金融機関を装ったフィッシングについて
はじめに
2019年8月以降、金融機関を装ったフィッシングによるインターネットバンキングの不正送金が急増しています。
11月の不正送金発生件数が573件、被害額が約7億7,600万円と、2012年以来最悪を記録したことを受けて、警察庁 サイバー犯罪対策プロジェクトが12月19日に注意喚起を公開しました。
記事中の不正送金事犯発生状況のグラフによると、8月に前月の倍の被害額、被害件数を記録した後、9月の1カ月間で昨年1年間に匹敵する被害額(4億円超)を記録するなど、ここ数カ月で急激に被害が拡大したことがわかります。
8月末以降、少なくとも6グループが国内の金融機関を装ったフィッシングサイトを手掛けていたことが確認できています。
本記事では、各グループの概要を示すとともに、8月~12月の期間において同種の犯行を継続的に手掛けていた3グループについて、その特徴を見ていきたいと思います。
なお、8月末から12月28日までの期間で観測された470件程度のフィッシングサイトについて、ドメイン、IPアドレス(CNAMEレコード)、ターゲットとなった金融機関、グループ名を本記事の文末に記載しています。
参考情報としてご確認頂ければと思います。
各グループの概要
先ずは、各グループの概要を見ていきたいと思います。
グループA
スマートフォンユーザのみをターゲットとし、SMSからフィッシングサイトに誘導する。
1サーバ上で複数金融機関のフィッシングサイトを公開し、時折内容が変わるPC用のカモフラージュ画面を使用する点が特徴。
これまでターゲットとなった銀行:
- 三井住友銀行
- 三菱UFJ銀行
- みずほ銀行
- ゆうちょ銀行
- ジャパンネット銀行
- イオン銀行
- 楽天銀行
- GMOあおぞらネット銀行
- 住信SBIネット銀行
- 京都銀行
- りそな銀行
- 埼玉りそな銀行
- 関西みらい銀行
- 福岡銀行
- 琉球銀行
- 沖縄銀行
- 北海道銀行
- 池田泉州銀行
- 紀陽銀行
- 但馬銀行
- 南都銀行
- 尼崎信用金庫
- 大阪信用金庫
- 大阪シティ信用金庫
- 北おおさか信用金庫
- きのくに信用金庫
- 京都信用金庫
- 京都中央信用金庫
- 滋賀中央信用金庫
- 大和信用金庫
フィッシングサイトの外観の一例:
グループB
メール、SMSからフィッシングサイトに誘導する。
スマートフォンユーザのみをターゲットとしており、PC用のカモフラージュ画面を使用。
フィッシングサイトを複数サーバに配置し、それらのサーバを隠ぺいする目的でリバースプロキシを使用する点が特徴。
9月後半に初めて観測され、その後継続的に活動を行っていたものの、12月5日頃から金融機関を騙ったフィッシングの活動は休止中。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
グループC
PCユーザ、スマートフォンユーザ双方をターゲットとし、メールからフィッシングサイトに誘導する。
今回の不正送金急増以前(3月頃)からゆうちょ銀行を装ったフィッシングを手掛けており、8月末に一旦終息したものの、10月半ばから活動を再開中。
ThinkPHPのエラー画面とAESによる暗号化でコンテンツの難読化を図る点が特徴。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
グループD
SMSからフィッシングサイトに誘導する。
キャリア決済やカード情報の詐取を手掛けていたグループが10月上旬に一時的に銀行フィッシングを仕掛けていたものと思われる。
後述するグループFと共通点あり。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
グループE
フィッシングサイトへの誘導手段は未確認。
サイト閲覧時に「お待ちください...」というメッセージを表示する点が特徴。
11/22~12/4の期間にフィッシングサイトを観測。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
グループF
佐川急便をテーマとしたAndroidマルウェアに感染した端末をフィッシングサイトに誘導するものと思われる。
グループDが使用していたフィッシングサイト、インフラを流用。
12月17日頃から観測。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
次に、各グループの最新の動向についてまとめてみます。
現在の銀行フィッシングの状況について
12月13日に三井住友銀行から一連のフィッシングに対する対抗措置が開始されました。
これは、ワンタームカード有効化後の利用開始を翌日1時まで保留するというものです。
有効な対抗措置だったためか、これ以降暫くは三井住友銀行をターゲットとしたフィッシングをほとんど見かけませんでした。
グループAは、12月12日からの一週間で、福岡銀行、琉球銀行、沖縄銀行、北海道銀行といった地方銀行をターゲットしたフィッシングを展開した後、12月19日にいったん活動を終えました。そして、12月25日にdアカウント、Amazon、楽天、Yahoo!ジャパンといった他業種のブランドを悪用したランディングページから銀行フィッシングサイトに誘導する手法で再び活動を再開しています。
グループCは引き続き活動を継続しており、12月28にも三菱UFJ銀行のフィッシングサイトに誘導するメールがばら撒かれています。
グループFは、Androidマルウェア MoqHao に感染したAndroid端末からの誘導を狙ったものと思われますが、複数の金融機関を装ったフィッシングサイトの稼働が時折観測されています。
9月後半から活発に活動していたグループBは12月5日を最後に活動を休止しており、グループD、グループEは一時的な活動のみで現在では新たな活動を見ることはありません。
不正送金被害が急増した期間中、特に活発な動きを見せていたグループA、グループBと合わせて、直近で継続した活動が観測されているグループCについて詳細を見ていきたいと思います。
各グループ詳細
(カッコ()内は筆者の勝手な呼称)
グループA (yahulogin (雅虎login) )
期間中最も活発な活動を行っていたのがグループAです。
そして、後発組の参入が9月末から始まったことを考えると、9月に発生した被害額、4億円の大半はこのグループに流れたものと思われます。
このグループは、元々クレジットカード情報の詐取やキャリア決済の悪用を狙ったフィッシングを国内で手掛けていました。
特にクレジットカード情報を狙ったフィッシングサイトには "セキュリティ安全手続きます" という不思議なキーワードが度々観測されています。
その当時のキャプチャをいくつかご紹介します。
彼らが最初に手掛けたと思われる三菱UFJ銀行のスキャン結果がurlscan.io に残っています。
スキャン日時は8月23日となっています。
一連の不正送金の急増は8月後半から始まったと推測できます。
彼らはその後複数の金融機関を騙ったフィッシングを手掛け、これまでに30もの金融機関を騙った活動が確認されています。
彼らが仕掛けるフィッシングサイトには、同一サーバ上で複数ブランドを稼働するという傾向がありますが、各サイトの画像やCSS、jsなどのリソースを格納するフォルダ名には /static/yahulogin という特徴的な名称が使われていました。
10月13日頃には、トップページにdアカウントの偽ページを配置し、本人認証と称してユーザが口座を所有する金融機関を選択させた上で閲覧者を該当のフィッシングサイトに誘導するという手法が用いられました。
NTTドコモを模したドメインのサブディレクトリ配下に各銀行フィッシングサイトを格納する構成でしたが、トップのdアカウントのフィッシングサイトは、このグループが銀行フィッシングを手掛ける前に使用していたものでした。
実際のディレクトリ構成は @KesaGataMe0 さんのツイートをご覧ください。
ID/PW/NW暗証番号入力後の各金融機関の口座登録サイト情報です。
— KesagataMe (@KesaGataMe0) 2019年10月16日
docomemo[.]com/japannetbank.co.jp →ジャパンネット
docomemo[.]com/bk.mufg.jp →三菱UFJ
docomemo[.]com/smbc.co.jp →三井住友
docomemo[.]com/jp-bank.japanpost.jp →ゆうちょ #Phishing #MUFG #SMBC #ゆうちょ銀行 pic.twitter.com/BwG8VtoRQI
何らかの理由により、この方式は数日で姿を消しました。
その後、yahuloginの文言が使用されることはなくなり、銀行名を示すディレクトリ名が使用されるようになりました。
彼らのもう一つの特徴が、PC用のカモフラージュ画面の存在です。
彼らはスマートフォンユーザのみをターゲットにしており、PCユーザは対象外でした。
HTTPリクエストのUserAgentヘッダを検査し、ターゲットデバイスに該当しない場合にはカモフラージュ画面を表示します。
このカモフラージュ画面はこれまで何度か変更されています。
銀行フィッシングの現状についての説明で触れた通り、他業種のブランド(dアカウント、Amazon、楽天、Yahoo!ジャパン)を悪用したランディングページから金融機関のフィッシングサイトに誘導する手法が12月25日に再度観測されました。
これらのランディングページで認証情報を入力後にログインボタンを押下すると、金融機関を選択する画面に遷移します。
本人認証と称して、ユーザが口座を持つ金融機関を選択させ、それぞれのフィッシングページに誘導する流れです。
このような異業種のブランドのランディングページを設置するケースは10月にも見られましたが、12月の構成ではランディングページでユーザが入力した認証情報が一切活用されないことが確認できました。
ランディングページでユーザに認証情報を入力させるものの、金融機関選択画面をHTTP GETで取得するため、入力した情報は捨てられます。
ランディングページで入力される情報には興味を示さず、不正送金に必要な情報のみを狙っていることがわかります。
また、12月25日の構成変更では信用金庫を含む新たな金融機関のフィッシングサイトの存在が確認されていますが、これらは何れも関西の金融機関であることが判明しています。
先ほど触れた通り、12月12日以降、福岡、沖縄、北海道といった地方を対象としたフィッシングが展開されていましたが、SNSでの反応を見る限り、異なる地域のユーザに対して誤ってSMSが配信された形跡がなく、フィッシングのターゲットとなった金融機関が存在する地域のユーザに対してピンポイントでSMSが配信されたものと思われます。
グループAの手元には住所と携帯電話番号がセットになった情報があり、地域を絞ったSMSが配信ができる状況にあるのではないかと推測します。
今回関西の金融機関がターゲットとなっているため、該当の地域にお住いの方は十分にご注意頂ければと思います。
ここには書ききれなかったグループAの詳細情報は以下のTwitterスレッドをご参照下さい。
過去に SMBC TypeA の系統の銀行 #フィッシングサイト に関してチョロチョロとツイートしてきましたが、今後はこのスレッドに統一します。
— tike (@tiketiketikeke) 2019年12月9日
過去のスレッドをいくつか。
9月分https://t.co/EHYGprw6uM
グループB (ceshi (测试) )
9月末から12月上旬にかけてグループAに次いで活発だったのがグループBです。
グループBは9月25日に初めて観測されました。
グループAと同様、三井住友銀行のフィッシングを手掛けていましたが、フィッシングサイトに広告表示が存在しないなど、グループAとは異なる画面構成だったことから、別グループによる犯行とみなされました。
このグループの特徴を示すものの一つにceshiというリソースパスがあります。
二つ目の特徴は、入力フォームの各要素に設定された名称です。
"g_zhanghao" "g_wangyin"といった中国語のピンイン表記のような文字列が設定されています。
グループAと同様、グループBもスマートフォンユーザのみをターゲットとしていました。
PCブラウザからアクセスした場合に表示されるカモフラージュ画面も彼らの特徴を示すものとなっています。
グループBの最大の特徴は、フィッシングサイトが稼働するインフラです。
リバースプロキシを配置することで、コンテンツを配置するWebサーバ(オリジンサーバ)を隠ぺいするという構成を取ります。
このインフラ構成は、9月末の初観測以降何度か変更が加えられていますが、次にこのインフラ構成の変遷について触れたいと思います。
グループBが初観測された9月末の時点では、cdns.vip というドメインのサブドメインとしてリバースプロキシを複数台配置し、Krypt Technologies(AS35908) 配下のオリジンサーバを使用する構成でした。
複数台のリバースプロキシはDNSラウンドロビンによる冗長構成を取ります。
このリバースプロキシに直接アクセスすると、このような画面が表示されます。
画面上には Fikker/Webcache/3.7.6 という文字列が見て取れます。
Fikkerという中国製のリバースプロキシ/Webキャッシュ用のソフトウェアが使用されていたものと思われます。
前述したように、フィッシングサイトの入力フォームの要素には特徴的な名称が使用されていました。
この名称を元に censys.io を検索すると、いくつかのオリジンサーバを見つけることができました。
その一つがこちらです。
オリジンサーバにはSSLサーバ証明書が格納されており、httpsでアクセスするとフィッシングサイトのドメインと同名のコモンネームが設定されたサーバ証明書を確認することができます。
10月28日頃からこの構成を観測することがなくなり、オリジンサーバを直接公開するという構成変更が行われました。
SMBC #フィッシングサイト TypeB (広告なし) ですが、本日観測分からリバースプロキシを挟まず、オリジンサーバを直接公開するという構成変更を行ったようです。
— tike (@tiketiketikeke) 2019年10月28日
smbctd[.]com
98.126.219[.]35 AS35908 (Krypt Technologies)
smcbta[.]com
67.198.189[.]36 AS35908 (Krypt Technologies) pic.twitter.com/p10aWeDd58
三井住友銀行のフィッシングサイト情報です。
— KesagataMe (@KesaGataMe0) 2019年11月4日
誘導メール/SMSにご注意ください。
smbcka[.]com
→67.198.189[.]178 #Phisihng #SMBC #三井住友銀行 #フィッシング pic.twitter.com/vyJgEK9MXS
11月半ばからは、香港のCDN事業者(di1cdn.com)のサービスを利用するようになります。
この構成でのオリジンサーバは CNSERVERSのサーバ群でした。
#Phishing Alert⚠
— Osumi, Yusuke😇 (@ozuma5119) 2019年11月17日
hxxps://smbcnscojp\.com/
IP: (CDN) www.123456\.com\.ywcdn\.net
47.88.229\.57,47.91.249\.219,
69.176.95\.159,116.213.40\.2,27.124.3\.148
Registrar:IANA ID 120 新网 Xin Net Technology,CN
https://t.co/hnUzhVmFL4
Brand: 三井住友銀行 Sumitomo Mitsui @smbc_midosuke pic.twitter.com/rSnGLHRS8e
この構成は1週間程度で姿を消しました。
その後、オリジンサーバとして使用していたCNSERVERS配下の複数のサーバをDNSラウンドロビンで直接公開したり、Cloudflareの利用を試みたり、複数のISPに跨った複数のリバースプロキシ (www[.]123456[.]com[.]ywcdn[.]net) を使用したりと、何度か構成変更が行われました。
グループBのインフラ構成の変遷を図示します。
複数のインフラが使用されていることから、筆者自身グループBの中には複数のアクターが存在するのではないかと考えていました。
時系列でインフラ構成の変遷を並べることで、複数のインフラ方式が並行して稼働することがほとんどなかったことがお分かり頂けると思います。
このことから、グループBは単一のアクターにより構成されている可能性が高いと思われます。
一部でフィッシングキットが出回っているという報道もなされていますが、現在では筆者はこの意見を否定的に捉えています。
ここには書ききれなかったグループBの詳細情報は以下のTwitterスレッドをご参照下さい。
Naomiさん(@NaomiSuzuki_)がツイートしたSMSから誘導される"広告なし"タイプのSMBCの #フィッシングサイト ですが、検知やテイクダウンを回避する仕掛けがあるようです。https://t.co/yOZZja5Bd0
— tike (@tiketiketikeke) 2019年9月25日
グループC (secret)
グループBの活動が終息する一方で、グループAと並んで現在でも活発に活動を行っているのがグループCです。
このグループCを特徴づけるのが、ソースの難読化です。
一見しただけでは処理内容が読み解けないよう難読化が行われていますが、この難読化を解く仕組みは /static/aes.js に揃っています。
