tike blog

セキュリティで気になった事をダラダラと。

JPドメインの悪用について

 

 

 

はじめに

 

 

 

世の中に数多く存在するWebサイトを閲覧する際、トップレベルドメイン(TLD)でその安全性を確認するという方は多いのではないでしょうか。

検索サイトにキーワードを打ち込み、数ある検索結果の中から目的の情報に近いWebサイトを探す過程で、JPドメインのサイトには安心してアクセスできると考えるのは私だけではないと思います。

JPドメインレジストリであるJPRS(株式会社日本レジストリサービス)も、JPドメインは世界一安全であると訴えています。

 

 

f:id:tiketiketikeke:20190421222712p:plain

世界一安全な.jp / JPRS

 

 

この中で、JPドメインの安心感の根拠として以下のように述べています。

 

 

f:id:tiketiketikeke:20190421223133p:plain

世界一安全な.jp / JPRS

 

 

  • 「.jp」を登録するには日本国内に住所を持っていることが条件
  • 所在のはっきりした日本サイトだとアピールできる

という点を安心感の根拠として挙げています。

 

 

しかしながら、私を含めてJPドメインが安全だと考えているインターネットユーザの心理につけ込み、不正行為に使用する目的でJPドメインを登録する連中が少なからず存在します。

 

 

本記事では、JPドメインの悪用の事例をいくつかご紹介したいと思います。

 

 

 

 

【悪用事例1】気象庁のなりすましメール

 

 

 2018年11月、気象庁からの緊急警報を装ったなりすましメールが配信されたとして、同庁が注意喚起を行いました。

 

 

piyolog.hatenadiary.jp

 

 

このなりすましメールに記載された不審なリンクには以下のJPドメインが使用されていました。

 

 

 jma-go[.]jp

 

 

不審なリンクにアクセスすると、マルウェアがダウンロードされるという話もありました。

 

このドメインWhois情報を見てみたいと思います。

 

 

f:id:tiketiketikeke:20190421224613p:plain

 

 

[公開連絡窓口]に記載された住所を確認したところ、ロシア サンクトペテルブルク近郊の町を示しているようでした。

 【掲載情報に誤りあったため訂正 (2019/4/22)】

 

 

f:id:tiketiketikeke:20190422090322p:plain

 

 

明らかに日本国内には存在しない住所であり、「所在のはっきりした日本のサイト」とは言い難い内容です。

 

 

 

【悪用事例2】フィッシングサイト

 

 

JPドメインは、国内を標的としてフィッシング詐欺を行う連中が好んで使用します。

例えば、Appleのフィッシングサイトでは、以下のようなjpドメインが使用されています。

 

 

f:id:tiketiketikeke:20190421225723p:plain

 

 

これは特定の人物の名義で4月の10日余りの期間で登録されたドメイン名の一覧です。

これらのドメインは、以下のようなAppleのフィッシングサイトを公開する目的で登録されています。

 

 

f:id:tiketiketikeke:20190421230214p:plain

 


同種のフィッシングサイトを公開する目的で登録されたドメインの名義人は、私が確認しているだけでもこの他に十数件存在します。
実際には他にも多数存在すると思われ、日々ドメインの量産が行われています。

 

 

もう一つの事例として、Amazonのフィッシングサイトで使用されるJPドメインをご紹介します。

 

account-update-amazon-com[.]jp

 

f:id:tiketiketikeke:20190421230805p:plain

 

 

account-update-amazon[.]jp

 

f:id:tiketiketikeke:20190421231012p:plain

 

 

何れも、登録者の日本語表記と英語表記が全く一致していません。

英語表記の "HARUNA UBUKATA" に対して、日本語の登録者名は "央区 池袋"、"天神 直子" と記載されています。

 

 

これらのドメインは、以下のようなAmazonのフィッシングサイトを公開する目的で登録されています。

 

 

f:id:tiketiketikeke:20190421232239p:plain

 

 

さらに、悪用の事実は確認できていませんが、Amazonのキーワードを含むドメインの登録情報をご紹介します。

 

amazon-shop[.]jp

 

f:id:tiketiketikeke:20190421231618p:plain

 

 

公開連絡窓口の住所には「長野県」という日本語表記はあるものの、アルファベットで名古屋市を示す住所が続いています。

名古屋市の住所も番地等を示す情報はなく、正確ではありません。

 

 

何れも虚偽の情報ではないかと思わせる登録情報です。

 

 

 

【悪用事例3】詐欺サイトへの誘導を行うサイト

 

 

続いては、偽物のセキュリティ警告を表示するサイトを始めとして数々の詐欺サイトへの誘導を行うJPドメインです。

 

 

これは、現存する国内の企業のドメイン名をGoogleで検索した結果を抜粋したものです。

 

 

f:id:tiketiketikeke:20190421233150p:plain

 

 

一見すると、以前当ブログでも何度か取り上げた偽ECサイトに誘導するコンテンツに見えますが、実はこのコンテンツの中には、偽ECサイトよりもさらに悪質なサイトに誘導する仕掛けがありました。

 

 

コンテンツのソースを確認すると、あるjsファイルが読み込まれています(赤線部分)。

 

 

f:id:tiketiketikeke:20190421234020p:plain



このjsファイルを読み込むと、以下のドメインにリダイレクトされます。

 

 

bags.luxzone[.]jp

 

 

このドメインにアクセスすると、さらに以下のドメインに誘導されます。

 

 

ww25.bags.luxzone[.]jp

 

 

上記ドメインは、ユーザを複数の詐欺サイトに誘導しますが、その中の一つとして、偽ウイルス警告画面を表示するサイトへの誘導が確認できています。

 

 

 

f:id:tiketiketikeke:20190421235102p:plain

 

 

 

このような詐欺サイトへの誘導を行う luxzone[.]jpドメインの登録情報を見てみます。

 

 

f:id:tiketiketikeke:20190421235419p:plain

 

 

公開連絡窓口として、NETIMという名称、tld@netim.com というEmailアドレスが登録されています。

このNETIMとは、フランスのドメインレジストラなのだそうです。

 

 

www.netim.com

 

 

電話番号には、おそらく国内には存在しないと思われる「013」から始まる「11桁」の番号が登録されています。

この「013」を「03」と無理やり読み替えると、日本語表記の住所に存在する某企業の電話番号と一致しました。

こちらは「インターネットを利用した各種情報サービスを提供する」国内の事業者なんだそうです。

 

 

公開連絡窓口としては、安心感に欠ける内容です。

 

 

 

まとめ

 

 

JPドメインの悪用について事例をご覧頂きましたが、冒頭でご紹介したJPドメインの安心感の根拠とは少し異なる性質のドメインが登録され、今もなお増え続けているというのが現状です。

 

 

先日も大学や学校法人のみが取得可能な属性・地域型ドメインを個人が取得し、全く異なる用途に使用していたことが明るみになりました。

 

 

tech.nikkeibp.co.jp

 

 

業務プロセスにミスがあったことをJPRSは認めており、ただただ改善を求めるばかりですが、このドメインが今もなお有効な状態を維持しているという点については非常に疑問を感じています。

ネームサーバを削除することで対応完了としているようにも見受けられますが、条件を満たしていない個人が属性・地域型ドメインを今もなお持ち続けているという状況は改善すべきだと思います。

 

(2019/4/24 追記)

4/22に当該ドメインが Deleted (廃止されているドメイン名)となっていることを確認しました。

 

f:id:tiketiketikeke:20190424155641p:plain

 

ご対応頂きありがとうございました。

(2019/4/24 追記おわり)

 


更に疑問に思うこととして、ドメイン名義の日本語表記とアルファベット表記が異なったり、住所が正確でなかったり、海外の住所であったり、正確でない登録情報を持つJPドメインが存在することです。

 

 

このような虚偽の登録情報は認められるものなのでしょうか。

 

 

このような状態が続くと、世界一安全とされるJPドメインの安全性、信頼性に傷を与えかねません。

 

 

JPRSや各レジストラの皆様には、虚偽の登録情報を検出し、そのようなドメインに対しては、ドメイン凍結等の対応を行うなど、何らかの対策を打って頂きたいと思います。

 

 

最後までご覧いただきありがとうございました。

 

 

 

以上 

 

 

更新履歴
2019年4月22日 初版作成
2019年4月22日 jma-go[.]jpの公開連絡窓口に関する情報を修正
2019年4月24日 山梨医科大学ドメインに関する記述を修正。当該ドメインが廃止状態となったことを追記

 

 

共用サーバに対する不正アクセスと思わしき事象について

 

 

 

はじめに

 

 

 

SEOポイズニングによりユーザを偽ECサイトに誘導しようとする試みは今もなお続いています。

 

 

 

当ブログでは、過去にSEOポイズニングの手法の一つについてご紹介しました。

 

tike.hatenablog.com

 

 

 

このような偽ECサイトに誘導することを目的としたコンテンツが、ある共用サーバ上の複数のWebサイトに集中的に配置された形跡が確認できましたので、ご紹介したいと思います。

 

  

 

 

きっかけ

 

 

 

調査のきっかけとなったは、以下の不正コンテンツを目にしたことでした。

 

