日常に潜む、見えないサイバー犯罪。
ネットショッピングで欲しかった商品が、他店よりも1割2割と安く見つかったとき。多くの消費者は「賢い買い物ができた！」と高揚感を覚えるでしょう。しかしその高揚感の裏側で、あなたが知らないうちに国際的なサイバー犯罪組織の「資金洗浄」に加担させられているとしたらどうでしょうか？
警視庁サイバー犯罪対策課の発表によれば、2025年7月からの半年間で、大手通販サイト「楽天市場」のアカウントが乗っ取られて他人の名義で商品が不正購入される被害相談が約400件も寄せられています。この数字は氷山の一角に過ぎません。なぜなら、この犯罪は「商品が注文通りに手元に届く」という極めて奇妙な性質を持っているため、被害の発覚が大幅に遅れる構造になっているからです。
「届かない」詐欺から「届く」詐欺へ。その巧妙な「三者間詐欺（トライアングル・フラウド）」の実態とは。

犯人は「在庫」を持たないショップ店主？

この犯罪の主役は、自ら在庫を一切持たない「偽のショップ店主」たちです。彼らは従来のフィッシング詐欺で奪取したIDとパスワードのリストを用い、自動化された「リスト型攻撃」によって楽天アカウントへの侵入を繰り返しています。警視庁の調査によれば、中国に拠点を置く少なくとも9つの店舗が、Amazon、SHEIN、Temu、Qoo10といった大手ECサイトに潜り込んでいました。その手口は以下の通りです。

1. 集客　→　犯人はQoo10等に偽のショップを開設し、注文を受ける。
2. 不正ログイン　→　注文が入ると、あらかじめ乗っ取っておいた「他人の楽天アカウント」に不正ログインする。
3. 不正決済　→　乗っ取り先の楽天アカウントに紐づけられた他人のクレジットカードやポイントを使い、楽天市場で「同じ商品」を購入する。
4. 配送　→　配送先を「最初に注文してきた客（Site Aの客）」の住所に指定し、商品を直送させる。

執念深い「アカウントの使い捨て」

実例として、川崎市の30代男性がQoo10で缶チューハイ2ケースを注文したケースを挙げます。
この裏側で、犯人はまず板橋区の女性の楽天アカウントで決済を試みました。しかし楽天の検知システムがこの取引を一時ブロック。すると犯人は即座に秋田県の女性の乗っ取りアカウントに切り替え、決済を完了させたのです。犯人グループは膨大な「盗まれたIDの在庫」を保有しており、ブロックされても次々と別のアカウントを使い捨てることで、確実に商品を送り届け、注文者からの代金を「合法的な売上」として洗浄しているのです。ターゲットは飲料品だけでなく、家具、家電、ホビー用品、日用品といった幅広いカテゴリーに及んでいます。

「10〜25%オフ」という魅力的な罠

なぜ、これほど多くの人が「偽のショップ」で商品を購入してしまうのでしょうか？
その理由は、データに裏打ちされた精密な価格設定にあります。不正な出品を行っている店舗は、商品を一般の市場相場よりも10〜25%ほど安く設定していました。「50%オフ」のような極端な値引きは警戒心を煽りますが、「15%程度安い」という設定は消費者に「ポイント還元やセールの一環だろう」という誤った納得感を与えてしまいます。「少しでも安く買いたい」という消費者の正当な心理が、結果として犯罪組織に利益（無在庫転売の代金）をもたらし見知らぬ誰かの資産を奪う構造を支えてしまっているのです。

盗まれるのはIDだけではない「ポイント」の現金化

この犯罪において、犯人が執拗に狙っているのが「楽天ポイント」です。楽天ポイントは今やバーコード一つで街中の店舗でも決済ができる、極めて流動性の高い「通貨」です。犯人グループは不正入手したIDでログインし、ポイントをバーコード化して商品の購入に充てたり、換金性の高い商品を転売したりすることで、ポイントを効率的に現金化しています。「通貨」としての流動性が仇となっている側面もあるでしょう。

「原則、不正利用された楽天ポイントは返還されません」

返還されないという厳しい現実、それが注意を促したい「ポイント返還」のハードルの高さです。
楽天会員規約（第11条-2）には、運営側に過失がない限り払い戻しを行わない旨が記されています。プラットフォーム側からすれば、正規のIDとパスワードでログインされた取引は、システム上「正当な利用者による操作」と区別がつきません。警察への被害届受理などのプロセスを経ない限り、被害の立証は極めて困難であり自己防衛こそが最大の対策となります。

被害者にも加害者にもならないための5箇条

この構造的な隙間を突いた犯罪から身を守り、加害の連鎖を断ち切るために必要なことが考えられます。

1. ID・パスワードの使い回しを厳禁する

• 「リスト型攻撃」の最大の餌食は、複数のサイトで同じ鍵を使っているユーザーです。主要なECサイトには必ず独自のパスワードを設定してください。

2. ログインアラート機能を「必須」で設定する

• 身に覚えのないログイン通知は、火災報知器と同じです。異常を即座に検知することで二次被害を食い止めることができます。

3. 「購入履歴」と「ポイント履歴」の定期チェック

• クレジットカードの明細だけでなく、サイト内の履歴を週に一度は確認してください。不正ログインの痕跡（身に覚えのない閲覧履歴など）が見つかることもあります。

4. ポイントを貯め込まず、こまめに利用して「攻撃対象領域」を減らす

• 大量のポイントを保持することは、犯人にとっての「期待利益」を高めることと同義です。こまめに消費することで、万が一の際の損失（アタック・サーフェス）を最小限に抑えましょう。

5. 販売者の所在、実績、不自然な安さを確認する

• 他プラットフォームより1割以上安い場合は、その業者の所在地（中国拠点ではないか等）やレビューを精査してください。「不自然な安さ」には必ず誰かのコストが隠れています。

便利さと引き換えに私たちが払っている「コスト」

今回明らかになった一連の事件は、単なる「運の悪い誰か」の物語ではありません。ネット社会の構造的な隙間を突き、善意の購入者と無防備なアカウント保持者の両方を巻き込む、高度にシステム化された犯罪です。私たちが享受している「安くて便利なネットショッピング」という恩恵の裏には、常に「セキュリティの維持」という不可避なコストが存在します。そのコストを支払うことを怠ったとき、私たちは被害者になるだけでなく、知らぬ間に犯罪組織の「共犯者」へと仕立て上げられてしまうのです。あなたが手にしたその「15%お得な商品」は、本当に正当な取引の結果でしょうか？
次にログインする際、パスワードを更新するために割く数分間。その時間は、あなた自身の財産と、ネット社会の健全性を守るための最も価値ある投資になるはずです。