コンテンツの復号を行うsecret()関数はこのような形で呼び出されています。
/static/aes.js の実装に従って復号すると、HTMLの出力が確認できます。
グループCが手掛けるフィッシングサイトのうち、三菱UFJ銀行、みずほ銀行では ルートディレクトリのindex.html からこの処理が実装されていますが、ジャパンネット銀行のフィッシングサイトではルートディレクトリでは同様の難読化が施されておらず、iframeタグで別ディレクトリ( /home )に配置した難読化コンテンツをロードするなど、若干の実装の違いがあるようです。
検知回避などの目的で難読化が行われているものと推測しますが、皮肉なことにこの取り組みにより自らの特徴を示す結果となっています。
もう一つ、グループCを特徴づけるものが ThinkPHP のエラー画面です。
意図的に存在しないコンテンツをリクエストすると、このようなThinkPHPのエラーが表示されます。
これもグループCを特徴づけるものとなっています。
ここには書ききれなかったグループCの詳細情報は以下のTwitterスレッドをご参照下さい。
MUFG 三菱UFJ銀行の #フィッシングサイト に誘導するメールが今朝ばら撒かれたようです。
— tike (@tiketiketikeke) 2019年11月4日
User-Agentを見て、スマホとPCで異なる偽サイトを表示します。
hxxps://www[.]hpe-bk-mufg-inun-jp[.]com/
103.217.225[.]63 AS135544 (Vanta Telecommunications Limited)https://t.co/15O38y8lFZ pic.twitter.com/sODn0JJFTG
まとめ
今回は、金融機関を装ったフィッシングを手掛ける各グループの特徴をまとめてみました。
ここ数年は各金融機関の対策が奏功したことによって不正送金の被害は年々縮小する傾向にありましたが、一連の犯行グループはどのようにして金融機関の対策をすり抜け、不正送金の急拡大をもたらしたのでしょうか。
@NaomiSuzuki_ さんが以下のツイートで答えを導き出しています。
3⃣ 当初は何をしているのか把握できなかったのですが、これはアプリにログインしてワンタイムパスワード機能を有効化する手続きをなぞったものでした。騙されて指示通りに操作すると、裏で仕掛け人がアプリを操作し、騙された利用者の口座を24時間いつでも自由に操作できるようにしてしまいます。 pic.twitter.com/tNJvjVQ8DO
— Naomi Suzuki (@NaomiSuzuki_) 2019年10月14日
インターネットバンキングの安全性を高める目的で各金融機関が導入するワンタイムパスワードアプリを乗っ取ることで、犯行グループが正々堂々と不正送金を行っているものと思われます。
ワンタイムパスワードアプリの有効化が行われるということは、これまで銀行アプリやソフトウェアトークン等を使ったことがないユーザが標的になっていることを示しています。
被害者は不正送金が発生したことをすぐに気づくことができず、暫く時間が経過した後に通帳記帳などのタイミングで被害が発覚するケースが多いのではないかと推測します。
年末のこの時期でも、金融機関を装ったSMSやメールが日々配信されています。
この記事をご覧いただいた皆様の中には、年末年始の帰省などで人に会う機会が増える方もいらっしゃるかと思います。
是非この機会に「金融機関を騙ったリンク付きのSMSやメールには気を付けましょう」という話を広めて頂ければと思います。
この記事を書くにあたって、日ごろよりフィッシングを追っている以下の方々の情報を参考にさせて頂きました。
いつもありがとうございます。
@NaomiSuzuki_
@KesaGataMe0
@ozuma5119
@taku888infinity
@d4k40
最後までご覧いただきありがとうございました。
以上
Appendix :IOC
8月末以降に観測されたフィッシングサイト
# | 観測日 | FQDN | IPアドレス(or CNAMEレコード) | 金融機関名 | 実行グループ |
1 | 2019/8/26 | bk[.]mufgtz[.]com | 51.79.66[.]216 | 三菱UFJ銀行 | グループA |
2 | 2019/8/26 | bk[.]mufgsp[.]com | 51.79.66[.]216 | 三菱UFJ銀行 | グループA |
3 | 2019/8/27 | bk[.]mufgsk[.]com | 51.79.66[.]216 | 三菱UFJ銀行 | グループA |
4 | 2019/8/27 | bk[.]idmufg[.]com | 51.79.66[.]216 | 三菱UFJ銀行 | グループA |
5 | 2019/8/27 | bk[.]tzsp-mufg[.]com | 51.79.66[.]216 | 三菱UFJ銀行 | グループA |
6 | 2019/8/28 | bk[.]sp-mufg[.]com | 51.79.66[.]216 | 三菱UFJ銀行 | グループA |
7 | 2019/8/28 | bk[.]spmufg[.]com | 51.79.66[.]216 | 三菱UFJ銀行 | グループA |
8 | 2019/8/30 | bk[.]sf-mufg[.]com | 51.79.66[.]216 | 三菱UFJ銀行 | グループA |
9 | 2019/9/1 | bk[.]spsmbc[.]com | 199.192.31[.]35 | 三井住友銀行 | グループA |
10 | 2019/9/1 | bk[.]spsmbc[.]jp | 199.192.31[.]35 | 三井住友銀行 | グループA |
11 | 2019/9/1 | bk[.]smbcsp[.]jp | 199.192.31[.]35 | 三井住友銀行 | グループA |
12 | 2019/9/2 | bk[.]idmufg[.]jp | 199.192.31[.]35 | 三菱UFJ銀行 | グループA |
13 | 2019/9/3 | bk[.]mysmbc[.]jp | 199.192.31[.]35 | 三井住友銀行 | グループA |
14 | 2019/9/3 | bk[.]spmufg[.]jp | 199.192.31[.]35 | 三菱UFJ銀行 | グループA |
15 | 2019/9/4 | bk[.]sp-mufg.jp | 133.18.205[.]163 | 三菱UFJ銀行 | グループA |
16 | 2019/9/4 | bk[.]sp-smbc.jp | 133.18.205[.]163 | 三井住友銀行 | グループA |
17 | 2019/9/5 | bk[.]smufg[.]jp | 199.192.29[.]152 | 三菱UFJ銀行 | グループA |
18 | 2019/9/5 | bk[.]ssmbc[.]jp | 199.192.29[.]152 | 三井住友銀行 | グループA |
19 | 2019/9/6 | bk[.]smbc-sp[.]jp | 199.192.28[.]131 | 三井住友銀行 | グループA |
20 | 2019/9/7 | bk[.]sbank-japan[.]jp | 199.192.28[.]131 | ゆうちょ銀行 | グループA |
21 | 2019/9/7 | bk[.]smbco[.]jp | 199.192.28[.]131 | 三井住友銀行 | グループA |
22 | 2019/9/7 | direct[.]smbco[.]jp | 199.192.28[.]131 | 三井住友銀行 | グループA |
23 | 2019/9/8 | direct[.]bankjapan[.]jp | 199.192.28[.]131 | ゆうちょ銀行 | グループA |
24 | 2019/9/8 | bk[.]smbcs[.]jp | 199.192.28[.]131 | 三井住友銀行 | グループA |
25 | 2019/9/9 | direct[.]pbank-japan[.]jp | 199.192.28[.]131 | ゆうちょ銀行 | グループA |
26 | 2019/9/9 | direct[.]smmbc[.]jp | 199.192.28[.]131 | 三井住友銀行 | グループA |
27 | 2019/9/10 | bk[.]banbk-japan[.]jp | 199.192.28[.]131 | ゆうちょ銀行 | グループA |
28 | 2019/9/10 | bk[.]smbbc[.]jp | 199.192.28[.]131 | 三井住友銀行 | グループA |
29 | 2019/9/13 | bk[.]smdc-sp[.]jp | 199.192.28[.]131 | 三井住友銀行 | グループA |
30 | 2019/9/17 | bk.spsmcc[.]com | 199.192.28[.]131 | 三井住友銀行 | グループA |
31 | 2019/9/18 | bk[.]spscmb[.]jp | 63.250.33[.]45 | 三井住友銀行 | グループA |
32 | 2019/9/18 | bk.spsmcb[.]com | 63.250.33[.]45 | 三井住友銀行 | グループA |
33 | 2019/9/19 | bk[.]usmbc[.]jp | 199.192.31[.]154 | 三井住友銀行 | グループA |
34 | 2019/9/19 | bk[.]sm-bc[.]jp | 162.213.250[.]66 | 三井住友銀行 | グループA |
35 | 2019/9/20 | my[.]japanpost-sp[.]jp | 63.250.33[.]95 | 三井住友銀行 | グループA |
36 | 2019/9/21 | sp[.]smcs[.]jp | 199.192.25[.]254 | 三井住友銀行 | グループA |
37 | 2019/9/21 | bank-smbc[.]jp | 199.192.25[.]254 | 三井住友銀行 | グループA |
38 | 2019/9/21 | sp[.]simbc[.]jp | 162.213.249[.]173 | 三井住友銀行 | グループA |
39 | 2019/9/21 | sp[.]smbcll[.]jp | 162.213.249[.]173 | 三井住友銀行 | グループA |
40 | 2019/9/23 | sk-smbc[.]jp | 192.64.116[.]91 | 三井住友銀行 | グループA |
41 | 2019/9/24 | smbcmo[.]jp | 192.64.116[.]91 | 三井住友銀行 | グループA |
42 | 2019/9/25 | scmbc[.]jp | 162.213.249[.]173 | 三井住友銀行 | グループA |
43 | 2019/9/25 | sp[.]smcbc[.]jp | 162.213.249[.]173 | 三井住友銀行 | グループA |
44 | 2019/9/25 | csmbc[.]jp | 199.192.31[.]16 | 三井住友銀行 | グループA |
45 | 2019/9/25 | cdsmbc[.]jp | 199.192.31[.]154 | 三井住友銀行 | グループA |
46 | 2019/9/26 | sdsmbc[.]jp | 198.54.112[.]92 | 三井住友銀行 | グループA |
47 | 2019/9/26 | m-smbc[.]jp | 198.54.112[.]92 | 三井住友銀行 | グループA |
48 | 2019/9/26 | smcb-co[.]jp | 198.54.112[.]86 | 三井住友銀行 | グループA |
49 | 2019/9/26 | csmb-cm[.]jp | 198.54.112[.]86 | 三井住友銀行 | グループA |
50 | 2019/9/27 | bk.scsmbc[.]com | 199.192.31[.]169 | 三井住友銀行 | グループA |
51 | 2019/9/27 | bk.smbc-no[.]jp | 199.192.31[.]169 | 三井住友銀行 | グループA |
52 | 2019/9/27 | bk.spsmbc[.]com | 199.192.31[.]169 | 三井住友銀行 | グループA |
53 | 2019/9/29 | smbc-id[.]com | 172.247.116[.]48 | 三井住友銀行 | グループA |
54 | 2019/9/29 | s.sasmbc[.]com | 192.64.114[.]173 | 三井住友銀行 | グループA |
55 | 2019/9/29 | jp-smbc[.]com | 192.64.114[.]84 | 三井住友銀行 | グループA |
56 | 2019/9/29 | smcdd[.]jp | 198.54.121[.]73 | 三井住友銀行 | グループA |
57 | 2019/9/29 | smbc-ic[.]com | 172.247.116[.]48 | 三井住友銀行 | グループA |
58 | 2019/9/29 | smdc-cm[.]com | 63.250.34[.]130 | 三井住友銀行 | グループA |
59 | 2019/10/1 | bk[.]ysmbc[.]com | 199.192.18[.]82 | 三井住友銀行 | グループA |
60 | 2019/10/2 | bk[.]snmbcc[.]com | 199.192.18[.]201 | 三井住友銀行 | グループA |
61 | 2019/10/2 | bk[.]smcbkc[.]com | 199.192.18[.]82 | 三井住友銀行 | グループA |
62 | 2019/10/2 | bk[.]smbc-s[.]com | 63.250.34[.]210 | 三井住友銀行 | グループA |
63 | 2019/10/2 | bk-smbc[.]com | 63.250.34[.]210 | 三井住友銀行 | グループA |
64 | 2019/10/2 | bk-smbcc[.]com | 63.250.34[.]210 | 三井住友銀行 | グループA |
65 | 2019/10/3 | smbc-my[.]com | 63.250.34[.]210 | 三井住友銀行 | グループA |
66 | 2019/10/3 | bk-smbcc[.]com | 63.250.34[.]210 | 三井住友銀行 | グループA |
67 | 2019/10/3 | smvcb-co[.]jp | 63.250.34[.]212 | 三井住友銀行 | グループA |
68 | 2019/10/4 | bk[.]snm-bc[.]com | 63.250.34[.]112 | 三井住友銀行 | グループA |
69 | 2019/10/4 | bk[.]smbc-o[.]com | 199.192.27[.]81 | 三井住友銀行 | グループA |
70 | 2019/10/4 | sp[.]smsd[.]jp | 133.130.116[.]196 | 三井住友銀行 | グループA |
71 | 2019/10/4 | sbc-mc[.]com | 192.64.118[.]148 | 三井住友銀行 | グループA |
72 | 2019/10/4 | bk[.]m-smbc[.]com | 192.64.118[.]248 | 三井住友銀行 | グループA |
73 | 2019/10/4 | bk[.]a-smbc[.]com | 192.64.118[.]248 | 三井住友銀行 | グループA |
74 | 2019/10/4 | sp-smbc[.]com | 162.213.250[.]66 | 三井住友銀行 | グループA |
75 | 2019/10/4 | sm-smbc[.]jp | 163.44.168[.]160 | 三井住友銀行 | グループA |
76 | 2019/10/5 | smdcd[.]jp | 150.95.146[.]185 | 三井住友銀行 | グループA |
77 | 2019/10/5 | spsmbc-co[.]jp | 150.95.146[.]185 | 三井住友銀行 | グループA |
78 | 2019/10/5 | bk[.]smcd-co[.]jp | 150.95.146[.]185 | 三井住友銀行 | グループA |
79 | 2019/10/5 | bc-smdc[.]jp | 150.95.191[.]0 | 三井住友銀行 | グループA |
80 | 2019/10/6 | c-smbc[.]jp | 150.95.129[.]67 | 三井住友銀行 | グループA |
81 | 2019/10/6 | bsmbc[.]jp | 150.95.129[.]67 | 三井住友銀行 | グループA |
82 | 2019/10/6 | spsmbc-co[.]jp | 150.95.146[.]185 | 三井住友銀行 | グループA |
83 | 2019/10/6 | bk[.]smcd-co[.]jp | 150.95.146[.]185 | 三井住友銀行 | グループA |
84 | 2019/10/6 | bk.spsmcd[.]jp | 150.95.173[.]110 | 三井住友銀行 | グループA |