 

f:id:tiketiketikeke:20190301184312p:plain

 

 

 

ある 属性・地域型JPドメインのサイトに対して、偽ECサイトに誘導するコンテンツが設置されていました。

 

 

 

同種のJPドメインのWebサイトで同じような不正コンテンツが設置されているケースをいくつか見かけていたという経緯もあり、調査することにしました。

 

 

 

 

Webサイトを調査してみた

 

 

 

 

先ずは urlscan.io で見てみます。

 

urlscan.io

 

 

 

urlscan.io の 「Detected technologies」の項目を見てみます。

 

f:id:tiketiketikeke:20190301185608p:plain

 

 

 

Windows Server上の IISでWebサイトが稼働しているようです。

 

 

 

 

更に shodan.io でも見てみます。

 

www.shodan.io

 

 

shodan.io の 「Web Technologies 」の項目を見てみます。

 

 

f:id:tiketiketikeke:20190301191234p:plain

 

 

 

この Windows Server にはPHPが導入されているようです。

 

 

 

更に、導入されたPHPには多くの脆弱性が含まれることを示唆する結果が表示されました。

(画像は一部を抜粋したもの)

 

f:id:tiketiketikeke:20190301191404p:plain

 

 

 

調査対象のWebサイトを一通り見てみましたが、静的なページで構成されており、PHPは利用されていないように見えました。

 

 

 

更に詳しく見てみると、以下のページがルートディレクトリ直下に存在していることが確認できました。

 

 

f:id:tiketiketikeke:20190301191633p:plain



 

ホスティング事業者が設置したと思われるコントロールパネル画面です。

この画面はPHPで構成されていました。

 

 


このサイトのIPアドレスが共用サーバである可能性を探るため、同一IPアドレスに紐付くホスト名をPassive DNSの情報から探ってみたところ、130件のWebサイトがこのIPアドレスに紐付いていることが確認できました。

 

 

 

気になるのは、130件のWebサイトの中で不正コンテンツが設置されたのはこの1件のWebサイトのみなのかという点です。

 

 

 

 

130件のWebサイトを調査してみた

 

 

 

Google の site: コマンドを使用して、各FQDNに不正コンテンツが配置された形跡がないか見てみたいと思います。

 

 

 


site:コマンドによるサイト指定と合わせて、今回の調査のキッカケとなった不正コンテンツに含まれる 『Yahoo!ショッピング』 というキーワードも指定します。

 

f:id:tiketiketikeke:20190301192442p:plain

 

 

 

すると、同一IPアドレスに共存する130件のWebサイトのうち、54件のWebサイトに不正なコンテンツが配置された形跡が判明しました。

 

※ここで形跡と言っているのは、Googleの検索キャッシュには残っているものの、既に不正コンテンツを削除した等の理由により、実ファイルが存在しない事例もあったためです。

 

 

 

不正コンテンツに見られる規則性

 

 

 

検索結果に表示されたリンクのURLを見ると、これらの不正コンテンツのファイル名には以下のような命名規則が適用されていました。

 

 

 

<英字3文字>-<英数字6文字>.html

 

 

 

そして、不正にコンテンツが配置されたフォルダ構成にも以下のような一定のルールがありました。

 

 

 

/wp-includes/images/<英字3文字のフォルダ名>/

 

/wp-includes/css/<英字3文字のフォルダ名>/

 

/既存のフォルダ/<英字3文字のフォルダ名>/

 

 

 

 

WordPressで構成されたWebサイトにはwp-includesフォルダ配下、そうでないWebサイトには既存フォルダ配下に英字3文字のフォルダがそれぞれ設置され、その中に不正コンテンツが格納されるという構成でした。

 

 

 

コンテンツの設置時期は2018年の10月、12月が多く、ファイル名やファイル配置先に一定のルールがあることから、同一の攻撃キャンペーンの一環として共用サーバが侵害され、複数のWebサイトに不正コンテンツが配置されたのではないかと推測できます。

 

 

 

共用サーバへの不正コンテンツ配置と言えば・・・

 

 

 

共用サーバへの不正ファイル配置と言えば、今年1月に発生した某ホスティング事業者の事例が思い浮かびます。

 

piyolog.hatenadiary.jp

 

 

 

 

この事例では、犯行グループと思われる人物による犯行声明が出されたこと、ハッキング行為を誇示するかのようなコンテンツが配置されたことから、当該ホスティング事業者は攻撃事象を公表せざるを得なかったのではないかと考えることもできます。

 

 

 

公表に至らずとも、今回取り上げたような偽ECサイトへの誘導に繋がる不正コンテンツの設置は「よくある話」として流されているだけで、同じようなケースは他にも存在する可能性は否定できません。

 

 

 

共用サーバ上でWebサイトを運用している利用者の立場からすると、共用サーバへの攻撃事象を回避することは正直難しいのではないかと思われます。

 

 

 

 

利用者側ができること

 

 

 

共用サーバの利用者側としてできる事後対策は、自サイト内の不正なファイルの存在を確認することです。

 

 

先ほどご紹介した Google の site: コマンドにより、自サイト内の不正なコンテンツの有無をご確認頂き、更に (可能であれば) バックアップと公開中のコンテンツの差分を継続して確認することで、意図しないファイルの設置に気付くことができるのではないかと思います。

 

 

 

まとめ

 

 

 

不正コンテンツの有無を確認することで、自サイトが侵害されたことを知るきっかけになります。

 

 

ECサイトに誘導される"程度"であれば、特段大きな被害が発生した訳ではないと考えることもできます。

 

 

マルウェアの配布元に仕立て上げられるなど、更に悪質な侵害を受ける前に、一度自サイトへの不正ファイルの有無を確認することをお勧めします。

 

それと、もし不正ファイルの設置が確認できた場合は、ファイルを削除するだけではなく、Googleの検索キャッシュを削除することもお忘れなく。

 

support.google.com

 

 

 

最後までご覧いただきありがとうございました。

 

 

 

以上 

 

 

更新履歴
2019年3月1日 初版作成

 

 

放棄ドメインの大量取得によるスクリプトの乗っ取りについて

 

 

 

はじめに

 

 

 

既に役目を終えたドメインの遺産はリンク切れという形でインターネット上に残ることがあります。

 

ここでいう遺産とは、放棄ドメインに紐付くリソース(画像、外部スクリプトなど)を指します。

 

閲覧者の目に直接触れるリソース(画像や動画など)が存在しない状態になったことを閲覧者自身が認識することはさほど難しくはありません。
その一方、外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しいのではないかと思います。

 

このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。

 

 

 

 

不審な JavaScript

 

 

 

先日、不審な挙動を示す以下のJavaScriptを目にしました。

 

f:id:tiketiketikeke:20190126161720p:plain


Cookieを含むいくつかの情報を king[.]connectioncdn[.]com という外部のサーバにPOSTするというものです。

 

そして、このJavaScriptの呼び出し元は、海外のLinuxユーザのコミュニティサイトである LinuxForums[.]org でした。

f:id:tiketiketikeke:20190126163234p:plain

 

データ送信を行うJavaScriptは、以下のscriptタグで読み込まれます。

 

f:id:tiketiketikeke:20190126163600p:plain

 

JavaScript参照元 (LinuxForums[.]org) と参照先 (3[.]newor[.]net) 、データの送信先 (king[.]connectioncdn[.]com) は、いずれも異なるドメインであり、閲覧者が認識できない形で秘密裏に情報を外部に送信しているように見えます。

 

実際に送信される情報をパケットキャプチャから見てみます。

 

f:id:tiketiketikeke:20190126164732p:plain

 

Cookie以外にも、呼び出し元のサイト名、ページ名、リファラやタイムスタンプ、何らかの意味がありそうなランダムな値なども送信しています。 

 

続いてデータの送信先ホストについて見ていきたいと思います。


 

 

データの送信先から見えるインフラの全体像

 

 

 

データの送信先ホストを確認したところ、サブドメインがいくつか存在することが確認できました。
前述の分も含めると、以下の4件のサブドメインが存在します。

 

f:id:tiketiketikeke:20190126165354p:plain

 

それぞれのDNS Aレコードは以下の通りです。

 

f:id:tiketiketikeke:20190126165526p:plain

 

f:id:tiketiketikeke:20190126165551p:plain

 

f:id:tiketiketikeke:20190126165634p:plain

 

f:id:tiketiketikeke:20190126165704p:plain

 

f:id:tiketiketikeke:20190126165858p:plain

 

hashtagとmars、kingはAS30083(Hosting Solutions International, Inc.)、pressはAS16276 (OVH SAS) の配下にいるようです。

※ 以下、これらのホストをconnectioncdnホストと記載します。

 

次に、外部にデータを送信するスクリプトが設置されたホストのIPアドレスを見てみます。

 

f:id:tiketiketikeke:20190126170235p:plain

 

Aレコードが2件登録されており、hashtagとpressのconnectioncdnホストと同じIPアドレスであることがわかりました。

 

それぞれのIPアドレスに対してスクリプトを取得してみます。

 

まずは 209.126.103[.]59 (hashtag[.]connectioncdn[.]com)に対して。

 

f:id:tiketiketikeke:20190126171318p:plain

 

レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。

 

f:id:tiketiketikeke:20190126171440p:plain

 

データの送信先として、hashtag[.]connectioncdn[.]com が指定されています。

 

次に、147.135.1[.]203 (press[.]connectioncdn[.]com)からスクリプトを取得します。

 

f:id:tiketiketikeke:20190126171720p:plain

 

レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。

 

f:id:tiketiketikeke:20190126171812p:plain

 

IPアドレスを同一とするconnectioncdnホストに対してデータをPOSTする仕様のようです。

 

更に確認したところ、4台の connectioncdnホストと同じIPアドレスを持つFQDNが2019年1月24日の時点で少なくとも134件存在し、いずれも上記の事例と同様、2台のconnectioncdnホストと同じIPアドレスを持つことが確認できました。

 

一部のFQDNIPアドレスの一覧を以下に記載します。

※134件全件の一覧はIoC情報として文末に記載しています。

 

# FQDN IPアドレス
1 1.newor[.]net 147.135.1[.]203, 209.126.103[.]139
2 2.api.viralheadlines[.]net 147.135.1[.]203, 209.126.127[.]231
3 3.newor[.]net 147.135.1[.]203, 209.126.103[.]139
4 a01.u-ad[.]info 209.126.103[.]59, 209.126.127[.]231
5 abtrcking[.]com 147.135.1[.]203, 209.126.103[.]59
6 adrenalinecdn[.]com 147.135.1[.]203, 209.126.103[.]59
7 airjss[.]com 147.135.1[.]203, 209.126.103[.]139
8 api.behavioralmailing[.]com 147.135.1[.]203, 209.126.103[.]59
9 apps.suppressedvoice[.]com 209.126.103[.]139, 147.135.1[.]203
10 b.nwcdn[.]xyz 209.126.103[.]139, 147.135.1[.]203

 

一部を抜粋して図示すると以下のようになります。

 

f:id:tiketiketikeke:20190126180939p:plain

 

connectioncdnホストの1台に何らかの問題が発生したとしても業務継続(?)が可能となるよう冗長構成がとられています。
また、前述した通り connectioncdnホストは2つのプロバイダ(AS30083とAS16276)にまたがっており、あらゆる事態を想定した堅牢な構成で稼動していると言えます。

 

次に、134件のFQDNを構成する各ドメインの取得時期を見てみたいと思います。
合わせて、これらのドメインが新規に取得されたものなのか、または既存のドメインを流用したものなのかを確認するために、ドメイン削除の記録があればその時期についても確認します。

なお、ドメイン放棄の記録は、domainbigdata.com の [history]項目から抽出しており、表中の[直前のドメイン削除日]は、ドメイン再取得の直前にそのドメインが放棄された日付を示しています。

※ここでは一部のドメインのみとし、全件はIoC情報として文末に記載しています。

 

# ドメイン 直前のドメイン削除日 最新のドメイン登録(移転)日 現在のネームサーバ
1 newor[.]net 2018/11/9 2018/12/17 mynameserver1.com
2 viralheadlines[.]net 2018/8/21 2018/11/22 mynameserver1.com
3 u-ad[.]info 2016/4/21 2017/6/25 mynameserver1.com
4 abtrcking[.]com 2018/9/3 2018/11/15 mynameserver1.com
5 adrenalinecdn[.]com 2018/5/26 2018/8/3 mynameserver1.com
6 airjss[.]com 2018/7/23 2018/8/31 mynameserver1.com
7 behavioralmailing[.]com 2018/10/14 2018/11/21 mynameserver1.com
8 suppressedvoice[.]com   2018/10/26 mynameserver1.com
9 nwcdn[.]xyz   2018/7/22 mynameserver3.com
10 beatchucknorris[.]com 2018/4/29 2018/8/16 mynameserver1.com

 

全件を確認したところ、一部の不明なドメインを除く大半のドメインは過去に放棄された経緯があることがわかりました。

放棄された時期と再登録された時期はバラバラですが、第三者が放棄ドメインを取得し、このインフラに組み込んでいるようです。

 

 

 

どのようなスクリプトが公開されているのか

 

 

connectioncdnホストと同一のIPアドレスを持つFQDN群が、本記事の冒頭に示した不審なJavaScriptとほぼ同じ内容のスクリプトを公開していることが確認できました。何れも、Cookieを含む情報をconnectioncdnホストに対して送信するという内容です。可能な範囲で収集したスクリプトのURLを以下に示します。

 ※ここでは一部のURLのみとし、全件はIoC情報として文末に記載しています。

 

# 不審スクリプトのURL
1 hxxp://1.newor[.]net/www/delivery/delivery3.js
2 hxxp://2.api.viralheadlines[.]net/js/mass
3 hxxp://3.newor[.]net/www/delivery/delivery3.js
4 hxxp://a01.u-ad[.]info/page/JS.php
5 hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js
6 hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js
7 hxxp://airjss[.]com/data-uri.js
8 hxxp://api.behavioralmailing[.]com/js/data.js
9 hxxp://b.nwcdn[.]xyz/placement.js
10 hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js

 

これらのスクリプトはPOST先のサーバとkパラメータの値が異なるのみであり、ほぼ全て同じ内容でした。

更に、各サイトのルートディレクトリ、及び存在しないファイルをリクエストしてみます。

先ずはルートディレクトリにアクセスしてみます。

 

f:id:tiketiketikeke:20190126203654p:plain

 

全てのURLで「Temporaily Down for Maintenance.」という文言が表示されることが確認できました。

 

次に、存在しないファイルをリクエストしてみます。

 

f:id:tiketiketikeke:20190126203817p:plain

 

こちらも、全てのURLで同様の文言が表示されました。

 

このことから、特定リソースへのリクエストが来た場合にのみ特別な処理を行うように実装されていると考えられます。

 

 

 

放棄ドメインは本来どのように使われていたのか

 

 

放棄ドメインの本来の用途は様々です。WordPressTumblrのテンプレート、フリーのソースコードサンプル、広告関連、アクセス解析などなど。外部スクリプトとして消されずに残っている可能性のあるものばかりです。

詐欺サイトに誘導するための踏み台として過去にWordPressサイトに不正に埋め込まれたスクリプトが、今ではconnectioncdnホストに情報を送信する目的で使用されているのは特に興味深い点として挙げられます。

 

 

 

まとめ

 

 

 

最後までご覧いただきありがとうございます。

 

私個人のレベルでは、ここまでの調査が限界でした(笑)

このブログをご覧頂いた方の中で「更に深く調査してやろう」という方がもしいらっしゃいましたら、是非とも継続調査をお願いできればと思います。

 

本記事の冒頭「外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しい」と述べましたが、これはあくまで閲覧者の視点での話です。
外部スクリプトが改竄され、コインマイナーが仕込まれたり、カード情報が盗まれたりという話は度々報道されています。

サイト運営者の方々は自サイト上のゴミを極力排除し、更に外部リソースの変化を検知できる仕組みをご検討頂くべきかと思います。
(偉そうなこと言ってスミマセン!)

 

ではでは。

 

 

 

IoC

 

 

 

 connectioncdnホストと同居するFQDN一覧

 

 

