合計7つのアカウントが「Temuのサポートを名乗り」「個人アカウントを用いて活動」していたことになります。
ここからは、新たに発見した6つのアカウントについて分析していきます。分かりやすくするために、最初にX上で見つけたアカウントを(1)とし、以降(2)~(7)の番号を付して整理しました。
まず明らかになったのは、(2)のアカウントが時期を少しずつずらしながら、3名の名前で運用されていた点です。直近で活動していた1名は、(1)のアカウントと同一の名前とメールアドレスを提示していました。恐らくチームで運用しているのでしょう。なお、残る2名については、メールアドレスの記載は確認できませんでした。
その後の調査で、新たに発見した他のアカウントにも、1つのアカウントで複数の名前が使われているケースを確認。そして気づいたのは、メールアドレスへの誘導だけではなく、DMでのサポートも申し出ていたことでした。
■ 崩れる想定、揺れる確信
これまでに見つかった7つのアカウントで利用が確認された人物名は計12名、「@temu.com」を含む個人用と思われるメールアドレスは9名分。
情報を整理しながら、一瞬手が止まりました。
これまで新手の「フィッシング詐欺」だと疑い、いつものネット詐欺調査の感覚でここまで追ってきました。しかし、ここまで正規ドメインを含むアドレスが並ぶとは想定しておらず。そろそろフリーメールが出てきてもおかしくないはずなのですが、それがひとつも出てこない……。
これらのアドレスの利用状況を追跡したところ、(1)と同じくXでの「サポート申し出」やTemuに関する批判コメントへの「声かけ」をはじめ、一部のアドレスについては他サービスでも「サポート」の痕跡がみつかりました。
頭の中で、これまで集めてきた断片的な情報が一気につながっていきます。
もしかすると、これ……本物のTemu関係者なのでは……。いや、さすがにそれは。
■ もしも本物なら
もし仮に……、「個人アカウントを通じたサポートが本物」だとすれば、それはTemuのセキュリティ体制やガバナンスを問う重大な問題であり、もはや日本の弱小メディアの無名記者が軽々しく扱える話ではありません……。正直、胃が痛くなる話です。
確かに、企業によっては、SNS上で困っているユーザーに直接声をかけ、「サポート窓口へ誘導」する手法を取る場合もあります。その場合でも、一部小規模事業者などの例外をのぞき、通常は企業の公式アカウントを通じて行われるものです。
特に大企業の例で言えば、個人アカウントを用いる方法は極めて異例。とりわけ今回確認された、DM上で取引情報の送信を求める対応は、個人情報保護や、情報管理、セキュリティの観点から見ても通常ありえません。
また、送信先が「@temu.com」という正規ドメインであったとしても、一社員の個人アドレス宛にユーザー情報を送るよう求める行為は、重大なセキュリティリスクを伴います。通常であれば内部規程や業務プロセスで禁止されているはずです。
実際、TemuのX公式アカウントでは、ユーザーから寄せられた質問に対して、サポート窓口への誘導を行う一般的な対応がとられています。
そもそも、今回確認されたメールアドレスの持ち主と思われる人物たちは、ビジネスSNSなどで確認する限り「日本エリア担当の広報職」「EUのPRマネージャー」「コミュニケーションマネージャー」「リサーチャー」など、サポート業務を直接担当する職種ではないはず。
それが専任スタッフではなく、他職種の社員が「個人アカウントにアクセスできる環境」で、かつ「顧客情報にも触れられる環境」にあるというのは、現実的ではなく。
もしそれが事実であるとすれば、個人情報の持ち出しリスクを抱えている可能性もある、極めて深刻な状況ということになります。
■ 丁寧な言葉の裏に潜む「Soft Intimidation」
また、仮にこの方法が事実であるなら、別の観点からも安全性に重大な疑問が残ります。なぜなら、社員が個人アカウントを用いてユーザーに接触する行為は、第三者による「なりすまし」を容易にするからです。