85 | 2019/10/6 | smbcm[.]jp | 150.95.173[.]110 | 三井住友銀行 | グループA |
86 | 2019/10/7 | smbc-ie[.]com | 23.228.70[.]221 | 三井住友銀行 | グループA |
87 | 2019/10/7 | scbmns[.]com | 150.95.185[.]91 | 三井住友銀行 | グループA |
88 | 2019/10/8 | smbcd[.]jp | 133.130.109[.]68 | 三井住友銀行 | グループA |
89 | 2019/10/8 | scsmcb[.]jp | 150.95.185[.]91 | 三井住友銀行 | グループA |
90 | 2019/10/8 | sbsmbc[.]jp | 199.192.31[.]16 | 三井住友銀行 | グループA |
91 | 2019/10/8 | smbch-sp[.]jp | 199.192.31[.]154 | 三井住友銀行 | グループA |
92 | 2019/10/8 | scb-mn[.]com | 63.250.34[.]130 | 三井住友銀行 | グループA |
93 | 2019/10/8 | smsmbs[.]com | 63.250.34[.]130 | 三井住友銀行 | グループA |
94 | 2019/10/8 | smscn[.]jp | 63.250.34[.]130 | 三井住友銀行 | グループA |
95 | 2019/10/9 | msnc[.]jp | 63.250.34[.]130 | 三井住友銀行 | グループA |
96 | 2019/10/9 | snnbcc[.]com | 199.192.27[.]193 | 三井住友銀行 | グループA |
97 | 2019/10/9 | bk[.]smncbc[.]com | 199.192.26[.]49 | 三井住友銀行 | グループA |
98 | 2019/10/17 | snncbc[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
99 | 2019/10/17 | sncbcm[.]jp | 45.141.156[.]195 | 三井住友銀行 | グループA |
100 | 2019/10/17 | smqbc[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
101 | 2019/10/18 | smbcr[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
102 | 2019/10/18 | smbcbc[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
103 | 2019/10/18 | smbcbs[.]com | 202.182.98[.]81 | 三井住友銀行 | グループA |
104 | 2019/10/18 | smbcci[.]com | 202.182.98[.]81 | 三井住友銀行 | グループA |
105 | 2019/10/18 | japannbank[.]com | 45.141.156[.]195 | ジャパンネット銀行 | グループA |
106 | 2019/10/19 | smbcbm[.]com | 192.64.115[.]228 | 三井住友銀行 | グループA |
107 | 2019/10/19 | smbccm[.]com | 199.192.25[.]206 | 三井住友銀行 | グループA |
108 | 2019/10/20 | smbcyb[.]com | 133.18.172[.]202 | 三井住友銀行 | グループA |
109 | 2019/10/20 | smbcim[.]com | 192.64.115[.]194 | 三井住友銀行 | グループA |
110 | 2019/10/20 | mizuuho[.]com | 199.192.25[.]206 | みずほ銀行 | グループA |
111 | 2019/10/21 | smbcoc[.]com | 63.250.33[.]177 | 三井住友銀行 | グループA |
112 | 2019/10/22 | smbccb[.]com | 63.250.33[.]157 | 三井住友銀行 | グループA |
113 | 2019/10/22 | smbcnc[.]jp | 192.64.114[.]136 | 三井住友銀行 | グループA |
114 | 2019/10/23 | smbccv[.]jp | 199.192.18[.]83 | 三井住友銀行 | グループA |
115 | 2019/10/23 | ufj.smbccv.jp | 199.192.18[.]83 | 三菱UFJ銀行 | グループA |
116 | 2019/10/23 | cmufg[.]jp | 199.192.25[.]204 | 三菱UFJ銀行 | グループA |
117 | 2019/10/23 | cmufg[.]com | 199.192.25[.]204 | 三菱UFJ銀行 | グループA |
118 | 2019/10/23 | kbmufg[.]com | 63.250.33[.]142 | 三菱UFJ銀行 | グループA |
119 | 2019/10/23 | jappanbank[.]com | 63.250.33[.]142 | ジャパンネット銀行 | グループA |
120 | 2019/10/24 | upsmbc[.]com | 63.250.33[.]142 | 三井住友銀行 | グループA |
121 | 2019/10/24 | smbclo[.]com | 192.64.115[.]194 | 三井住友銀行 | グループA |
122 | 2019/10/25 | smbcil[.]com | 199.192.27[.]117 | 三井住友銀行 | グループA |
123 | 2019/10/25 | aeonban[.]com | 63.250.33[.]142 | イオン銀行 | グループA |
124 | 2019/10/26 | smbcog[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
125 | 2019/10/26 | mufgsk[.]com | 45.141.156[.]195 | 三菱UFJ銀行 | グループA |
126 | 2019/10/26 | aeonbam[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
127 | 2019/10/27 | smbcvc[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
128 | 2019/10/27 | aeonobank[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
129 | 2019/10/27 | japanpost[.]smbcvc[.]com | 45.141.156[.]195 | ゆうちょ銀行 | グループA |
130 | 2019/10/28 | smbclc[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
131 | 2019/10/28 | aeonnbank[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
132 | 2019/10/29 | smbcqc[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
133 | 2019/10/29 | aeobank[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
134 | 2019/10/29 | gmoazoa[.]com | 45.141.156[.]195 | GMOあおぞらネット銀行 | グループA |
135 | 2019/10/30 | smbckv[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
136 | 2019/10/30 | smbckc[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
137 | 2019/10/30 | smbcjl[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
138 | 2019/10/30 | aeobenk[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
139 | 2019/10/30 | aenbank[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
140 | 2019/10/31 | smbcdc[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
141 | 2019/10/31 | smbcbm[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
142 | 2019/10/31 | aenbauk[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
143 | 2019/11/1 | smbclm[.]com | 199.192.25[.]154 | 三井住友銀行 | グループA |
144 | 2019/11/4 | smbcuc[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
145 | 2019/11/4 | smbcbk[.]com | 199.192.28[.]83 | 三井住友銀行 | グループA |
146 | 2019/11/4 | smbckk[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
147 | 2019/11/4 | bkufg[.]com | 199.192.25[.]154 | 三菱UFJ銀行 | グループA |
148 | 2019/11/4 | aenbcuk[.]com | 199.192.25[.]154 | イオン銀行 | グループA |
149 | 2019/11/5 | smbcoc[.]com | 111.90.147[.]13 | 三井住友銀行 | グループA |
150 | 2019/11/5 | aenbank[.]com | 111.90.147[.]13 | イオン銀行 | グループA |
151 | 2019/11/6 | aeonbak[.]com | 111.90.147[.]13 | イオン銀行 | グループA |
152 | 2019/11/6 | aeobunk[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
153 | 2019/11/7 | smbcsc[.]com | 111.90.147[.]13 | 三井住友銀行 | グループA |
154 | 2019/11/7 | smbcsb[.]com | 111.90.147[.]13 | 三井住友銀行 | グループA |
155 | 2019/11/7 | bmufg[.]com | 111.90.147[.]13 | 三菱UFJ銀行 | グループA |
156 | 2019/11/7 | mufgb[.]com | 111.90.147[.]13 | 三菱UFJ銀行 | グループA |
157 | 2019/11/7 | japnbank[.]com | 111.90.147[.]13 | ジャパンネット銀行 | グループA |
158 | 2019/11/8 | smbcma[.]com | 111.90.147[.]13 | 三井住友銀行 | グループA |
159 | 2019/11/8 | smbcas[.]com | 111.90.147[.]13 | 三井住友銀行 | グループA |
160 | 2019/11/9 | smbczq[.]com | 111.90.147[.]13 | 三井住友銀行 | グループA |
161 | 2019/11/9 | smbcat[.]com | 111.90.147[.]13 | 三井住友銀行 | グループA |
162 | 2019/11/9 | smbcia[.]com | 111.90.147[.]13 | 三井住友銀行 | グループA |
163 | 2019/11/9 | mufgd[.]com | 111.90.147[.]13 | 三菱UFJ銀行 | グループA |
164 | 2019/11/9 | mufgbk[.]com | 111.90.147[.]13 | 三菱UFJ銀行 | グループA |
165 | 2019/11/9 | aeonbcnk[.]com | 111.90.147[.]13 | イオン銀行 | グループA |
166 | 2019/11/9 | aeonbonk[.]com | 111.90.147[.]13 | イオン銀行 | グループA |
167 | 2019/11/9 | kyoto[.]mufgd[.]com | 111.90.147[.]13 | 京都銀行 | グループA |
168 | 2019/11/9 | kyotobk[.]com | 111.90.147[.]13 | 京都銀行 | グループA |
169 | 2019/11/10 | smbctv[.]com | 111.90.147[.]13 | 三井住友銀行 | グループA |
170 | 2019/11/10 | smbcip[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
171 | 2019/11/10 | aeonvv[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
172 | 2019/11/10 | omufg[.]com | 45.141.156[.]195 | 三菱UFJ銀行 | グループA |
173 | 2019/11/10 | aeonbtnk[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
174 | 2019/11/10 | aeonvv[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
175 | 2019/11/11 | smbcrc[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
176 | 2019/11/11 | aeonbfnk[.]com | 101.99.90[.]74 | イオン銀行 | グループA |
177 | 2019/11/12 | smbcit[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
178 | 2019/11/12 | smbcyq[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
179 | 2019/11/12 | smbcui[.]com | 45.141.156[.]195 | 三菱UFJ銀行 | グループA |
180 | 2019/11/12 | aeonabnk[.]com | 101.99.90[.]74 | イオン銀行 | グループA |
181 | 2019/11/12 | aeoncbnk[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
182 | 2019/11/12 | aeondbnk[.]com | 101.99.90[.]74 | イオン銀行 | グループA |
183 | 2019/11/13 | smbcqe[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
184 | 2019/11/13 | smbcqe[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
185 | 2019/11/14 | smbciz[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
186 | 2019/11/14 | smbcbp[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
187 | 2019/11/14 | netbko[.]com | 101.99.90[.]74 | 住信SBIネット銀行 | グループA |
188 | 2019/11/15 | smbcqt[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
189 | 2019/11/15 | smbcqr[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
190 | 2019/11/15 | smbcqi[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