# FQDN IPアドレス
1 1.newor[.]net 147.135.1[.]203, 209.126.103[.]139
2 2.api.viralheadlines[.]net 147.135.1[.]203, 209.126.127[.]231
3 3.newor[.]net 147.135.1[.]203, 209.126.103[.]139
4 a01.u-ad[.]info 209.126.103[.]59, 209.126.127[.]231
5 abtrcking[.]com 147.135.1[.]203, 209.126.103[.]59
6 adrenalinecdn[.]com 147.135.1[.]203, 209.126.103[.]59
7 airjss[.]com 147.135.1[.]203, 209.126.103[.]139
8 api.behavioralmailing[.]com 147.135.1[.]203, 209.126.103[.]59
9 apps.suppressedvoice[.]com 209.126.103[.]139, 147.135.1[.]203
10 b.nwcdn[.]xyz 209.126.103[.]139, 147.135.1[.]203
11 beatchucknorris[.]com 209.126.103[.]59, 147.135.1[.]203
12 blozoo[.]net 147.135.1[.]203, 209.126.103[.]139
13 bolingbroke.werringtonlasborough[.]com 209.126.127[.]231, 209.126.103[.]59
14 bwinpoker24[.]com 147.135.1[.]203, 209.126.103[.]59
15 c.radxcomm[.]com 209.126.103[.]139, 209.126.127[.]231
16 cdn.adpoints[.]media 209.126.103[.]59, 209.126.127[.]231
17 cdn.avrti[.]xyz 147.135.1[.]203, 209.126.103[.]139
18 cdn.botthumb[.]com 147.135.1[.]203, 209.126.127[.]231
19 cdn.echoenabled[.]com 209.126.127[.]231, 209.126.103[.]59
20 cdn[.]inaudium[.]com 209.126.127[.]231, 209.126.103[.]59
21 cdn.muse-widgets[.]ru 209.126.103[.]59, 209.126.127[.]231
22 cdn.owlcdn[.]com 147.135.1[.]203, 209.126.103[.]59
23 cfs.u-ad[.]info 209.126.127[.]231, 147.135.1[.]203
24 chat-client-js.firehoseapp[.]com 147.135.1[.]203, 209.126.127[.]231
25 code.jguery[.]org 209.126.103[.]139, 147.135.1[.]203
26 con1.sometimesfree[.]biz 209.126.103[.]139, 209.126.103[.]59
27 connect.f1call[.]com 209.126.103[.]59, 209.126.103[.]139
28 d0.histats.12mlbe[.]com 209.126.127[.]231, 209.126.103[.]139
29 daljarrock.hurlinesswhitchurch[.]com 209.126.103[.]59, 209.126.103[.]139
30 dcts[.]pw 209.126.103[.]59, 147.135.1[.]203
31 dezaula[.]com 209.126.103[.]59, 147.135.1[.]203
32 dup.baidustatic[.]pw 209.126.103[.]59, 209.126.127[.]231
33 e.e708[.]net 147.135.1[.]203, 209.126.103[.]139
34 earsham.pontypriddcrick[.]com 209.126.103[.]139, 147.135.1[.]203
35 flipdigital[.]ru 209.126.127[.]231, 209.126.103[.]139
36 font4u[.]ga 147.135.1[.]203, 209.126.127[.]231
37 ga87z2o[.]com 147.135.1[.]203, 209.126.103[.]59
38 gamescale.vio[.]rocks 209.126.103[.]139, 209.126.103[.]59
39 getsocialbuttons[.]xyz 147.135.1[.]203, 209.126.103[.]59
40 godstrength[.]org 209.126.103[.]139, 209.126.103[.]59
41 hosted-oswa[.]org 209.126.127[.]231, 147.135.1[.]203
42 i.omeljs[.]info 209.126.103[.]139, 209.126.127[.]231
43 i.rfgdjs[.]info 147.135.1[.]203, 209.126.103[.]59
44 i.selectionlinksjs[.]info 209.126.103[.]139, 209.126.127[.]231
45 i3.putags[.]com 147.135.1[.]203, 209.126.127[.]231
46 ijquery9[.]com 209.126.103[.]59, 209.126.127[.]231
47 infinite-2.tcs3[.]co[.]uk 209.126.103[.]139, 147.135.1[.]203
48 infinite-3.tcs3[.]co[.]uk 209.126.103[.]59, 209.126.127[.]231
49 iplusfree[.]pro 209.126.127[.]231, 209.126.103[.]59
50 java.sometimesfree[.]biz 209.126.103[.]59, 209.126.103[.]139
51 jquery[.]im 209.126.103[.]139, 147.135.1[.]203
52 js.mp3rocketdownloadfiles[.]com 209.126.103[.]59, 209.126.103[.]139
53 js.nster[.]net 209.126.127[.]231, 147.135.1[.]203
54 js.trafficanalytics[.]online 209.126.103[.]139, 209.126.103[.]59
55 js2.sn00[.]net 209.126.103[.]139, 209.126.127[.]231
56 keit.kristofer[.]ga 147.135.1[.]203, 209.126.103[.]59
57 livestats[.]us 209.126.103[.]59, 209.126.103[.]139
58 log.widgetstat[.]net 209.126.103[.]59, 209.126.127[.]231
59 m.free-codes[.]org 209.126.103[.]59, 209.126.103[.]139
60 m.xfanclub[.]ru 209.126.103[.]59, 147.135.1[.]203
61 mediros[.]ru 209.126.127[.]231, 209.126.103[.]139
62 n299adserv[.]com 209.126.103[.]59, 209.126.103[.]139
63 narnia.tcs3[.]co[.]uk 209.126.127[.]231, 209.126.103[.]59
64 nstracking[.]com 147.135.1[.]203, 209.126.103[.]59
65 oasagm82wioi[.]org 209.126.103[.]59, 209.126.103[.]139
66 onlinemarketplace[.]top 209.126.103[.]139, 209.126.127[.]231
67 parts.kuru2jam[.]com 209.126.103[.]59, 209.126.127[.]231
68 phpadsnew.motoboerse[.]at 147.135.1[.]203, 209.126.103[.]59
69 pipardot[.]com 209.126.127[.]231, 147.135.1[.]203
70 pl105476.putags[.]com 147.135.1[.]203, 209.126.127[.]231
71 place2003.nighter[.]club 147.135.1[.]203, 209.126.103[.]59
72 s1.omnitor[.]ru 209.126.103[.]59, 209.126.127[.]231
73 sbdtds[.]com 209.126.127[.]231, 209.126.103[.]59
74 scorepresshidden[.]info 147.135.1[.]203, 209.126.127[.]231
75 script.affilizr[.]com 209.126.103[.]59, 209.126.103[.]139
76 sdb.dancewithme[.]biz 209.126.103[.]139, 147.135.1[.]203
77 security-service[.]su 209.126.103[.]59, 209.126.127[.]231
78 senderjs[.]net 147.135.1[.]203, 209.126.103[.]139
79 src.dancewithme[.]biz 209.126.127[.]231, 209.126.103[.]139
80 srv1.clk-analytics[.]com 209.126.103[.]139, 147.135.1[.]203
81 st.segpress.io 209.126.103[.]139, 209.126.103[.]59
82 stablemoney[.]ru 209.126.127[.]231, 209.126.103[.]59
83 stat.rolledwil[.]biz 209.126.103[.]59, 209.126.127[.]231
84 static.bh-cdn[.]com 209.126.103[.]139, 209.126.103[.]59
85 tag.imaginaxs[.]com 147.135.1[.]203, 209.126.103[.]59
86 themes.affect[.]lt 209.126.103[.]139, 147.135.1[.]203
87 trafficapi[.]nl 209.126.127[.]231, 209.126.103[.]59
88 traffictrade[.]life 147.135.1[.]203, 209.126.103[.]59
89 upgraderservices[.]cf 147.135.1[.]203, 209.126.127[.]231
90 upskirt-jp[.]net 209.126.103[.]139, 209.126.127[.]231
91 vclicks[.]net 209.126.103[.]59, 147.135.1[.]203
92 vstats[.]co 147.135.1[.]203, 209.126.103[.]59
93 w[.]topage[.]net 147.135.1[.]203, 209.126.103[.]59
94 webeatyouradblocker[.]com 147.135.1[.]203, 209.126.103[.]59
95 webstats.xcellenzy[.]com 209.126.127[.]231, 209.126.103[.]59
96 widgets.wowzio[.]net 209.126.127[.]231, 209.126.103[.]59
97 www.acotemoi[.]com 147.135.1[.]203, 209.126.103[.]139
98 www.adsonflags[.]com 209.126.103[.]59, 209.126.127[.]231
99 www.agrkings[.]com 209.126.103[.]139, 147.135.1[.]203
100 www.apps4shopify[.]com 209.126.127[.]231, 209.126.103[.]59
101 www.auctionaffiliate[.]co 147.135.1[.]203, 209.126.103[.]139
102 www.caphyon-analytics[.]com 209.126.103[.]139, 209.126.103[.]59
103 www.frompariswithhate[.]org 209.126.127[.]231, 147.135.1[.]203
104 www.goodyear-coupons[.]com 209.126.103[.]139, 209.126.127[.]231
105 www.hmailserver[.]in 147.135.1[.]203, 209.126.103[.]139
106 www.kanpianjs[.]top 147.135.1[.]203, 209.126.103[.]59
107 www.ournet-analytics[.]com 209.126.103[.]139, 209.126.127[.]231
108 www.rarstats[.]com 209.126.103[.]139, 209.126.103[.]59
109 www.seo101[.]net 147.135.1[.]203, 209.126.103[.]139
110 www.spartan-ntv[.]com 209.126.103[.]139, 209.126.103[.]59
111 www.takoashi[.]net 147.135.1[.]203, 209.126.103[.]59
112 www.yys1982[.]com 209.126.127[.]231, 147.135.1[.]203
113 your-3[.]com 209.126.103[.]59, 209.126.103[.]139
114 yourmsrp[.]com 209.126.103[.]59, 209.126.103[.]139
115 zirve100[.]com 209.126.127[.]231, 209.126.103[.]139
116 s.orange81safe[.]com 209.126.103[.]139, 147.135.1[.]203
117 n298adserv[.]com 209.126.103[.]59, 209.126.127[.]231
118 stat.botthumb[.]com 147.135.1[.]203, 209.126.103[.]59
119 adblockdetector[.]com 209.126.103[.]59, 147.135.1[.]203
120 cdn.jquery[.]tools 209.126.103[.]59, 209.126.103[.]139
121 js.sn00[.]net 209.126.103[.]139, 209.126.103[.]59
122 cleantds[.]in 209.126.103[.]139, 209.126.127[.]231
123 wp.traffictrade[.]life 209.126.127[.]231, 147.135.1[.]203
124 www.insightio[.]us 209.126.103[.]139, 209.126.103[.]59
125 webto[.]mobi 209.126.103[.]139, 147.135.1[.]203
126 static.hot---jar[.]com 209.126.103[.]59, 209.126.103[.]139
127 appsyt.brightleaf[.]io 209.126.103[.]59, 147.135.1[.]203
128 w5983.lb.wa-track[.]com 209.126.103[.]139, 209.126.127[.]231
129 adrife[.]net 209.126.103[.]59, 209.126.127[.]231
130 www.andrewandjack[.]com 209.126.103[.]59, 209.126.127[.]231
131 da.adsvcs[.]com 209.126.103[.]59, 147.135.1[.]203
132 ssl.cdn.odinkod[.]ru 209.126.103[.]59, 209.126.127[.]231
133 nexutab[.]com 209.126.103[.]139, 209.126.127[.]231
134 st.stadsvc[.]com 209.126.103[.]59, 147.135.1[.]203