さらに、このアカウント群の行動が常識的な範囲を超えているもう一つの点として、批判的な投稿に対しても一貫して「丁寧な申し入れ」という体裁をとりつつ、「やわらかい圧力」をかけている点が挙げられます。
海外ではこのように、礼儀正しい文面でありながら実質的な威圧を与える行為を「Soft Intimidation(ソフト・インティミデーション/ソフトな威圧)」といった表現を用いて、徐々に問題視しはじめています。
やわらかい言葉であっても、企業からの直接の声かけは、特に受け手が個人の場合、「自主的な萎縮」を招くことがあります。今回のケースは公式アカウントではなく個人アカウントからの声かけでしたが、それでも声をかけられた後に自らポストを削除した“可能性”のあるユーザーを複数確認しています。なお、X上で「ポストの削除」が表示される場合には、アカウント削除のケースも含まれるため、断定はできません。あくまでここでは、影響を与えた“可能性”にとどめます。
しかしながら、こうした行為は印象操作や世論誘導の一環と受け取られかねず、通常であれば企業が慎重に避ける対応です。
また、今回のような個人アカウントを用いたユーザーとの接触はもう一つの問題もはらんでいます。責任の所在が曖昧になり、問題が表面化した際に企業側が「個人の判断」として切り離しやすくなる……という点。
……考えれば考えるほど、当初想定していた構図とは異なる結論の可能性が浮かび上がってきます……。
■ Temuの公式対応に潜む個人メール
そこで、再度情報を整理するためにも、改めてTemuと彼らとの関係を確認してみることにしました。
すると調査の途中で、オーストラリア拠点のレビューサイト「ProductReview.com.au」にTemuの認証済み公式アカウントが存在することを発見。
投稿内容を確認すると、これまでに見つけた9件の個人メールアドレスのうち1件と完全に一致するアドレスが、Temuの認証済み公式アカウントによるポスト内に記載されていました。偶然とは考えにくい一致です。
このことから、Temuには「@temu.com」という正規ドメインを使った個人メールアドレス宛てに、ユーザーを誘導する仕組みがあることが分かりました。
■ 逃げるか、踏み込むか 記者としての岐路
「本物」の可能性……。もし本当ならば「非公式サポート」などを関係者が行っていた事実というのは、Temuにとっては公にされたくない出来事でしょう。
一方で、私たちがこれを黙って見過ごすことは社会的なリスクを放置することに等しくなります。
しかし同時に、それを公にすれば、私自身と所属する会社が重大なリスクを背負うことになります……。
Temuからの「報復」です。
こうした記事を公開した場合、まず想定されるのは「法的措置」です。たとえ事実に基づいた報道であっても、企業側が沈黙を保つことは自社のブランドにとってマイナスとなります。そのため、多くの企業は訴訟を起こすことで「否定のメッセージ」を世に示そうとします。
そうなれば、私たちは到底耐えられないでしょう。私の所属する「おたくま経済新聞」は、日本の中でも小規模に分類される独立系メディアであり、資金に余裕があるわけではありません。業界全体が広告収益の減少に苦しむ中、何とか踏みとどまっているのが現状です。
もしTemuのような国際的巨大企業から訴訟を起こされれば、ひとたまりもない。
「日本の小規模メディアの記者VS世界的EC大手Temu」……考えるだけで胃が痛くなる構図です。嫌すぎる。
とはいえ、調査の結果がどうあれ、X上で活動しているアカウントに“なりすまし”の疑いが残るのは確か。その真偽を確かめられるのは、もはやTemu自身しかいません。
私は腹をくくり、Temuに直接取材を申し込むことにしました。調査はある程度すすんでいるので、提示できる情報は大量にあります。弱気になりかけていた心を切り替え、「記者」としてのスイッチをオンに。
<【後編】それでも私は、書くことを選んだ―― Temu不審アカウントに挑んだ無名記者の記録>
(おたくま経済新聞 宮崎美和子/Miwako Miyazaki)