191 | 2019/11/15 | aeonfbnk[.]com | 101.99.90[.]74 | イオン銀行 | グループA |
192 | 2019/11/15 | aeongbnk[.]com | 101.99.90[.]74 | イオン銀行 | グループA |
193 | 2019/11/15 | netbkc[.]com | 101.99.90[.]74 | 住信SBIネット銀行 | グループA |
194 | 2019/11/16 | smbcqo[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
195 | 2019/11/16 | aeonhbnk[.]com | 101.99.90[.]74 | イオン銀行 | グループA |
196 | 2019/11/16 | netbkv[.]com | 101.99.90[.]74 | 住信SBIネット銀行 | グループA |
197 | 2019/11/17 | smbcrp[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
198 | 2019/11/17 | smbcqp[.]com | 101.99.90[.]74 | 三井住友銀行 | グループA |
199 | 2019/11/17 | aeonhbnk[.]com | 101.99.90[.]74 | イオン銀行 | グループA |
200 | 2019/11/19 | smbcqs[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
201 | 2019/11/19 | aeonibnk[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
202 | 2019/11/20 | smbcqd[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
203 | 2019/11/20 | smbcqf[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
204 | 2019/11/20 | smbcqf[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
205 | 2019/11/20 | mbcqg[.]com | 45.141.156[.]195 | 三井住友銀行 | グループA |
206 | 2019/11/20 | bkmafg[.]com | 45.141.156[.]195 | 三菱UFJ銀行 | グループA |
207 | 2019/11/20 | aeonlbnk[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
208 | 2019/11/20 | aeonkbnk[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
209 | 2019/11/20 | aeonobnk[.]com | 45.141.156[.]195 | イオン銀行 | グループA |
210 | 2019/11/20 | aeonobnk[.]com | 111.90.150[.]196 | イオン銀行 | グループA |
211 | 2019/11/21 | smbccl[.]com | 111.90.150[.]196 | 三井住友銀行 | グループA |
212 | 2019/11/21 | smbcix[.]com | 111.90.150[.]196 | 三井住友銀行 | グループA |
213 | 2019/11/21 | smbcqh[.]com | 111.90.150[.]196 | 三井住友銀行 | グループA |
214 | 2019/11/21 | smbcqj[.]com | 111.90.150[.]196 | 三井住友銀行 | グループA |
215 | 2019/11/21 | bkmbfg[.]com | 111.90.150[.]196 | 三菱UFJ銀行 | グループA |
216 | 2019/11/21 | aeonpbnk[.]com | 111.90.150[.]196 | イオン銀行 | グループA |
217 | 2019/11/21 | aeonpbnk[.]com | 111.90.150[.]196 | イオン銀行 | グループA |
218 | 2019/11/22 | smbcip[.]com | 111.90.150[.]196 | 三井住友銀行 | グループA |
219 | 2019/11/22 | aeonlo[.]com | 111.90.150[.]196 | イオン銀行 | グループA |
220 | 2019/11/22 | aeonsbnk[.]com | 185.22.172[.]147 | イオン銀行 | グループA |
221 | 2019/11/23 | smbcql[.]com | 185.22.172[.]147 | 三井住友銀行 | グループA |
222 | 2019/11/23 | smbcqn[.]com | 185.22.172[.]147 | 三井住友銀行 | グループA |
223 | 2019/11/23 | smbcqb[.]com | 185.22.172[.]147 | 三井住友銀行 | グループA |
224 | 2019/11/23 | aeonxbnk[.]com | 185.22.172[.]147 | イオン銀行 | グループA |
225 | 2019/11/24 | smbcqc[.]com | 185.22.172[.]147 | 三井住友銀行 | グループA |
226 | 2019/11/25 | smbcqv[.]com | 87.120.36[.]25 | 三井住友銀行 | グループA |
227 | 2019/11/25 | smbcqm[.]com | 87.120.36[.]25 | 三井住友銀行 | グループA |
228 | 2019/11/25 | bkmcfg[.]com | 185.22.172[.]147 | 三菱UFJ銀行 | グループA |
229 | 2019/11/26 | smbcaw[.]com | 38.106.22[.]167 | 三井住友銀行 | グループA |
230 | 2019/11/26 | smbcii[.]com | 38.106.22[.]167 | 三井住友銀行 | グループA |
231 | 2019/11/26 | smbcay[.]com | 38.106.22[.]167 | 三井住友銀行 | グループA |
232 | 2019/11/26 | bkmdfj[.]com | 38.106.22[.]167 | 三菱UFJ銀行 | グループA |
233 | 2019/11/26 | aeonbdnk[.]com | 38.106.22[.]167 | イオン銀行 | グループA |
234 | 2019/11/27 | smbcau[.]com | 38.106.22[.]167 | 三井住友銀行 | グループA |
235 | 2019/11/27 | smbcah[.]com | 38.106.22[.]167 | 三井住友銀行 | グループA |
236 | 2019/11/27 | smbcah[.]com | 38.106.22[.]167 | 三井住友銀行 | グループA |
237 | 2019/11/27 | smbcaj.com | 38.106.22[.]167 | 三井住友銀行 | グループA |
238 | 2019/11/27 | aeonbenk[.]com | 38.106.22[.]167 | イオン銀行 | グループA |
239 | 2019/11/27 | smbcah[.]com | 38.106.22[.]167 | イオン銀行 | グループA |
240 | 2019/11/28 | bkmefg[.]com | 38.106.22[.]167 | 三菱UFJ銀行 | グループA |
241 | 2019/12/6 | smbcak[.]com | 154.13.28[.]137 | 三井住友銀行 | グループA |
242 | 2019/12/7 | smbcal[.]com | 154.13.28[.]137 | 三井住友銀行 | グループA |
243 | 2019/12/7 | smbcah[.]com | 154.13.28[.]137 | 三井住友銀行 | グループA |
244 | 2019/12/7 | aeonbafnk[.]com | 154.13.28[.]137 | イオン銀行 | グループA |
245 | 2019/12/7 | aeonbaek[.]com | 154.13.28[.]137 | イオン銀行 | グループA |
246 | 2019/12/8 | aeonbvwnk[.]com | 154.13.28[.]137 | イオン銀行 | グループA |
247 | 2019/12/8 | resonagr[.]com | 154.13.28[.]137 | りそな銀行 | グループA |
248 | 2019/12/8 | kyotobuk[.]com | 154.13.28[.]137 | 京都銀行 | グループA |
249 | 2019/12/9 | smbcax[.]com | 27.122.59[.]201 | 三井住友銀行 | グループA |
250 | 2019/12/9 | resonagk[.]com | 27.122.59[.]201 | りそな銀行 | グループA |
251 | 2019/12/10 | smbcab[.]com | 101.99.90[.]93 | 三井住友銀行 | グループA |
252 | 2019/12/10 | aeonbqnk[.]com | 27.122.59[.]201 | イオン銀行 | グループA |
253 | 2019/12/10 | aeonbrnk[.]com | 101.99.90[.]93 | イオン銀行 | グループA |
254 | 2019/12/10 | resonagp[.]com | 27.122.59[.]201 | りそな銀行 | グループA |
255 | 2019/12/11 | aeonbhnk[.]com | 101.99.90[.]93 | イオン銀行 | グループA |
256 | 2019/12/11 | mizubank[.]com | 101.99.90[.]93 | みずほ銀行 | グループA |
257 | 2019/12/11 | jnbbunk[.]com | 101.99.90[.]93 | ジャパンネット銀行 | グループA |
258 | 2019/12/11 | resonaak[.]com | 101.99.90[.]93 | りそな銀行 | グループA |
259 | 2019/12/12 | fukuobk[.]com | 101.99.90[.]93 | 福岡銀行 | グループA |
260 | 2019/12/13 | smbcan[.]com | 78.142.19[.]75 | 三井住友銀行 | グループA |
261 | 2019/12/14 | smbcag[.]com | 213.152.165[.]29 | 三井住友銀行 | グループA |
262 | 2019/12/14 | fukuonk[.]com | 213.152.165[.]29 | 福岡銀行 | グループA |
263 | 2019/12/17 | mufguk[.]com | 103.13.228[.]244 | 三菱UFJ銀行 | グループA |
264 | 2019/12/17 | fukuomk[.]com | 213.152.165[.]29 | 福岡銀行 | グループA |
265 | 2019/12/17 | ryuagin[.]com | 213.152.165[.]29 | 琉球銀行 | グループA |
266 | 2019/12/18 | ryucgin[.]com | 213.152.165[.]29 | 琉球銀行 | グループA |
267 | 2019/12/18 | ryuging[.]com | 164.68.121[.]170 | 琉球銀行 | グループA |
268 | 2019/12/18 | ryuginv[.]com | 164.68.121[.]170 | 琉球銀行 | グループA |
269 | 2019/12/18 | ryuginn[.]com | 164.68.121[.]170 | 琉球銀行 | グループA |
270 | 2019/12/18 | okinanwa[.]com | 164.68.121[.]170 | 沖縄銀行 | グループA |
271 | 2019/12/19 | aeonbuok[.]com | 164.68.121[.]170 | イオン銀行 | グループA |
272 | 2019/12/19 | ryuginc[.]com | 164.68.121[.]170 | 琉球銀行 | グループA |
273 | 2019/12/19 | hokkaibo[.]com | 164.68.121[.]170 | 北海道銀行 | グループA |
274 | 2019/12/26 | smbcoq[.]com | 103.13.228[.]244 | 三井住友銀行 | グループA |
275 | 2019/12/26 | aeopsp[.]com | 103.13.228[.]244 | イオン銀行 | グループA |
276 | 2019/12/27 | smbcop[.]com | 103.13.228[.]244 | 三井住友銀行 | グループA |
277 | 2019/12/27 | mufguk[.]com | 103.13.228[.]244 | 三菱UFJ銀行 | グループA |
278 | 2019/12/27 | smbcps[.]com | 164.68.96[.]158 | 三井住友銀行 | グループA |
279 | 2019/12/27 | smbckm[.]com | 164.68.96[.]158 | 三井住友銀行 | グループA |
280 | 2019/10/13 | ntdomo[.]co | 133.18.173[.]151 | dアカウント(ランディングページ) | グループA |
281 | 2019/10/14 | ntt-docmo[.]jp | 199.192.27[.]22 | dアカウント(ランディングページ) | グループA |
282 | 2019/10/14 | docomome[.]com | 199.192.27[.]6 | dアカウント(ランディングページ) | グループA |
283 | 2019/10/15 | ntt-docoo[.]jp | 63.250.33[.]78 | dアカウント(ランディングページ) | グループA |
284 | 2019/10/15 | doconno[.]com | 133.18.30[.]150 | dアカウント(ランディングページ) | グループA |
285 | 2019/10/15 | dococmo[.]com | 133.18.196.134 | dアカウント(ランディングページ) | グループA |
286 | 2019/10/16 | dooccomo[.]com | 63.250.35[.]202 | dアカウント(ランディングページ) | グループA |
287 | 2019/10/16 | dooc-como[.]jp | 63.250.35[.]203 | dアカウント(ランディングページ) | グループA |
288 | 2019/10/16 | doccoomo[.]com | 63.250.35[.]206 | dアカウント(ランディングページ) | グループA |
289 | 2019/10/16 | docomemo[.]com | 63.250.35.204 | dアカウント(ランディングページ) | グループA |
290 | 2019/12/25 | docomv[.]com | 78.142.29[.]199 | dアカウント(ランディングページ) | グループA |
291 | 2019/12/26 | docoimo[.]com | 144.91.64[.]191 | dアカウント(ランディングページ) | グループA |
292 | 2019/12/25 | amnazn[.]com | 78.142.29[.]199 | Amazon (ランディングページ) | グループA |
293 | 2019/12/25 | rakueny.com | 78.142.29[.]199 | 楽天 (ランディングページ) | グループA |
294 | 2019/12/26 | yahonz[.]com | 144.91.64[.]191 | Yahoo!ジャパン (ランディングページ) | グループA |
295 | 2019/9/25 | smbaco[.]jp | aaaa[.]cdns[.]vip | 三井住友銀行 | グループB |
296 | 2019/9/25 | smqc[.]jp | aaaa[.]cdns[.]vip | 三井住友銀行 | グループB |
297 | 2019/9/25 | smbcrz[.]com | 0922[.]cdns[.]vip | 三井住友銀行 | グループB |
298 | 2019/9/25 | sbcma[.]jp | aaaa[.]cdns[.]vip | 三井住友銀行 | グループB |