 

 

 

ドメイン登録日一覧

 

 

# ドメイン 直前のドメイン削除日 最新のドメイン登録(移転)日 現在のネームサーバ
1 newor[.]net 2018/11/9 2018/12/17 mynameserver1.com
2 viralheadlines[.]net 2018/8/21 2018/11/22 mynameserver1.com
3 u-ad[.]info 2016/4/21 2017/6/25 mynameserver1.com
4 abtrcking[.]com 2018/9/3 2018/11/15 mynameserver1.com
5 adrenalinecdn[.]com 2018/5/26 2018/8/3 mynameserver1.com
6 airjss[.]com 2018/7/23 2018/8/31 mynameserver1.com
7 behavioralmailing[.]com 2018/10/14 2018/11/21 mynameserver1.com
8 suppressedvoice[.]com   2018/10/26 mynameserver1.com
9 nwcdn[.]xyz   2018/7/22 mynameserver3.com
10 beatchucknorris[.]com 2018/4/29 2018/8/16 mynameserver1.com
11 blozoo[.]net 2017/1/22 2017/2/28 mynameserver1.com
12 werringtonlasborough[.]com   2018/7/30 mynameserver1.com
13 bwinpoker24[.]com 2018/4/29 2018/8/31 mynameserver1.com
14 radxcomm[.]com 2018/6/24 2018/8/5 mynameserver1.com
15 adpoints.media   1900/1/0  
16 avrti[.]xyz   2018/8/25 mynameserver3.com
17 botthumb[.]com 2018/11/22 2018/11/30 mynameserver1.com
18 echoenabled[.]com 2016/12/15 2017/3/8 mynameserver1.com
19 inaudium[.]com 2017/4/28 2017/6/5 mynameserver1.com
20 muse-widgets[.]ru   2018/10/6  
21 owlcdn[.]com 2018/1/30 2018/3/9 mynameserver1.com
22 firehoseapp[.]com 2018/1/30 2018/3/9 mynameserver1.com
23 jguery[.]org 2018/4/21 2018/6/8 mynameserver1.com
24 sometimesfree[.]biz 2018/10/6 2018/11/10 mynameserver1.com
25 f1call[.]com 2018/5/19 2018/7/5 mynameserver1.com
26 12mlbe[.]com 2017/1/24 2017/2/15 mynameserver1.com
27 hurlinesswhitchurch[.]com 2017/7/1 2017/9/21 mynameserver1.com
28 dcts[.]pw   2016/12/24  
29 dezaula[.]com 2018/3/16 2018/7/18 mynameserver1.com
30 baidustatic[.]pw      
31 e708[.]net 2018/1/10 2018/2/16 mynameserver1.com
32 pontypriddcrick[.]com 2017/7/1 2017/9/21 mynameserver1.com
33 flipdigital[.]ru   2018/12/5  
34 font4u[.]ga      
35 ga87z2o[.]com 2018/3/31 2018/5/8 mynameserver1.com
36 vio[.]rocks      
37 getsocialbuttons[.]xyz 2018/8/15 2018/11/26 mynameserver3.com
38 godstrength[.]org 2018/4/14 2018/7/15 mynameserver1.com
39 hosted-oswa[.]org 2018/9/25 2018/11/9 mynameserver1.com
40 omeljs[.]info 2017/8/7 2017/12/11 mynameserver1.com
41 rfgdjs[.]info 2017/5/28 2017/12/11 mynameserver1.com
42 selectionlinksjs[.]info 2016/7/7 2018/8/16 mynameserver1.com
43 putags[.]com 2017/12/24 2018/1/30 mynameserver1.com
44 ijquery9[.]com 2018/6/30 2018/8/6 mynameserver1.com
45 tcs3[.]co[.]uk      
46 iplusfree[.]pro 2018/7/13 2018/8/21 mynameserver1.com
47 jquery[.]im      
48 mp3rocketdownloadfiles[.]com 2018/12/4 2018/12/5 mynameserver1.com
49 nster[.]net 2018/12/5 2018/12/6 mynameserver1.com
50 trafficanalytics[.]online      
51 sn00[.]net 2018/2/13 2018/5/9 mynameserver1.com
52 kristofer[.]ga      
53 livestats[.]us 2016/7/3 2017/2/16 mynameserver1.com
54 widgetstat[.]net 2018/2/14 2018/8/12 mynameserver1.com
55 free-codes[.]org 2018/1/31    
56 xfanclub[.]ru   2016/8/2  
57 mediros[.]ru   2018/8/12  
58 n299adserv[.]com 2017/11/12 2018/3/30 mynameserver1.com
59 nstracking[.]com 2016/1/2 2017/2/17 mynameserver1.com
60 oasagm82wioi[.]org 2018/1/21 2018/8/25 mynameserver1.com
61 onlinemarketplace[.]top      
62 kuru2jam[.]com 2018/3/2 2018/4/8 mynameserver1.com
63 motoboerse[.]at      
64 pipardot[.]com 2018/12/18 2018/12/26 mynameserver1.com
65 nighter[.]club 2018/9/29 2018/12/19 mynameserver1.com
66 omnitor[.]ru   2018/8/12  
67 sbdtds[.]com 2016/12/2 2017/2/15 mynameserver1.com
68 scorepresshidden[.]info 2018/11/19 2018/11/24 mynameserver1.com
69 script.affilizr[.]com 2017/4/18 2017/6/26 mynameserver1.com
70 dancewithme[.]biz 2018/10/19 2018/11/25 mynameserver1.com
71 security-service[.]su   2018/8/12  
72 senderjs[.]net 2018/12/19 2018/12/27 mynameserver1.com
73 clk-analytics[.]com 2018/8/30 2018/10/9 mynameserver1.com
74 segpress[.]io      
75 stablemoney[.]ru   2018/1/10  
76 rolledwil[.]biz 2017/5/12 2017/7/6 mynameserver1.com
77 bh-cdn[.]com 2018/9/16 2018/10/24 mynameserver1.com
78 imaginaxs[.]com 2018/6/7 2018/8/21 mynameserver1.com
79 affect[.]lt   2017/12/3  
80 trafficapi[.]nl      
81 traffictrade[.]life 2018/8/15 2018/9/27 mynameserver1.com
82 upgraderservices[.]cf      
83 upskirt-jp[.]net 2018/12/19 2018/12/27 mynameserver1.com
84 vclicks[.]net 2018/7/15 2018/8/24 mynameserver1.com
85 vstats[.]co 2017/8/1 2017/8/3 cloudflare.com
86 topage[.]net 2018/11/19 2018/11/25 mynameserver1.com
87 webeatyouradblocker[.]com 2017/2/23 2017/5/15 mynameserver1.com
88 xcellenzy[.]com 2017/11/11 2018/2/14 mynameserver1.com
89 wowzio[.]net 2018/1/29 2018/1/30 mynameserver1.com
90 acotemoi[.]com   2018/12/11 mynameserver1.com
91 adsonflags[.]com 2018/9/1 2018/10/9 mynameserver1.com
92 agrkings[.]com 2017/2/10 2017/4/4 mynameserver1.com
93 apps4shopify[.]com 2018/9/24 2018/11/9 mynameserver1.com
94 auctionaffiliate[.]co 2016/4/1 2017/2/17 mynameserver1.com
95 caphyon-analytics[.]com 2018/3/21 2018/8/16 mynameserver1.com
96 frompariswithhate[.]org 2018/1/31    
97 goodyear-coupons[.]com 2017/1/10 2017/4/4 mynameserver1.com
98 hmailserver[.]in   2015/1/24  
99 kanpianjs[.]top      
100 ournet-analytics[.]com 2016/6/11 2018/8/16 mynameserver1.com
101 rarstats[.]com 2018/10/6 2018/11/21 mynameserver1.com
102 seo101[.]net 2018/1/31 2018/3/10 mynameserver1.com
103 spartan-ntv[.]com 2018/1/27 2018/3/6 mynameserver1.com
104 takoashi[.]net 2018/6/15 2018/7/22 mynameserver1.com
105 yys1982[.]com 2018/8/22 2018/10/6 mynameserver1.com
106 your-3[.]com   2018/11/21 mynameserver1.com
107 yourmsrp[.]com 2018/7/14 2018/8/21 mynameserver1.com
108 zirve100[.]com 2016/12/24 2017/2/15 mynameserver1.com
109 orange81safe[.]com 2018/9/20 2018/10/28 mynameserver1.com
110 n298adserv[.]com 2018/11/12 2018/12/26 mynameserver1.com
111 adblockdetector[.]com 2016/12/1 2017/2/13 mynameserver1.com
112 jquery[.]tools      
113 cleantds[.]in   2016/4/27  
114 insightio.us 2017/7/8 2017/8/13 mynameserver1.com
115 webto[.]mobi   2016/9/1  
116 hot---jar[.]com   2018/11/18 mynameserver1.com
117 brightleaf[.]io   2018/8/24  
118 wa-track[.]com 2018/6/8 2018/6/14 mynameserver1.com
119 adrife[.]net 2017/8/3 2018/3/18 mynameserver1.com
120 andrewandjack[.]com 2018/10/10 2018/11/21 mynameserver1.com
121 adsvcs[.]com 2018/10/8 2018/11/21 mynameserver1.com
122 odinkod[.]ru   2017/4/3  
123 nexutab[.]com 2018/5/5 2018/7/8 mynameserver1.com
124 stadsvc[.]com 2018/10/8 2018/11/18 mynameserver1.com