299 | 2019/9/26 | smdco[.]jp | aaaa[.]cdns[.]vip | 三井住友銀行 | グループB |
300 | 2019/9/26 | smbces-co[.]com | 0922[.]cdns[.]vip | 三井住友銀行 | グループB |
301 | 2019/9/26 | smbcscu-co[.]com | 0922[.]cdns[.]vip | 三井住友銀行 | グループB |
302 | 2019/9/27 | smbci[.]jp | aaaa[.]cdns[.]vip | 三井住友銀行 | グループB |
303 | 2019/9/27 | smcbi[.]jp | aaaa[.]cdns[.]vip | 三井住友銀行 | グループB |
304 | 2019/9/29 | www[.]smbcae-hmpop-co[.]com | 0922[.]cdns[.]vip | 三井住友銀行 | グループB |
305 | 2019/9/29 | www[.]smbcscu-co[.]com | 0922[.]cdns[.]vip | 三井住友銀行 | グループB |
306 | 2019/9/29 | www[.]smbces-co[.]com | 0922[.]cdns[.]vip | 三井住友銀行 | グループB |
307 | 2019/9/29 | www[.]smbcecsa-co[.]com | 0922[.]cdns[.]vip | 三井住友銀行 | グループB |
308 | 2019/9/29 | www[.]smbcre-hmpop-co[.]com | bei[.]cdns[.]vip | 三井住友銀行 | グループB |
309 | 2019/10/1 | smcbcojp[.]com | 0929[.]cdns[.]vip | 三井住友銀行 | グループB |
310 | 2019/10/2 | www[.]smbcsj[.]com | bei[.]cdns[.]vip | 三井住友銀行 | グループB |
311 | 2019/10/2 | smbcsj[.]com | bei[.]cdns[.]vip | 三井住友銀行 | グループB |
312 | 2019/10/3 | smbcd[.]com | 0929[.]cdns[.]vip | 三井住友銀行 | グループB |
313 | 2019/10/5 | smcbr[.]jp | 1004[.]cdns[.]vip | 三井住友銀行 | グループB |
314 | 2019/10/9 | smcbocb[.]com | 1004[.]cdns[.]vip | 三井住友銀行 | グループB |
315 | 2019/10/14 | smcbonecojp[.]com | 1004[.]cdns[.]vip | 三井住友銀行 | グループB |
316 | 2019/10/14 | smcbb[.]jp | 1004[.]cdns[.]vip | 三井住友銀行 | グループB |
317 | 2019/10/15 | smbcsa[.]com | 1004[.]cdns[.]vip | 三井住友銀行 | グループB |
318 | 2019/10/15 | smcbsc[.]jp | 1004[.]cdns[.]vip | 三井住友銀行 | グループB |
319 | 2019/10/16 | smbcosacojp[.]com | 0922[.]cdns[.]vip | 三井住友銀行 | グループB |
320 | 2019/10/16 | smcbsk[.]jp | 1004[.]cdns[.]vip | 三井住友銀行 | グループB |
321 | 2019/10/16 | smcbskb[.]com | 1004[.]cdns[.]vip | 三井住友銀行 | グループB |
322 | 2019/10/17 | smbceca--pop-hml-co[.]com | 0922[.]cdns[.]vip | 三井住友銀行 | グループB |
323 | 2019/10/17 | smbcuercojp[.]com | 1004[.]cdns[.]vip | 三井住友銀行 | グループB |
324 | 2019/10/17 | smbcdsa[.]com | 1004[.]cdns[.]vip | 三井住友銀行 | グループB |
325 | 2019/10/17 | smcbas[.]jp | 1004[.]cdns[.]vip | 三井住友銀行 | グループB |
326 | 2019/10/17 | smcbez[.]jp | 1017[.]cdns[.]vip | 三井住友銀行 | グループB |
327 | 2019/10/18 | smbcesr[.]com | 1017[.]cdns[.]vip | 三井住友銀行 | グループB |
328 | 2019/10/23 | bk[.]mofg[.]jp | 1017[.]cdns[.]vip | 三菱UFJ銀行 | グループB |
329 | 2019/10/23 | smbcracojp[.]com | 1018[.]cdns[.]vip | 三井住友銀行 | グループB |
330 | 2019/10/24 | smbcet[.]jp | 1017[.]cdns[.]vip | 三井住友銀行 | グループB |
331 | 2019/10/25 | smbcre[.]com | 85.209.43[.]29 | 三井住友銀行 | グループB |
332 | 2019/10/26 | smbcrt[.]com | 85.209.43[.]29 | 三井住友銀行 | グループB |
333 | 2019/10/28 | smcbta[.]com | 67.198.189[.]36 | 三井住友銀行 | グループB |
334 | 2019/10/29 | smbctd[.]com | 98.126.219[.]35 | 三井住友銀行 | グループB |
335 | 2019/10/29 | smbcte[.]com | 67.198.189[.]30 | 三井住友銀行 | グループB |
336 | 2019/11/4 | smbcka[.]com | 67.198.189[.]178 | 三井住友銀行 | グループB |
337 | 2019/11/5 | smbckb[.]com | 58.82.224[.]140 | 三井住友銀行 | グループB |
338 | 2019/11/6 | snbckc[.]com | 67.198.189[.]36 | 三井住友銀行 | グループB |
339 | 2019/11/7 | smbcuacojp[.]com | www[.]123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
340 | 2019/11/8 | smbctg[.]com | smbckb[.]cdn[.]di1cdn[.]com | 三井住友銀行 | グループB |
341 | 2019/11/8 | smbctg[.]com | smbckb[.]cdn[.]di1cdn[.]com | 三井住友銀行 | グループB |
342 | 2019/11/10 | sbmczecojp[.]com | www[.]123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
343 | 2019/11/11 | smbcre[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三井住友銀行 | グループB |
344 | 2019/11/11 | smbcorcojp[.]com | www[.]123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
345 | 2019/11/12 | smbc-update[.]top | 207.148.108[.]15 | 三井住友銀行 | グループB |
346 | 2019/11/12 | smbc-update[.]online | 207.148.108[.]15 | 三井住友銀行 | グループB |
347 | 2019/11/12 | smbcsb[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三井住友銀行 | グループB |
348 | 2019/11/12 | bk[.]muft[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
349 | 2019/11/12 | bk.mufp[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
350 | 2019/11/13 | smbc-date[.]xyz | 104.31.86.47 | 三井住友銀行 | グループB |
351 | 2019/11/13 | smbc-date[.]xyz | 104.31.87.47 | 三井住友銀行 | グループB |
352 | 2019/11/13 | bkmufq[.]com | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
353 | 2019/11/13 | mufa[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
354 | 2019/11/14 | smbcr[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三井住友銀行 | グループB |
355 | 2019/11/14 | bk.mufv[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
356 | 2019/11/15 | cam-smbc-mail[.]top | 104.28.29[.]157 | 三井住友銀行 | グループB |
357 | 2019/11/15 | cam-smbc-mail[.]top | 104.28.28[.]157 | 三井住友銀行 | グループB |
358 | 2019/11/15 | smbctd[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三井住友銀行 | グループB |
359 | 2019/11/15 | bk.mufm[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
360 | 2019/11/15 | bk.mufw[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
361 | 2019/11/16 | smbcrk[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三井住友銀行 | グループB |
362 | 2019/11/16 | bk.mufc[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
363 | 2019/11/18 | smbcnscojp[.]com | 123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
364 | 2019/11/18 | bk.mafg[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
365 | 2019/11/19 | bk[.]muhg[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
366 | 2019/11/19 | smbcezacojp[.]com | 123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
367 | 2019/11/19 | smbcup[.]com | 104.28.30[.]229 | 三井住友銀行 | グループB |
368 | 2019/11/19 | smbcup[.]com | 104.28.31[.]229 | 三井住友銀行 | グループB |
369 | 2019/11/20 | smbcurecojp[.]com | www[.]123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
370 | 2019/11/20 | bkmufg[.]com | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
371 | 2019/11/22 | smbcuaecojp[.]com | www[.]123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
372 | 2019/11/22 | amazaenon[.]com | smbckb[.]cdn[.]di1cdn[.]com | 三井住友銀行 | グループB |
373 | 2019/11/24 | bkmur[.]com | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
374 | 2019/11/25 | bkmuk[.]com | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
375 | 2019/11/26 | bk.mufx[.]jp | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
376 | 2019/11/26 | bkmuhf[.]com | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
377 | 2019/11/27 | smbctn[.]com | smbckb[.]cdn[.]di1cdn[.]com | 三井住友銀行 | グループB |
378 | 2019/11/27 | bkmuhg[.]com | smbckb[.]cdn[.]di1cdn[.]com | 三菱UFJ銀行 | グループB |
379 | 2019/11/28 | smbczascojp[.]com | www[.]123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
380 | 2019/11/29 | smbcuncojp[.]com | www[.]123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
381 | 2019/12/2 | smbcyrecojp[.]com | www[.]123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
382 | 2019/12/2 | smbcurescojp[.]com | www[.]123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
383 | 2019/12/4 | smbcurescojp[.]com | www[.]123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
384 | 2019/12/5 | smbcesacojp[.]com | www[.]123456[.]com[.]ywcdn[.]net | 三井住友銀行 | グループB |
385 | 2019/10/16 | www.bk-mufj-sim-jp[.]com | 45.249.61[.]106 | 三菱UFJ銀行 | グループC |
386 | 2019/10/18 | www.bk-mufg-oing-jp.com | 45.249.61[.]107 | 三菱UFJ銀行 | グループC |
387 | 2019/10/19 | www[.]bk-mufg-osspming-jp[.]com | 45.249.61[.]108 | 三菱UFJ銀行 | グループC |
388 | 2019/10/20 | www[.]bk-mufg-jisp-jp[.]com | 45.249.61[.]106 | 三菱UFJ銀行 | グループC |
389 | 2019/10/21 | www[.]come-bk-mufg-bin[.]com | 45.249.61[.]243 | 三菱UFJ銀行 | グループC |
390 | 2019/10/22 | www[.]bei-bk-mufg-skin[.]com | 45.249.61[.]244 | 三菱UFJ銀行 | グループC |
391 | 2019/10/23 | www[.]pin-bk-mufg-unam-jp[.]com | 45.249.61[.]245 | 三菱UFJ銀行 | グループC |
392 | 2019/10/24 | www.bos-bk-mufg-geng-jp[.]com | 45.249.61[.]243 | 三菱UFJ銀行 | グループC |
393 | 2019/10/28 | www[.]oping-bk-mufg-smki-jp[.]com | 202.168.149[.]116 | 三菱UFJ銀行 | グループC |
394 | 2019/10/29 | www[.]spang-bk-mufg-riun-jp[.]com | 202.168.149[.]115 | 三菱UFJ銀行 | グループC |
395 | 2019/10/30 | www.bk-mufg-runani-jp[.]com | 202.168.149[.]117 | 三菱UFJ銀行 | グループC |
396 | 2019/10/31 | www[.]piuie-bk-mufg-ufjyi-jp[.]com | 202.168.149[.]118 | 三菱UFJ銀行 | グループC |
397 | 2019/11/1 | www[.]niss-bk-mufg-inkin-jp[.]com | 202.168.149[.]119 | 三菱UFJ銀行 | グループC |
398 | 2019/11/4 | www[.]hpe-bk-mufg-inun-jp[.]com | 103.217.225[.]63 | 三菱UFJ銀行 | グループC |
399 | 2019/11/5 | www[.]gai-bk-mufg-weng-jp[.]com | 103.217.225[.]64 | 三菱UFJ銀行 | グループC |
400 | 2019/11/11 | www[.]bk-mufg-atmsun-jp[.]com | 103.217.225[.]66 | 三菱UFJ銀行 | グループC |
401 | 2019/11/12 | www[.]bk-mufg-mufglin-jp[.]com | 103.217.225[.]67 | 三菱UFJ銀行 | グループC |
402 | 2019/11/13 | www[.]bk-mufg-mufgbeng-jp[.]com | 103.200.117[.]232 | 三菱UFJ銀行 | グループC |
403 | 2019/11/16 | www[.]niop-bk-mufg-duntu-jp[.]com | 103.200.117[.]233 | 三菱UFJ銀行 | グループC |
404 | 2019/11/22 | www[.]penda-bk-mufg-lisng-jp[.]com | 103.200.117[.]234 | 三菱UFJ銀行 | グループC |
405 | 2019/11/29 | www[.]vsing-bk-mufg-jin-jp[.]com | 103.200.117[.]235 | 三菱UFJ銀行 | グループC |
406 | 2019/11/30 | www[.]hot-bk-mufg-poski[.]com | 45.249.61[.]49 | 三菱UFJ銀行 | グループC |
407 | 2019/12/9 | www[.]mizuhobank-atmsip-jp[.]com | 202.168.149[.]229 | みずほ銀行 | グループC |
408 | 2019/12/10 | www[.]mizuhobank-oomin-jp[.]com | 202.168.149[.]230 | みずほ銀行 | グループC |
409 | 2019/12/11 | www[.]mizuhobank-pi[.]com | 202.168.149[.]231 | みずほ銀行 | グループC |
410 | 2019/12/12 | www[.]mizuhobank-bin[.]com | 202.168.149[.]232 | みずほ銀行 | グループC |
411 | 2019/12/13 | mizuhoba[.]com | 202.168.149[.]229 | みずほ銀行 | グループC |
412 | 2019/12/23 | www[.]japannetbank-jin-jp[.]com | 103.217.224[.]58 | ジャパンネット銀行 | グループC |
413 | 2019/12/24 | www[.]japannetbank-peng-jp[.]com | 103.217.224[.]59 | ジャパンネット銀行 | グループC |
414 | 2019/12/24 | jp-bank-japanpost-jp-com[.]cn | 103.217.224[.]58 | ジャパンネット銀行 | グループC |
415 | 2019/12/25 | www[.]japannetbank-bansk-co[.]com | 103.217.224[.]60 | ジャパンネット銀行 | グループC |
416 | 2019/12/26 | www[.]bk-mufg-beng[.]com | 103.217.224[.]58 | 三菱UFJ銀行 | グループC |
417 | 2019/12/27 | www[.]bkmufg-ming[.]com | 103.217.224[.]61 | 三菱UFJ銀行 | グループC |
418 | 2019/12/27 | www[.]bkmufg-bve[.]com | 103.217.224[.]62 | 三菱UFJ銀行 | グループC |
419 | 2019/10/3 | smbcvip[.]com | 45.76.96[.]126 | 三井住友銀行 | グループD |
420 | 2019/10/3 | smbc-vip[.]com | 45.76.96[.]126 | 三井住友銀行 | グループD |
421 | 2019/10/7 | smbc-ie[.]com | 23.228.70[.]221 | 三井住友銀行 | グループD |
422 | 2019/10/7 | jp36-safety-center[.]info | 23.228.70[.]221 | ジャパンネット銀行 | グループD |
423 | 2019/11/22 | smbc[.]io | 45.143.138[.]39 | 三井住友銀行 | グループE |
424 | 2019/11/22 | smbc[.]io | 45.143.138[.]40 | 三井住友銀行 | グループE |
425 | 2019/11/23 | www[.]smbc[.]sh | 185.154.21[.]235 | 三井住友銀行 | グループE |
426 | 2019/11/23 | www[.]smbc[.]cm | 185.154.21[.]235 | 三井住友銀行 | グループE |
427 | 2019/11/23 | pop[.]smbc[.]sh | 185.154.21[.]235 | 三井住友銀行 | グループE |
428 | 2019/11/23 | pop[.]smbc[.]cm | 185.154.21[.]235 | 三井住友銀行 | グループE |
429 | 2019/11/24 | smbc-bk[.]sh | 185.154.21[.]235 | 三井住友銀行 | グループE |
430 | 2019/11/24 | pop[.]smbc-bk[.]sh | 185.154.21[.]235 | 三井住友銀行 | グループE |
431 | 2019/11/24 | www[.]smbc-bk[.]sh | 185.154.21[.]235 | 三井住友銀行 | グループE |
432 | 2019/11/29 | bk-smbc[.]co | 109.248.200[.]2 | 三井住友銀行 | グループE |
433 | 2019/12/4 | bkmufg[.]co | 104.24.116[.]129 | 三菱UFJ銀行 | グループE |
434 | 2019/12/4 | bkmufg[.]co | 104.24.117[.]129 | 三菱UFJ銀行 | グループE |
435 | 2019/12/17 | mufg[.]jp-bankq[.]com | 154.202.14[.]38 | 三菱UFJ銀行 | グループF |
436 | 2019/12/17 | smbc[.]jp-bankq[.]com | 154.202.14[.]38 | 三井住友銀行 | グループF |
437 | 2019/12/17 | jnb[.]jp-bankq[.]com | 154.202.14[.]38 | ジャパンネット銀行 | グループF |
438 | 2019/12/17 | jppost[.]jp-bankq[.]com | 154.202.14[.]38 | ゆうちょ銀行 | グループF |
439 | 2019/12/17 | sbi[.]jp-bankq[.]com | 154.202.14[.]38 | 住信SBIネット銀行 | グループF |
440 | 2019/12/17 | rakuten[.]jp-bankq[.]com | 154.202.14[.]38 | 楽天銀行 | グループF |
441 | 2019/12/17 | seven[.]jp-bankq[.]com | 154.202.14[.]38 | セブン銀行 | グループF |
442 | 2019/12/18 | smbc[.]bank-securityq[.]com | 154.202.14[.]38 | 三井住友銀行 | グループF |
443 | 2019/12/18 | mufg[.]bank-securityq[.]com | 154.202.14[.]38 | 三菱UFJ銀行 | グループF |
444 | 2019/12/18 | jnb[.]bank-securityq[.]com | 154.202.14[.]38 | ジャパンネット銀行 | グループF |
445 | 2019/12/18 | jppost[.]bank-securityq[.]com | 154.202.14[.]38 | ゆうちょ銀行 | グループF |
446 | 2019/12/18 | sbi[.]bank-securityq[.]com | 154.202.14[.]38 | 住信SBIネット銀行 | グループF |
447 | 2019/12/18 | rakuten[.]bank-securityq[.]com | 154.202.14[.]38 | 楽天銀行 | グループF |
448 | 2019/12/18 | seven[.]bank-securityq[.]com | 154.202.14[.]38 | セブン銀行 | グループF |
449 | 2019/12/19 | smbc[.]bank-securityw[.]com | 154.202.14[.]38 | 三井住友銀行 | グループF |
450 | 2019/12/19 | jibun[.]bank-securityw[.]com | 154.202.14[.]38 | じぶん銀行 | グループF |
451 | 2019/12/27 | smbc[.]bk-securityr[.]com | 172.87.24[.]188 | 三井住友銀行 | グループF |
452 | 2019/12/27 | jibun[.]bk-securityr[.]com | 172.87.24[.]188 | じぶん銀行 | グループF |
453 | 2019/12/27 | rakuten[.]bk-securityr[.]com | 172.87.24[.]188 | 楽天銀行 | グループF |
454 | 2019/10/9 | japannet-support[.]com | 104.203.108[.]101 | ジャパンネット銀行 | 未定義 |
455 | 2019/10/21 | smbcbank[.]jp | 27.124.39[.]139 | 三井住友銀行 | 未定義 |
456 | 2019/10/21 | japanwebbank[.]jp | 27.124.39[.]139 | ジャパンネット銀行 | 未定義 |
457 | 2019/10/24 | www.japanbankjp[.]com | 27.124.39[.]139 | ジャパンネット銀行 | 未定義 |
458 | 2019/10/25 | www[.]smbcbankjp[.]com | 27.124.39[.]139 | 三井住友銀行 | 未定義 |
459 | 2019/10/28 | smbc.zackky[.]com | 199.59.242[.]150 | 三井住友銀行 | 未定義 |
460 | 2019/10/29 | smbctf[.]com | 109.94.169[.]49 | 三井住友銀行 | 未定義 |
461 | 2019/11/11 | - | 176.112.146[.]90 | 三井住友銀行 | 未定義 |
462 | 2019/11/26 | - | 46.166.161[.]70 | 三井住友銀行 | 未定義 |
463 | 2019/12/4 | - | 142.93.175[.]152 | 三井住友銀行 | 未定義 |
464 | 2019/10/17 | japannetbank[.]me | 196.247.25[.]68 | ジャパンネット銀行 | 未定義 |
465 | 2019/10/28 | japannetbank[.]cc | 196.247.25[.]68 | ジャパンネット銀行 | 未定義 |
466 | 2019/11/12 | emufj[.]com | 196.247.25[.]88 | 三菱UFJ銀行 | 未定義 |
467 | 2019/11/12 | www[.]kicksdig[.]com | 196.247.25[.]88 | 三菱UFJ銀行 | 未定義 |
468 | 2019/12/2 | www[.]bankjapan-post[.]com | 43.243.222[.]53 | ゆうちょ銀行 | 未定義 |
469 | 2019/12/24 | direct[.]smbc[.]refund02[.]com | 144.34.181[.]35 | 三井住友銀行 | 未定義 |
470 | 2019/10/21 | rakuten-banks[.]com | 23.247.53[.]201 | 楽天銀行 | 未定義 |
471 | 2019/10/27 | www[.]jp-safeservice040[.]info | 23.247.53[.]201 | 住信SBIネット銀行 | 未定義 |
472 | 2019/10/31 | smbcr[.]com | 107.179.27[.]196 | 三井住友銀行 | 未定義 |
473 | 2019/11/18 | sbi-bk[.]com | 107.179.27[.]196 | 住信SBIネット銀行 | 未定義 |
更新履歴
2019年12月25日 | 初版作成 |
2019年12月25日 | グループCの概要を修正 |
2019年12月28日 | グループB、グループCの詳細を追加。グループAの詳細その他諸々修正。 |
2019年12月29日 | 文言修正 |
2019年12月30日 | 文言修正 |
金融機関を装ったフィッシングについて(2019/12/25 暫定版)
はじめに
本記事は2019/12/25に暫定的に公開したものです。
完全版は別のURLで公開しておりますので、こちらもご覧ください。
金融機関を装ったフィッシング詐欺によるインターネットバンキングの不正送金がこの4カ月で急増しています。
11月の不正送金発生件数が573件、被害額が約7億7,600万円と、2012年以来最悪を記録したことを受けて、警察庁 サイバー犯罪対策プロジェクトが12月19日に注意喚起を公開しました。
記事中の不正送金事犯発生状況のグラフによると、8月に前月の倍の被害額、被害件数を記録した後、9月の1カ月間で昨年一年間に匹敵する被害額(4億円超)を記録するなど、急激に増加したことがわかります。
8月末以降、少なくとも6グループが国内の金融機関を装ったフィッシングサイトを手掛け、そのうち4グループがメールやSMSによるフィッシングサイトへ誘導を行っていたことが確認できています。
8月~12月の期間において同種の犯行を継続的に手掛けていた3グループについて、その特徴を見ていきたいと思います。
12月25日時点で、後述するグループAが29もの金融機関のフィッシングサイトを稼働させていることが確認できたため、グループAの詳細のみを記載した状態で本記事を先行して公開します。
グループB、グループCについては、日を改めて公開したいと思います。
各グループの概要
先ずは、各グループのザックリとした特徴を以下に記載します。
(比較のため、三井住友銀行のフィッシングサイトのキャプチャを掲載します)
グループA
SMSからフィッシングサイトに誘導する。
スマホのみをターゲットとしており、1サーバ上で複数金融機関のフィッシングサイトを稼働させ、時折内容が変更されるPC用のカモフラージュ画面を使用する点が特徴。
これまでターゲットとなった銀行:
- 三井住友銀行
- 三菱UFJ銀行
- みずほ銀行
- ゆうちょ銀行
- ジャパンネット銀行
- イオン銀行
- GMOあおぞらネット銀行
- 京都銀行
- りそな銀行
- 埼玉りそな銀行
- 関西みらい銀行
- 福岡銀行
- 琉球銀行
- 沖縄銀行
- 北海道銀行
フィッシングサイトの外観の一例:
グループB
メール、SMSからフィッシングサイトに誘導する。
スマホのみをターゲットとしており、固定的なPC用のカモフラージュ画面を使用。
フィッシングサイトを複数サーバに配置し、それらのサーバを隠ぺいする目的でリバースプロキシを使用する点が特徴。
インフラの違いから複数のグループに分かれている可能性あり。
9月後半に初めて観測され、その後継続的に活動を行っていたものの、12月5日頃から金融機関を騙ったフィッシングの活動は休止中。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
グループC