 

 

 

不審スクリプトURL一覧

 

 

# 不審スクリプトのURL
1 hxxp://1.newor[.]net/www/delivery/delivery3.js
2 hxxp://2.api.viralheadlines[.]net/js/mass
3 hxxp://3.newor[.]net/www/delivery/delivery3.js
4 hxxp://a01.u-ad[.]info/page/JS.php
5 hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js
6 hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js
7 hxxp://airjss[.]com/data-uri.js
8 hxxp://api.behavioralmailing[.]com/js/data.js
9 hxxp://b.nwcdn[.]xyz/placement.js
10 hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js
11 hxxp://blozoo[.]net/js/ranktool/analyze.js
12 hxxp://bwinpoker24[.]com/door.js
13 hxxp://c.radxcomm[.]com/AdvWindow/getWin/ed839af81cb935b63b6110da3a9af267
14 hxxp://cdn.adpoints[.]media/production/ads/652.js
15 hxxp://cdn.avrti[.]xyz/s.js
16 hxxp://cdn.inaudium[.]com/js/adtctr.js
17 hxxp://cdn.echoenabled[.]com/clientapps/v2/backplane.js
18 hxxp://cdn.inaudium[.]com/js/adtctr.js
19 hxxp://cdn.muse-widgets[.]ru/mwsuperanimate.js
20 hxxp://cdn.owlcdn[.]com/google/analytics/analytics.js
21 hxxp://cfs.u-ad[.]info/cfspushadsv2/request
22 hxxp://chat-client-js.firehoseapp[.]com/chat-min.js
23 hxxp://code.jguery[.]org/jquery-2.2.1.min.js
24 hxxp://con1.sometimesfree[.]biz/c.js
25 hxxp://connect.f1call[.]com/static/api.js
26 hxxp://d0.histats.12mlbe[.]com/cgi-bin/mle.cgi
27 hxxp://daljarrock.hurlinesswhitchurch[.]com/blest.js
28 hxxp://dcts[.]pw/dictus.js
29 hxxp://dezaula[.]com/dezaula.js
30 hxxp://dup.baidustatic[.]pw/js/ds.js
31 hxxp://e.e708[.]net/cpc/index.php
32 hxxp://earsham.pontypriddcrick[.]com/embroiders.js?ref=
33 hxxp://flipdigital[.]ru/bcRX/src.js
34 hxxp://gamescale.vio[.]rocks/app/embed/
35 hxxp://getsocialbuttons[.]xyz/get-social.js
36 hxxp://hosted-oswa[.]org/piwik/piwik.js
37 hxxp://i.omeljs[.]info/omel/javascript.js
38 hxxp://i.rfgdjs[.]info/opt_content.js
39 hxxp://i.selectionlinksjs[.]info/obfy/javascript.js
40 hxxp://i3.putags[.]com/c4/5a/d0/c45ad0245f5cbeaaf368ef6bbfddb41c.js
41 hxxp://ijquery9[.]com/common.js
42 hxxp://infinite-2.tcs3[.]co[.]uk/Themes/InfiniteV2/jquery.js
43 hxxp://infinite-3.tcs3[.]co[.]uk/themes/infinitev3/totop.js
44 hxxp://java.sometimesfree[.]biz/counter.js
45 hxxp://jquery[.]im/jquery.geo.js
46 hxxp://js.nster[.]net/00/12/69.js
47 hxxp://js.trafficanalytics[.]online/js/js.js
48 hxxp://js2.sn00[.]net/00/37/20.js
49 hxxp://keit.kristofer[.]ga/71HXRp
50 hxxp://livestats[.]us/812X
51 hxxp://log.widgetstat[.]net/event.php
52 hxxp://m.free-codes[.]org/gh.php
53 hxxp://m.xfanclub[.]ru/c/45558.js
54 hxxp://mediros[.]ru/get2.php
55 hxxps://n299adserv[.]com/js/show_ads_supp.js
56 hxxp://narnia.tcs3[.]co[.]uk/themes/narnia/narnia.1/getjs.asp
57 hxxp://nstracking[.]com/js/TrackingV2.js
58 hxxp://oasagm82wioi[.]org/css/js/style.php
59 hxxp://onlinemarketplace[.]top/client.js
60 hxxp://parts.kuru2jam[.]com/js/wind_chime.js
61 hxxp://pipardot[.]com/pd.js
62 hxxp://s1.omnitor[.]ru/1fed79f0c2c92588b739f9e9f3be7bc6.js
63 hxxp://sbdtds[.]com/acounter.js
64 hxxp://script.affilizr[.]com/js/affilizr.js
65 hxxp://sdb.dancewithme[.]biz/db.js
66 hxxps://security-service[.]su/src/hirschs.co.za.js
67 hxxp://src.dancewithme[.]biz/src.js
68 hxxp://srv1.clk-analytics[.]com/i/
69 hxxp://st.segpress[.]io/segpress/focus/1.js
70 hxxp://stablemoney[.]ru/113962.js
71 hxxp://stat.rolledwil[.]biz/stat.php
72 hxxp://static.bh-cdn[.]com/msf/loader.js
73 hxxp://tag.imaginaxs[.]com/script/14567725196/preload.js
74 hxxp://themes.affect[.]lt/bodega/wp-content/themes/bodega/js/jquery.nivo.slider.pack.js
75 hxxp://trafficapi[.]nl/static/main.js
76 hxxp://traffictrade[.]life/scripts.js
77 hxxp://upgraderservices[.]cf/drupal.js
78 hxxp://upskirt-jp[.]net/piwik/piwik.js
79 hxxps://w.topage[.]net/box.js
80 hxxp://webstats.xcellenzy[.]com/piwik.js
81 hxxp://widgets.wowzio[.]net/widgets/jscript
82 hxxps://www.adsonflags[.]com/js/show_ads_ecpmband.js
83 hxxp://www.agrkings[.]com/ads-api
84 hxxps://www.apps4shopify[.]com/header-notification-bar/assets/js/countdown.js
85 hxxp://www.caphyon-analytics[.]com/aws.js
86 hxxp://www.frompariswithhate[.]org/t.js
87 hxxp://www.hmailserver[.]in/iser/
88 hxxp://www.kanpianjs[.]top/dy/home.js
89 hxxp://www.ournet-analytics[.]com/top20md.js
90 hxxp://www.rarstats[.]com/piwik.js
91 hxxp://www.seo101[.]net/apntrack.js
92 hxxp://www.spartan-ntv[.]com/tag/pera/nat.js
93 hxxp://www.takoashi[.]net/js/ConvertTree.js
94 hxxp://www.takoashi[.]net/js/CreateCommentsTree.js
95 hxxp://www.takoashi[.]net/js/CreateTrackBacksTree.js
96 hxxp://www.takoashi[.]net/js/CreateCategoryTree.js
97 hxxp://www.yys1982[.]com/468.js
98 hxxp://yourmsrp[.]com/piwik//piwik.js
99 hxxp://zirve100[.]com/CounterV4.js
100 hxxp://s.orange81safe[.]com/scr1_wrp.js
101 hxxp://stat.botthumb[.]com/piwik.js
102 hxxp://cdn.jquery[.]tools/latest.min.js
103 hxxp://js.sn00[.]net/00/17/93.js
104 hxxp://cleantds[.]in/coupe.php
105 hxxp://w5983.lb.wa-track[.]com/wa.js
106 hxxp://www.andrewandjack[.]com/untitledthemes/kinley/lite.js
107 hxxp://da.adsvcs[.]com/adsvcs/adsvcs.js
108 hxxp://st.stadsvc[.]com/stadsvc/stadsvc.js

 

以上 

 

 

更新履歴
2019年1月26日 初版作成

 

 

SEOポイズニングの手法を使用した偽ECサイトについて

 

 

 

はじめに

 

 

 

今年3月、リクルートテクノロジーズ社が偽サイトへの誘導を目的としたSEOポイズニングに関する記事を公開しました。

 

 

recruit-tech.co.jp

 

 

脆弱性を突くなどして他のサイトに検索エンジン(Google等)のクローラのみがアクセスできるページを不正に設置し、このページを踏み台として攻撃者が運用する偽サイトにユーザを誘導しようとする試みに関する記事です。

 

同様の試みは、現在も活発に行われています。

 

本記事では、SEOポイズニングの手法を使用した偽ECサイトに関して、現時点で確認できていることを纏めてみたいと思います。

 

 

SEOポイズニングの手法について

 

 

ECサイトへの踏み台として不正に設置されるページは、日本国内で一般的に認知されている組織のWebサイトをコピーしたもののようです。

 

検索エンジンで、このようなWebサイトのCopyright部分をキーワードとして検索すると、怪しげなページが山ほど出てきます。

 

例えば検察庁の公式サイトには、

"Copyright (C) Public Prosecutors Office. All Rights Reserved."