メールからフィッシングサイトに誘導する。
PC、スマホ双方をターゲットとする点が特徴的
今回の不正送金急増以前(3月頃)から銀行フィッシングを手掛けており、8月末に一旦終息したものの、11月から活動を再開中。
ターゲットとなった銀行:
グループD
SMSからフィッシングサイトに誘導する。
キャリア決済やカード情報の詐取を手掛けていたグループが10月上旬に一時的に銀行フィッシングを仕掛けていたものと思われる。
後述するグループFと共通点あり。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
グループE
フィッシングサイトへの誘導手段は未確認。
サイト閲覧時にお待ちくださいというメッセージを出す点が特徴的。
11/22~12/4の期間にフィッシングサイトを観測。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
グループF
佐川急便をテーマとしたAndroidマルウェアに感染した端末をフィッシングサイトに誘導するものと思われる。
グループDが使用していたフィッシングサイト、インフラを流用。
10月26日頃から観測。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
次に、これら各グループの最新の動向についてまとめてみます。
現在の銀行フィッシングの状況について
12月13日に三井住友銀行から一連のフィッシングに対する対抗措置が開始されました。
これは、ワンタームカード有効化後の利用開始を翌日1時まで保留するというものです。
有効な対抗措置だったためか、これ以降三井住友銀行をターゲットとしたフィッシングをほとんど見かけなくなりました。
これを受けてグループAは、新たに地方銀行をメインターゲットとした活動に移行しました。
しかし、12月19日に沖縄での被害がWebニュース等に掲載され世間がザワついたことが影響したのか、北海道銀行のフィッシングが観測されたのを最後に12月20日以降目立った活動が見られません。
2019年12月25日に再びグループAがフィッシングサイトを稼働させていることが確認できました。
この件については "各グループ詳細" の項目で触れたいと思います。
グループCについては引き続き活動を継続しており、12月23日、12月24日、12月25日にはジャパンネット銀行のフィッシングサイトに誘導するメールがばら撒かれています。
グループFについては、Androidマルウェア MoqHao に感染したAndroid端末からの誘導を狙ったものと思われますが、複数の金融機関を装ったフィッシングサイトの稼働が時折観測されています。
9月後半から活発に活動していたグループBは12月4日を最後に活動を休止しており、グループD、グループEは一時的な活動のみで現在では新たな活動を見ることはありません。
期間中特に活発な動きを見せていたグループA、グループBと合わせて、直近で活動が観測されているグループCについて詳細を見ていきたいと思います。
各グループ詳細
(カッコ()内は筆者の勝手な呼称)
グループA (yahulogin)
期間中最も活発な活動を行っていたのがグループAです。
そして、後発組の参入が9月末から始まったことを考えると、9月に発生した被害額、4億円の大半はこのグループに流れたものと思われます。
このグループは、元々クレジットカード情報の詐取やキャリア決済の悪用を狙ったフィッシングを国内で手掛けていました。
特にクレジットカード情報を狙ったフィッシングサイトには "セキュリティ安全手続きます" という不思議なキーワードが度々観測されています。
その当時のキャプチャをいくつかご紹介します。
彼らが最初に手掛けたと思われる三菱UFJ銀行のスキャン結果がurlscan.io に残っています。
スキャン日時は8月23日となっています。
一連の不正送金の急増は8月後半から始まったと推測できます。
彼らはその後複数の金融機関を騙ったフィッシングを手掛け、これまでに15もの金融機関を騙った活動が確認されています。
それぞれの画面キャプチャは以下の通りです。
彼らが仕掛けるフィッシングサイトには、同一サーバ上で複数ブランドを稼働するという傾向がありますが、各サイトの画像やCSS、jsなどのリソースを格納するフォルダ名に特徴があります。
10月中頃までは/static/yahulogin というフォルダ名を好んで使用していました。
10月13日頃には、トップページにdアカウントの偽ページを配置し、使用中の銀行を選択させた上で閲覧者を該当のフィッシングサイトに誘導するという構成変更が行われました。
各銀行フィッシングサイトはDoCoMoを模したドメインのサブディレクトリ配下に格納するという構成で、トップのdアカウントのフィッシングサイトは、このグループが銀行フィッシングを手掛ける前に使用していたものでした。
実際のディレクトリ構成は @KesaGataMe0 さんのツイートをご覧ください。
ID/PW/NW暗証番号入力後の各金融機関の口座登録サイト情報です。
— KesagataMe (@KesaGataMe0) 2019年10月16日
docomemo[.]com/japannetbank.co.jp →ジャパンネット
docomemo[.]com/bk.mufg.jp →三菱UFJ
docomemo[.]com/smbc.co.jp →三井住友
docomemo[.]com/jp-bank.japanpost.jp →ゆうちょ #Phishing #MUFG #SMBC #ゆうちょ銀行 pic.twitter.com/BwG8VtoRQI
展開に無理があることが明らかだったため、この方式は数日で姿を消しました。
その後、yahuloginの文言を使用することはなくなり、銀行名を示すディレクトリ名を使用するようになりました。
彼らのもう一つの特徴が、PC用のカモフラージュ画面の存在です。
彼らのターゲットはスマートフォンユーザであり、PCユーザは対象にしていませんでした。
UserAgentを検査し、ターゲットデバイスに該当しない場合にカモフラージュ画面を表示するというテクニックを使います。
このカモフラージュ画面はこれまで何度か変更されています。
グループAがフィッシングサイトに誘導する最新のSMSの文面をご紹介します。
12月25日の活動再開について
12月19日の北海道銀行のフィッシングを手掛けて以降、静かな状態を維持していたグループAが12月25日に新たな手法で29もの金融機関を装ったフィッシングサイトを稼働させていることが確認できました。
注目すべきは、過去観測されていなかった13件の新たな金融機関のフィッシングサイトが稼働している点です。
この13件は何れも地方銀行や信用金庫で、ワンタイムパスワードアプリを提供している金融機関でした。
更に、13件の金融機関は何れも関西地方の金融機関である点は見逃すことができません。
12月25日 15:00時点でフィッシングサイトの稼働が確認できている金融機関は以下の通りです。
- 池田泉州銀行
- 紀陽銀行
- 但馬銀行
- 南都銀行
- 尼崎信用金庫
- 大阪信用金庫
- 大阪シティ信用金庫
- 北おおさか信用金庫
- きのくに信用金庫
- 京都信用金庫
- 京都中央信用金庫
- 滋賀中央信用金庫
- 大和信用金庫
- 三菱UFJ銀行
- 三井住友銀行
- みずほ銀行
- りそな銀行
- 埼玉りそな銀行
- 関西みらい銀行
- ゆうちょ銀行
- イオン銀行
- ジャパンネット銀行
- GMOあおぞら銀行
- 住信SBIネット銀行
- 福岡銀行
- 京都銀行
- 北海道銀行
- 琉球銀行
- 沖縄銀行
今回は10月中旬に観測された手法を発展させたもので、dアカウント、Amazon、楽天の各フィッシングサイトをランディングページとし、ログイン後に金融機関を選択させた上で該当の金融機関のフィッシングページに遷移するというものでした。
金融機関のフィッシングサイトはサブディレクトリ配下に格納されるという構成を取ります。
詳細を見てみたいと思います。
各ランディングページは以下の通りです。
これらのランディングページで認証情報を入力しログインボタンを押下すると、金融機関を選択する画面に遷移します。
ここには11の金融機関がリストアップされていますが、ここに掲載されていない金融機関も含めて、29もの金融機関のフィッシングサイトがサブディレクトリで稼働しています。
これまで観測されたなかった13の金融機関のフィッシングサイトを見てみます。
先ほども触れましたが、今回新たにフィッシングサイトの存在が確認できた金融機関は何れも関西地方の金融機関です。
グループAは12月12日以降、福岡、沖縄、北海道といった地方を対象としたフィッシングを展開しています。
SNS等を見ても、異なる地方の住人に対して誤ってSMSが配信されたというような反応はなく、フィッシングのターゲットとなった金融機関の所在地近辺の住人に対してピンポイントでSMSが配信されているように見受けられます。
グループAの手元には住所と携帯電話番号がセットになった情報があり、地域を絞ったSMSの配信ができる状況にあるのではないかと推測します。
今回関西地方の金融機関がターゲットとなっているため、関西にお住いの方は十分にご注意頂ければと思います。
ここには書ききれなかったグループAの詳細情報は以下のTwitterスレッドをご参照下さい。
過去に SMBC TypeA の系統の銀行 #フィッシングサイト に関してチョロチョロとツイートしてきましたが、今後はこのスレッドに統一します。
— tike (@tiketiketikeke) 2019年12月9日
過去のスレッドをいくつか。
9月分https://t.co/EHYGprw6uM
まとめ
今回はグループAが大掛かりなフィッシングを仕掛けたため、急遽作成途中で公開しました。
他グループの詳細等については、また日を改めて公開したいと思います。
最後までご覧いただきありがとうございました。
以上
更新履歴
2019年12月25日 | 初版作成 |
2019年12月25日 | グループCの概要を修正 |
カード情報詐取を狙った国内向けフィッシングサイトの機能について
はじめに
ここ最近、PayPayを騙ったフィッシングサイトが活発化しています。
このようなフィッシングサイトでは、攻撃者がフィッシング用のコンテンツを纏めたzipファイル(フィッシングキット)を公開ディレクトリに放置するケースが散見されます。
本記事では、このような形で残されていたフィッシングキットを元に、PayPayのフィッシングサイトに実装された機能を簡単に説明したいと思います。
ルートディレクトリでのカモフラージュ
ルートディレクトリのインデックスファイル(/index.php)には、カモフラージュを目的とした以下の処理が記載されています。
サーバ側で動的に取得した無関係なコンテンツをレスポンスとして返却することで、フィッシングサイトを隠ぺいしようとする意図が見て取れます。
この処理は昨年から度々観測されていたAmazonを騙ったフィッシングサイトで用いられていました。
一連のAmazonフィッシングサイトでは、デフォルトページとして linguee .cl の検索結果をマルっとコピーしたページが使われています。
— tike (@tiketiketikeke) November 10, 2018
"run a blog"というキーワードでスペイン語を検索した結果のようです。
タイトルでググると cutestat が捕捉した過去のフィッシングサイトがズラズラ出てきますね。 pic.twitter.com/yG5H9unqlg
しかしながら、このコンテンツ自体が目印となることから、現在では0バイトのレスポンスが返るようになっています。
この処理に限らず他にも共通する部分が多いことから、日本をターゲットとしたAmazonのフィッシングキットの一つがPayPay用に改変、展開されたものであると思われます。
日本からのリクエストにのみ応答するランディングページ
SMSから誘導されるランディングページ(/app/signin.php)には、日本国外からのリクエストを別の無害なサイトにリダイレクトする仕掛けがあります。
リクエストの送信元IPアドレスを元にIP-API.comからジオロケーション情報を取得し、国名コードがJPに該当する場合のみ次の処理に進みます。
日本以外の地域からリクエストを受けた場合は Amazon アソシエイトプログラム オフィシャルブログ(affiliate-blog.amazon.co.jp)に遷移するため、urlscan.io など海外のサービスでは正しくスキャンできないという影響が発生しています。
コンテンツの暗号化
送信元の検証を経て偽のログイン画面が表示されます。
このコンテンツは以下の処理により暗号化された形でクライアント側に送信されます。
これがクライアント側に転送される暗号文です。
javascriptで復号することで、偽画面が表示されます。
これは、jsを解釈できない検索エンジンへの対策だと考えられます。
フィッシングサイトの検索エンジン対策については @ninoseki さんが昨年公開した記事で触れらていますので、一読をお勧めします。
電話番号およびパスワードの詐取
この偽画面で入力された情報は、同階層のテキストファイルに出力しつつ、リアルタイムに攻撃者にメール送信されます。
件名は"PayPay Login"、Fromの表示名が"BAKAYARO"となっています。
ユーザが入力した情報が出力されるファイル名は伏せましたが、インドネシア語が使われていました。
送信先のメールアドレスはフィッシングキット上では gmail.com ドメインのものが記載されていますが、公開用コンテンツでは別のメールアドレスに変更されている可能性もあります。
この後、クレジットカード情報を入力する画面に遷移します。
クレジットカード情報の詐取
カード情報入力画面に遷移する前に、ここでも送信元IPアドレスによる国名コードの判定が行われれます。
この判定で日本からのアクセスであることを確認した上でクレジットカード情報の入力画面(/app/verification-v3/sign.php)に遷移します。
この画面で入力された情報のPOST先(/app/verification-v3/result2.php)で、ログイン画面同様テキストファイルへの出力、メール送信が行われます。
追加本人認証情報の詐取
さらにこの画面では、カード番号の上位6桁を BIN Codes (bincodes.com)に問い合わせることでカード発行会社の情報を取得し、それぞれに応じた画面に遷移するという機能を有します。
ここで得たccbank(カード発行会社)の値により遷移先を決定する訳ですが、遷移先が準備されている発行会社名は以下の通りです。
それぞれの会社のロゴが表示された本人認証用の偽画面に遷移します。
ここで入力された情報も他の情報と同様、テキスト出力とメール送信が行われます。
更なる本人認証
今回のPayPayのフィッシングサイトでは使われていないようですが、このフィッシングキットには、クレジットカードの両面の画像をアップロードさせるような機能も実装されています。
まとめ
今回は国内向けのフィッシングサイトの機能について、PayPay/Amazonフィッシングキットの内容を例に挙げてご説明しました。
特に目新しい機能はありませんが、フィッシングサイトとはこんなものだという雰囲気は掴んで頂けたのではないでしょうか。
最後までご覧いただきありがとうございました。
以上
更新履歴
2019年9月16日 | 初版作成 |
国内のWebサイト改ざんについて
はじめに
今回は、国内のWebサイトを対象とした改ざん事例について取り上げたいと思います。
今回のテーマである『Webサイトの改ざん』ですが、皆さんどのようなイメージをお持ちでしょうか。
以下の画像に示すような、攻撃者自身の成果を誇示するかのようなページに書き換えられる状況を思い浮かべる方もいらっしゃるのではないでしょうか。
これらは何れも、ここ数日の間に国内のWebサイトで観測された改ざんページですが、実はこのような「ド派手な 」サイト改ざんの場面を目の当たりにすることはあまりなく、最近では珍しいケースであると言えます。
先日、JPCERT/CC が 2019年4月から6月のインシデント報告対応レポートを公表しましたが、正当なサイトが改ざんされるケースは月間数十件、多い時で100件以上に上ることもあるようです。
このレポートで『マルウェアサイト』に分類されるWebサイトでも(今回の対象期間に限っては) 正当なWebサイトが改竄されるケースが多く、国内への通知件数を考慮すると、JPCERT/CCが対応したものだけでも1日当たり2件から5件程度のWebサイトが日々改ざん被害を受けているという状況が継続しているものと推測されます。
冒頭申し上げた通り、ページ自体をガラッと書き換えるようなド派手な改ざんは稀であり、日々発生し続けているWebサイトの改ざんの多くは、目立たない形で行われています。
本記事では、日々発生する国内のWebサイトの改ざん事例をいくつかご紹介したいと思います。
【改ざん事例1】SEOポイズニングによる偽ECサイトへの誘導
当ブログや筆者のツイートでも何度となく偽ECサイトの話題に触れていますが、このようなサイトへの誘導を目的とした改ざんは日常的に発生しています。
偽ECサイトの概要については、昨年公開した以下の記事で纏めていますので、ご参照ください。
偽ECサイトへの誘導は上記記事に記載した通り、SEOポイズニングという手法が用いられます。
正当なWebサイトを巡回する検索エンジンのクローラに虚偽の商品紹介ページを読み込ませ、偽ECサイトへのリンクを検索サイトに掲載させるという手口です。
これにより、商品名による検索で自らが仕込んだ虚偽の商品紹介ページをヒットさせ、偽ECサイトにユーザを誘導しようするものです。