という記載があります。

 

f:id:tiketiketikeke:20180729170455p:plain

 

この部分をキーワードとして検索エンジンで検索すると、このような結果が表示されました。

 (検察庁ドメインである"kensatsu.go.jp"は検索結果から除外しています)

 

f:id:tiketiketikeke:20180729173211p:plain

 

 

さまざまな商品を取り扱ったページが検索結果として表示されています。

いずれも検察庁のCopyright表記が含まれています。

 

続いて、日本銀行の公式サイトのCopyright部分をキーワードとして同じような検索を行ってみます。

 

f:id:tiketiketikeke:20180729175100p:plain

 

 

検察庁と同様、商品を紹介するようなページが検索結果として表示されています。

 

これらのページに実際にアクセスしてみると、

 

 

f:id:tiketiketikeke:20180729180032p:plain

 

f:id:tiketiketikeke:20180729180050p:plain

 

f:id:tiketiketikeke:20180729180100p:plain

 

f:id:tiketiketikeke:20180729180112p:plain

 

 

文言が微妙に異なりますが、同じような造りのサイトに誘導されます。

 

ここでは、オレンジ色を主体としたサイトのキャプチャを記載しましたが、他にも赤色や紫色を主体としたサイトも存在します。

 (会社概要に記載された情報は公開情報であるため、マスキングは行いませんでした。)

 

先ほど記載した検察庁のCopyright部分をキーワードとして検索した結果の中で、気になる文言がありました。

 

{yahoojp}jnice01-yyp07-wl-zd

 

 という文言です。

 

この文言をキーワードにして検索してみます。

 

f:id:tiketiketikeke:20180729183632p:plain

 

このキーワードで検索を行うと、420万件以上のページがリストアップされました。

いずれも、商品を紹介するページに誘導するものに見えます。

 

これらの商品紹介ページのGoogleキャッシュを見てみます。

 

とある商品紹介ページのGoogleキャッシュです。 

 

 

f:id:tiketiketikeke:20180729190007p:plain

 

 

f:id:tiketiketikeke:20180729190445p:plain

 

 

 

ページ下部に、

"Copyright c TOYOTA MOTOR HOKKADO.INC. All Rights Reserved."

という記載があります。

 

 

確認したところ、このCopyright表記は、トヨタ自動車北海道株式会社のWebサイトに記載されているものと同じでした。

 

 

f:id:tiketiketikeke:20180729190734p:plain

 

f:id:tiketiketikeke:20180729191404p:plain

 

 

 

どうやら、既存の正規のWebサイトに商品紹介の文言を追記したWebページを作成し、ユーザエージェントが検索エンジンのクローラ であった場合のみ、このページを応答として返却しているようです。

 

 

正しい日本語で記載されたWebページを模倣することで、SEOの効果を狙ったものだと思われます。

 

 

偽ECサイトの正体

 

 

このようなSEOポイズニングの手法により誘導されるサイトを確認したところ、いずれもCloudFlare配下に存在しており、その実態を確認することが困難です。

 

そこで、偽ECサイトの自動返信メールのヘッダ情報から正体を見てみたいと思います。

 

自動返信メールの送信元は、

 

<hiramotoshin@gmail.com>

 

でした。

 

このメールアドレスは、偽ECサイトの会社概要のメールアドレスと一致しています。

 

そして、初っ端のReceived: ヘッダを見ると、

 

Received: from www.legendzhgb.top (mail1.aipaltn.info. [192.187.114.90])

 

とありました。

 

偽サイトとして表に出ているFQDN(www.legendzhgb.top)は、mail1.aipaltn.infoというホストからメールを送信しています。

このメールは、GmailSMTPサーバに対してリレーしていることが確認できています。

 

 

Whoisで確認したところ、偽サイトの表のFQDNはCloudFlare配下にあり、オリジンサーバのIPアドレスは確認できませんでした。

 

そして、当該ドメインの所有者には日本人と思わしき氏名がありました。

 

f:id:tiketiketikeke:20180729193037p:plain

 

 

続いて、mail1.aipaltn.info. [192.187.114.90]) についてです。

 

このサーバは、Cloudflareの裏に隠れている偽ECサイトの正体であると思われます。

 

このドメインWhois情報を確認すると、ここにも日本人と思わしき氏名が現れました。

 

f:id:tiketiketikeke:20180729210242p:plain

 

 

 

この登録者情報には複数のドメインが紐付けられています。

 

ifulpicy.info

imnontn.info

lapfion.info

lhamibn.info

ljojytn.info

ulkimgn.info

utifugn.info

 

実際に、偽ECサイトの正体と思わしきサイトにアクセスしてみます。

 

 

f:id:tiketiketikeke:20180729210735p:plain

 

 

 

もろに中国語ですね。

 

このサーバに対して、CloudFlareに守られている表サイトのFQDNをhostヘッダに設定したHTTPリクエストを送信すると、偽ECサイトのコンテンツが応答として返却されました。

 

 

CloudFlareの裏に隠れているオリジンサイトは、現状1サイト(mail1.aipaltn.info)のみが稼働しています。

その他のサイトは名前解決が不能な状態でした。

 

 

 

またまた無理やりまとめ

 

 

偽サイトはCloudFlareで隠蔽しながら、自動返信メールでオリジンのFQDNを晒すという、間抜けな構成が明らかになりました。

 

商品名などを使用した通常のキーワード検索ではこれら偽サイトが上位に表示されることがないことから、日々サイト改竄を行い踏み台ページを設置している割には、SEOの効果が現れているとは言い難い状況です。

 

あまりに稚拙な造りであるため、何か特別な意味をもってこの偽サイトが運用されているのではないかとも思えてきます。

 

何れにしても、冒頭に掲載したフォーマットのサイトにたどり着いた場合は、即刻立ち去るのが賢明だと思われます。

 

 

以上

 

 

2018年7月29日 初版作成                                                                             

 

東京地方検察庁の偽サイトを使用した特殊詐欺について

 

 

 

はじめに

 

 

 

2018年2月、東京地方検察庁の偽サイトを使用した特殊詐欺事件が各メディアで報じられました。

 

 

www.itmedia.co.jp


 

 

その後も同様の手口により金銭が窃取される事案が全国各地で発生しています。

ニュース記事などから入手可能な事案は以下の通りです。

 

発生日付 発生場所 被害者 被害額 ソース
2018年1月29日 ~ 2月13日 東京都内 30~40代の女性4人 約390万円 冒頭の記事
2018年3月 埼玉県所沢市 41歳の女性 350万円 ※1
2018年3月 広島県廿日市市 30代の女性 不明

※2

2018年4月25日 埼玉県三郷市 33歳の女性 146万円 ※1
2018年5月 鹿児島県内 女性 数十万円 ※3
2018年5月25日 愛媛県伊方町 30代女性 100万円 ※4
2018年6月4日 長崎県長崎市 30代女性 50万円 ※5
2018年6月15日 静岡県沼津市 30代女性 約140万円 ※6
2018年6月25日 青森県八戸市 30代女性 約100万円 ※7
2018年7月17日 山形県山形市 30代女性 約100万円 ※8
2018年11月30日 埼玉県和光市 38歳の女性 約199万円 ※9
2019年3月18日 愛知県名古屋市中区 30代女性 148万円 ※10
2019年4月10日 福岡県福岡市早良区 43歳の女性 100万円 ※11
2019年5月8日 山梨県笛吹市 30代女性 50万円 ※12

 

※1

www.asahi.com

 

※2

https://www.com-net2.city.hiroshima.jp/sagotani/%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B/%E3%81%BE%E3%81%A1%E3%81%AE%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B/?action=common_download_main&upload_id=1757

 

※3

https://www.city.satsumasendai.lg.jp/www/contents/1508631040318/files/3.pdf

 

※4

www.sankei.com

 

※5

www.asahi.com

 

※6

www.chunichi.co.jp

 

※7

www.gaccom.jp

 

※8

www.gaccom.jp

 

※9

www.saitama-np.co.jp

 

※10

 

tokai-tv.com

 

※11

www.nishinippon.co.jp

 

※12

www3.nhk.or.jp

 

 

本記事では、東京地方検察庁の偽サイトを使用した特殊詐欺に関して現時点で確認できていることをまとめてみたいと思います。

 

 

 

東京地方検察庁の偽サイトについて

 

 

 

一連の特殊詐欺事件で使用されている東京地方検察庁の偽サイトは以下のような外観を持ちます。

 

f:id:tiketiketikeke:20180701231534p:plain

 

 

 一見すると本物のサイトと見分けがつきませんが、以下の2か所が本物サイトには存在しません。

 

 

一つ目はページ下部の[事件内容]リンク。

 

 

f:id:tiketiketikeke:20180701232324p:plain

 

 

もう一つは画面右上の[調査中事件]リンクです。

 

f:id:tiketiketikeke:20180701232754p:plain

 

 

 

[事件内容]リンクをクリックすると、架空のマネーロンダリング事件の内容を記載したPDFファイルがダウンロードされます。

 

 

 

f:id:tiketiketikeke:20190513191004p:plain

 

 

上記画像は 2019年5月13日時点の最新版であり、以下の通り過去何度も更新されています。

 

日付 容疑者氏名(年齢)
2018年2月16日 佐々木 一(37)
2018年4月26日 高橋 誠(37)
2018年6月18日 今井 優(37)
2018年8月24日 田中 司(37)
2019年2月11日 川本 優希(37)
2019年2月11日 伊藤 真澄(37)
2019年5月2日 米田 優希(37)

 

 

 

[調査中事件]リンクをクリックすると、今度は氏名と事件番号を入力させるフォームが登場します。

 

 

f:id:tiketiketikeke:20180702230926p:plain

 

 

この入力フォームには適当な文字を入れたとしてもエラーが表示され、次に進むことができません。

 

ソースコードを見てみると、次に進むためのヒントがあります。

 

 

f:id:tiketiketikeke:20180702231713p:plain

 

 

入力値を検証するための json ファイルが存在し、当該ファイルに定義された氏名と事件番号が入力値と一致する場合のみ、次の画面に遷移できるという仕掛けになっているようです。

 

 

json ファイル (../../data/source.json) には以下のような内容が定義されています。

※ 一部マスクしています。

 

 

f:id:tiketiketikeke:20180702232910p:plain

 

 

ここで定義された、姓(lastname)、名(firstname)、事件番号(fhNum)を入力することで、先に進むことができます。

※ 確認する限り、事件番号は固定値(011046381849)で、姓名はいずれもUnicodeエスケープシーケンスで表現されています。

 

で、先に進むと、東京地方裁判所を模したハンコが押された”通達事項”なるページの登場です。

 

 

 

f:id:tiketiketikeke:20180702234002p:plain

 

 

 

参考人の欄に、前頁で入力した氏名が表示される仕掛けになっています。

捜査に協力せよ、他言無用、正当な財産を所有することを証明せよ、と記載されています。

 

 

犯行の手口について

 

 

このような偽サイトを用意した上で、犯行グループは電話口で被害者を偽サイトに誘導し、フォームへの入力を促し、偽物の裁判所の文書を提示します。

被害者の口座が事件に使用されている可能性があり、口座凍結を回避するためには金融庁の口座に資金を移動することでその正当性を確認する必要がある、という何とも怪しげな文句で被害者に銀行口座の操作を実行させるようです。

 

 

実害には至らなかったものの、同様の手口に遭遇された方のブログが公開されています。

 

 

ameblo.jp

 

 

 犯行グループは、『警視庁捜査一課』を名乗って、電話口でIPアドレスを伝えて偽サイトに誘導するようです。

 

(2018年秋以降は『警視庁捜査二課』を名乗っているようです。)

 

 

(2019/3/20 追記)

 

そして、犯人との電話でのやり取りを文字に起こして公開してくれている方もいました。

(これは面白い!)

sake.pupu.jp

 

 (2019/3/20 追記終わり)

 

 

さらにTwitterではこんなツイートもありました。

 

 

 

 

 

無理やり駆け足でまとめ

 

この偽サイトは常時公開されている訳ではなく、サイトを閉じた状態で前述の json ファイルを更新し、偽サイトをオープンな状態にした上で架電するという段取りを踏んでいるように見えます。

サイトが開いているのは、平日の午前11時~午後1時の時間帯が多いようです。

 

前述の報道内容から、ターゲットは30代~40代の女性であり、犯行グループはターゲットの氏名と連絡先を把握した上で攻撃を仕掛けてくるように見受けられます。

 

偽サイトのIPアドレスは時折変更されるようで、監視の目を掻い潜ろうとしているかのように見えます。

これまで以下のIPアドレスで公開されていた形跡が確認できています。

 

174.139.183.242
67.229.156.106
67.229.62.12
67.198.226.27
67.198.226.26
98.126.80.229
174.139.79.218
174.139.79.219
174.139.79.220
174.139.79.221
174.139.79.222
67.198.169.186
67.198.169.187
67.198.169.188
67.198.169.189
67.198.169.190
98.126.9.218
98.126.9.219
98.126.9.220
98.126.9.221
98.126.9.222
98.126.24.146
98.126.24.147
98.126.24.148
98.126.24.149
98.126.24.150
174.139.100.66
174.139.100.69
174.139.100.70
98.126.74.106 (2019年5月現在活動中)
98.126.74.107 (2019年5月現在活動中)
98.126.74.108 (2019年5月現在活動中)
98.126.74.109 (2019年5月現在活動中)
98.126.74.110 (2019年5月現在活動中)

 

 

 

何れも AS35908(Krypt Technologies) 配下のIPアドレスです。

 

 

(2019/3/12 追記)

 

2019年3月12日現在、新たに以下の5件のIPアドレス東京地方検察庁の偽サイトが稼働していることが確認できました。

 

98.126.24.146
98.126.24.147
98.126.24.148
98.126.24.149
98.126.24.150

 

2018年2月の時点で、それまで活動中であった偽サイトが全てメンテナンス中のステータスとなりましたが、その際の状況を記載しておきます。

 

メンテナンス中のサイトにアクセスすると、以下の画面が表示されます。

 

 

f:id:tiketiketikeke:20190218235414p:plain

 

 

さらに、通達事項のページにアクセスすると、ファイルが存在しないというエラー画面が表示されます。

 

 

f:id:tiketiketikeke:20190218235520p:plain

 

一旦は沈静化したと思われましたが、新たな偽サイトが稼働を始めたことで、活動が再開する可能性があります。

また、これまでは平日日中帯にのみ偽サイトが稼働していましたが、2019年3月3日現在は日曜日の16時台に偽サイトが稼働していることが確認できたため、なりすまし電話を行う時間帯も変化する可能性があります。

引き続きご注意ください。

 

 

 (2019/3/12追記 終り)

 

  

これだけは憶えておきましょう

 

 

『050』番号からの『警視庁捜査一課』もしくは『警視庁捜査二課』を名乗る電話は詐欺です。

 

ハンコ付きのWebページには何の効力もありません。

 

電話で人の口座を操作するなんぞ、失礼極まりありません。

 

知らない人からの電話は疑ってかかりましょう。

 

 

その他気になること(メモ)

 

 

本記事で取り上げた東京地方検察庁の偽サイトには、少し違和感を覚える特徴があります。

そのような点をメモとして残しておきます。

 

1. ルートディレクトリにアクセスした際に応答に含まれるmeta refreshのコメント

 

偽サイトのルートディレクトリにアクセスすると、以下の応答が返ってきます。

 

f:id:tiketiketikeke:20180708180818p:plain

 

これにより、被害者にIPアドレスのみでアクセスさせ、偽サイトが存在するディレクトリに誘導するということを行っているようです。

 

気になるのは、metaタグの直前の中国語のコメントです。

この中国語は「以下の方法で他のページに移動」 という意味で、中国語で記載された初心者向けのHTML入門サイトでよく見るコメントです。

中国語を理解する人物が、うっかりコメント込みでコピペした結果とも考えられます。

 

 

2. 架空の事件を記載したPDFファイルのタイムスタンプ
 

架空のマネーロンダリング事件の内容を記載したPDFファイルは何れもWPS Officeで作成されているようです。

作成日付を確認すると、2018年6月版がGMT+4、2018年4月版がGMT+5の日時となっています。

 

このタイムゾーンの違いは、国外で作成されたものである可能性を感じさせます。

 

 

最後に

 

ザッと駆け足で書いたため、読みづらい点、まとまっていない点が多々あるかと思います。ご容赦ください。

 

また、本記事に記載した情報はTwitterで以下の方々とのやり取りの中で収集したものです。心より感謝致します。

 

@CheenaBlog
@NaomiSuzuki_
@58_158_177_102
@v_avenger
@catnap707
@tadmaddad

 

 

以上 

 

 

更新履歴
2018年7月3日 初版作成
2018年7月8日 事件一覧の追加、その他気になること(メモ)の追加、謝辞追加、その他文言修正。
2018年7月29日 事件一覧を更新。
2018年9月8日 リンク切れの修正、事件内容PDFの更新。
2018年10月22日 偽サイトのIPアドレスを更新。
2018年10月31日 偽サイトのIPアドレスを更新。
2018年12月14日 事件一覧を更新、偽サイトのIPアドレスを更新。
2019年2月18日 2018年12月時点でアクティブだった5IPアドレスがメンテナンス中のステータスになったことを追記。
2019年3月3日 偽サイトのIPアドレスを更新。
2019年3月12日 偽サイトのIPアドレスを更新。
2019年3月20日 事件一覧の追加、@sakefrake さんのブログを追加。
2019年4月12日 事件一覧を更新。
2019年5月13日 事件一覧の追加、偽サイトIPアドレスの更新、謝辞追加、その他文言修正。