この手の攻撃者が用いる最新の手法について見ていきます。
偽ECサイトへの踏み台が設置されたWebサイトのドメイン名で検索すると以下のような結果が表示されます。
検索サイトのクローラが収集したコンテンツ(キャッシュ)は以下の通りです。
国内のWebサイトに偽ECサイトの踏み台を設置する連中は、Yahoo!ショッピングの文言が記載されたページを好んでクローラに読ませる傾向にあります。
次に、検索結果として表示された偽ECサイトのリンクをクリックしてみます。
検索結果のリンクをクリックしても偽ECサイトに誘導されることはありませんでした。
User-Agentヘッダにスマートフォンのブラウザの情報を設定して再度アクセスしてみます。
javascript を含むレスポンスが返ってきました。
実在しない "/ahoahoman" というパスへのリクエストに対してステータスコード200の応答が返却されていることがわかります。
このjavascriptは、実行時に1秒間の遅延を発生させた上で以下のようなサイトに遷移する仕様になっていました。
いかにも、という造りの偽ECサイトです。
踏み台コンテンツの実体はなく、User-AgentヘッダとReferrerヘッダが条件に一致した場合にのみ、リダイレクト用のレスポンスを返却するという動きが見て取れます。
一番の流入が見込めるスマートフォンからのアクセスのみをターゲットとし、PCからのアクセスや検索サイト外からのアクセスについては偽ECサイトに誘導しないという方法により、検知を回避しようとしているのではないかと思われます。
数カ月前は、偽ECサイトに誘導する phpファイルを設置するケースが目立っていました。
このphpでは、ブランド名をパラメータとして受け付けることで該当のブランドに対応した偽ECサイトにリダイレクトする処理が実装されていました。
このケースについては、以下のツイートに概要を記載しています。
偽サイトへの誘導を狙ったSEOポイズニングに関して、phpファイルからのリダイレクトが行われるパターンが多い傾向にあるようなので、少し調べてみました。
— tike (@tiketiketikeke) February 25, 2019
このphpファイルはパラメータが統一されていて、
xxx.php?b=ブランドを示す文字列&url=ランダムな文字列
という形式を持ちます。
(続く) pic.twitter.com/ZAbKlDBRXE
この手法ではphpのパラメータに固定値が含まれていたため、いくつかのセキュリティ製品が悪性の通信として検知するようになりました。
その影響もあってか、この形式での新たな改ざんは見かけなくなったような気がします。
【改ざん事例2】SEOポイズニングによる詐欺広告への誘導
こちらもSEOポイズニングですが、複数言語に対応した踏み台コンテンツを設置し、ユーザを詐欺広告に誘導しようとするものです。偽ECほど大量ではないものの頻繁に目にします。
詐欺広告への踏み台が設置されたWebサイトのドメイン名で検索すると以下のような結果が表示されます。
検索サイトのクローラが収集したコンテンツ(キャッシュ)を見てみると、複数の言語が脈略なく記載されており、各国の言語で検索にヒットするよう構成されているようです。
(英語)
(中国語)
(ロシア語)
(ペルシャ語)
(スウェーデン語)
検索結果のリンクは何れもphpファイルとなっており、リダイレクトによりユーザを外部のWebサイトに強制的に誘導するというものでした。
最初の誘導先は 5.45.79[.]15 であり、次いで ilo134ulih[.]com 、click.dtiserv2.com と順にリダイレクトが行われ、最終的にはアダルトサイト、ゲームサイト、ブラウザ拡張のダウンロードサイトなど様々なWebサイトに誘導されます。
中には、以下のような悪意ある誘導先も含まれます。
【改ざん事例3】マルウェア設置
2019年5月はマルウェア Emotet の設置を目的とした国内のWebサイトの改ざんが相次ぎました。
当方が把握しているだけでも、1カ月に100件以上のWebサイトにEmotetが設置されていることが確認できました。
冒頭で触れた JPCERT/CC のレポートからも、2019年5月のマルウェアサイトの件数が突出して多かったことが見て取れます。
https://www.jpcert.or.jp/pr/2019/IR_Report20190711.pdf
上記JPCERT/CCのレポートに、Webサイト改ざんによるEmotetの設置について記載されていますので、ご参照頂ければと思います。
なお、このマルウェア設置サイトの中には、事例1、事例2に記載した手法で既に改ざんされていたというWebサイトが複数あったことを書き加えておきます。
その他の改ざん事例
頻繁に発生するものではありませんが、その他のWebサイト改ざん事例を記載します。
- ECサイトからのカード情報詐取を目的とした改ざん
カード情報の詐取を目的としたECサイトの改ざん事例が度々報じられています。
カード情報を入力するフォームにスクリプトが挿入され、入力情報が秘密裏に外部のサーバに送信されるという事例と合わせて、最近ではカード情報の非保持化に対応して、決済代行事業者のサイトに遷移する際に偽の入力フォームが配置されたサーバにユーザを誘導するというケースもあるようです。
徳丸先生のブログに改ざん事例が紹介されていますので、ご参照下さい。
- フィッシングサイト設置
Webサイトが改竄され、フィッシングサイトが設置されるという事例もあります。
国内の正当なWebサイトに設置されたフィッシングサイトのキャプチャを2件掲載します。
まとめ
今回は、日々発生し続ける国内Webサイトの改ざん事例をご紹介しました。
このような被害を受けないための対策として、脆弱性対策や認証の強化、WAF、改ざん検知システムの導入などが挙げられますが、コストやリソースの関係で難しい場合もあると思います。
今すぐには対応が難しいという場合には「万が一自組織のWebサイトが改ざんされた場合にどうするか」という観点で事前準備を進めることをお勧めします。
万が一「あなたのWebサイトが改ざんされていますよ」と連絡を受けた場合に対応できるよう、事前に手順を整備したり、外部からの連絡を受けることができる体制を整える等、コストをかけずに対応できることはあるはずです。
また、改ざんの事実をいち早くキャッチするために、日次でGoogle等の検索サイトで自サイトをチェックする、もしくは自身の目でWebサイトを閲覧してみる(スマホ、PC双方で)といったこともコストをかけずにできる対応の一つではないかと思います。
Googleの検索欄に[site:自サイトのドメイン]を入力し、直近24時間に更新されたコンテンツを検索すると、できたてホヤホヤの不正コンテンツが発見できる可能性があります。
また、マルウェアが設置されたサイトの情報が検索できる場として、URLhaus があります。
ドメイン名によるマルウェア設置サイトの検索が可能ですので、自サイトの日々のチェックに活用してみては如何でしょうか。
最後までご覧いただきありがとうございました。
以上
更新履歴
2019年7月21日 | 初版作成 |
JPドメインの悪用について
はじめに
世の中に数多く存在するWebサイトを閲覧する際、トップレベルドメイン(TLD)でその安全性を確認するという方は多いのではないでしょうか。
検索サイトにキーワードを打ち込み、数ある検索結果の中から目的の情報に近いWebサイトを探す過程で、JPドメインのサイトには安心してアクセスできると考えるのは私だけではないと思います。
JPドメインのレジストリであるJPRS(株式会社日本レジストリサービス)も、JPドメインは世界一安全であると訴えています。
この中で、JPドメインの安心感の根拠として以下のように述べています。
- 「.jp」を登録するには日本国内に住所を持っていることが条件
- 所在のはっきりした日本サイトだとアピールできる
という点を安心感の根拠として挙げています。
しかしながら、私を含めてJPドメインが安全だと考えているインターネットユーザの心理につけ込み、不正行為に使用する目的でJPドメインを登録する連中が少なからず存在します。
本記事では、JPドメインの悪用の事例をいくつかご紹介したいと思います。
【悪用事例1】気象庁のなりすましメール
2018年11月、気象庁からの緊急警報を装ったなりすましメールが配信されたとして、同庁が注意喚起を行いました。
このなりすましメールに記載された不審なリンクには以下のJPドメインが使用されていました。
jma-go[.]jp
不審なリンクにアクセスすると、マルウェアがダウンロードされるという話もありました。
[公開連絡窓口]に記載された住所を確認したところ、ロシア サンクトペテルブルク近郊の町を示しているようでした。
【掲載情報に誤りあったため訂正 (2019/4/22)】
明らかに日本国内には存在しない住所であり、「所在のはっきりした日本のサイト」とは言い難い内容です。
【悪用事例2】フィッシングサイト
JPドメインは、国内を標的としてフィッシング詐欺を行う連中が好んで使用します。
例えば、Appleのフィッシングサイトでは、以下のようなjpドメインが使用されています。
これは特定の人物の名義で4月の10日余りの期間で登録されたドメイン名の一覧です。
これらのドメインは、以下のようなAppleのフィッシングサイトを公開する目的で登録されています。
同種のフィッシングサイトを公開する目的で登録されたドメインの名義人は、私が確認しているだけでもこの他に十数件存在します。
実際には他にも多数存在すると思われ、日々ドメインの量産が行われています。
もう一つの事例として、Amazonのフィッシングサイトで使用されるJPドメインをご紹介します。
account-update-amazon-com[.]jp
account-update-amazon[.]jp
何れも、登録者の日本語表記と英語表記が全く一致していません。
英語表記の "HARUNA UBUKATA" に対して、日本語の登録者名は "央区 池袋"、"天神 直子" と記載されています。
これらのドメインは、以下のようなAmazonのフィッシングサイトを公開する目的で登録されています。
さらに、悪用の事実は確認できていませんが、Amazonのキーワードを含むドメインの登録情報をご紹介します。
amazon-shop[.]jp
公開連絡窓口の住所には「長野県」という日本語表記はあるものの、アルファベットで名古屋市を示す住所が続いています。
名古屋市の住所も番地等を示す情報はなく、正確ではありません。
何れも虚偽の情報ではないかと思わせる登録情報です。
【悪用事例3】詐欺サイトへの誘導を行うサイト
続いては、偽物のセキュリティ警告を表示するサイトを始めとして数々の詐欺サイトへの誘導を行うJPドメインです。
これは、現存する国内の企業のドメイン名をGoogleで検索した結果を抜粋したものです。
一見すると、以前当ブログでも何度か取り上げた偽ECサイトに誘導するコンテンツに見えますが、実はこのコンテンツの中には、偽ECサイトよりもさらに悪質なサイトに誘導する仕掛けがありました。
コンテンツのソースを確認すると、あるjsファイルが読み込まれています(赤線部分)。
このjsファイルを読み込むと、以下のドメインにリダイレクトされます。
bags.luxzone[.]jp
このドメインにアクセスすると、さらに以下のドメインに誘導されます。
ww25.bags.luxzone[.]jp
上記ドメインは、ユーザを複数の詐欺サイトに誘導しますが、その中の一つとして、偽ウイルス警告画面を表示するサイトへの誘導が確認できています。
このような詐欺サイトへの誘導を行う luxzone[.]jpドメインの登録情報を見てみます。
公開連絡窓口として、NETIMという名称、tld@netim.com というEmailアドレスが登録されています。
このNETIMとは、フランスのドメインレジストラなのだそうです。
電話番号には、おそらく国内には存在しないと思われる「013」から始まる「11桁」の番号が登録されています。
この「013」を「03」と無理やり読み替えると、日本語表記の住所に存在する某企業の電話番号と一致しました。
こちらは「インターネットを利用した各種情報サービスを提供する」国内の事業者なんだそうです。
公開連絡窓口としては、安心感に欠ける内容です。
まとめ
JPドメインの悪用について事例をご覧頂きましたが、冒頭でご紹介したJPドメインの安心感の根拠とは少し異なる性質のドメインが登録され、今もなお増え続けているというのが現状です。
先日も大学や学校法人のみが取得可能な属性・地域型ドメインを個人が取得し、全く異なる用途に使用していたことが明るみになりました。
業務プロセスにミスがあったことをJPRSは認めており、ただただ改善を求めるばかりですが、このドメインが今もなお有効な状態を維持しているという点については非常に疑問を感じています。
ネームサーバを削除することで対応完了としているようにも見受けられますが、条件を満たしていない個人が属性・地域型ドメインを今もなお持ち続けているという状況は改善すべきだと思います。
(2019/4/24 追記)
4/22に当該ドメインが Deleted (廃止されているドメイン名)となっていることを確認しました。
ご対応頂きありがとうございました。
(2019/4/24 追記おわり)
更に疑問に思うこととして、ドメイン名義の日本語表記とアルファベット表記が異なったり、住所が正確でなかったり、海外の住所であったり、正確でない登録情報を持つJPドメインが存在することです。
このような虚偽の登録情報は認められるものなのでしょうか。
このような状態が続くと、世界一安全とされるJPドメインの安全性、信頼性に傷を与えかねません。
JPRSや各レジストラの皆様には、虚偽の登録情報を検出し、そのようなドメインに対しては、ドメイン凍結等の対応を行うなど、何らかの対策を打って頂きたいと思います。
最後までご覧いただきありがとうございました。
以上
更新履歴
2019年4月22日 | 初版作成 |
2019年4月22日 | jma-go[.]jpの公開連絡窓口に関する情報を修正 |
2019年4月24日 | 旧山梨医科大学ドメインに関する記述を修正。当該ドメインが廃止状態となったことを追記 |
放棄ドメインの大量取得によるスクリプトの乗っ取りについて
はじめに
既に役目を終えたドメインの遺産はリンク切れという形でインターネット上に残ることがあります。
ここでいう遺産とは、放棄ドメインに紐付くリソース(画像、外部スクリプトなど)を指します。
閲覧者の目に直接触れるリソース(画像や動画など)が存在しない状態になったことを閲覧者自身が認識することはさほど難しくはありません。
その一方、外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しいのではないかと思います。
このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。
不審な JavaScript
先日、不審な挙動を示す以下のJavaScriptを目にしました。
Cookieを含むいくつかの情報を king[.]connectioncdn[.]com という外部のサーバにPOSTするというものです。
そして、このJavaScriptの呼び出し元は、海外のLinuxユーザのコミュニティサイトである LinuxForums[.]org でした。
データ送信を行うJavaScriptは、以下のscriptタグで読み込まれます。
JavaScriptの参照元 (LinuxForums[.]org) と参照先 (3[.]newor[.]net) 、データの送信先 (king[.]connectioncdn[.]com) は、いずれも異なるドメインであり、閲覧者が認識できない形で秘密裏に情報を外部に送信しているように見えます。
実際に送信される情報をパケットキャプチャから見てみます。
Cookie以外にも、呼び出し元のサイト名、ページ名、リファラやタイムスタンプ、何らかの意味がありそうなランダムな値なども送信しています。
続いてデータの送信先ホストについて見ていきたいと思います。
データの送信先から見えるインフラの全体像
データの送信先ホストを確認したところ、サブドメインがいくつか存在することが確認できました。
前述の分も含めると、以下の4件のサブドメインが存在します。
それぞれのDNS Aレコードは以下の通りです。
hashtagとmars、kingはAS30083(Hosting Solutions International, Inc.)、pressはAS16276 (OVH SAS) の配下にいるようです。
※ 以下、これらのホストをconnectioncdnホストと記載します。
次に、外部にデータを送信するスクリプトが設置されたホストのIPアドレスを見てみます。
Aレコードが2件登録されており、hashtagとpressのconnectioncdnホストと同じIPアドレスであることがわかりました。
まずは 209.126.103[.]59 (hashtag[.]connectioncdn[.]com)に対して。
レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。
データの送信先として、hashtag[.]connectioncdn[.]com が指定されています。
次に、147.135.1[.]203 (press[.]connectioncdn[.]com)からスクリプトを取得します。
レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。
IPアドレスを同一とするconnectioncdnホストに対してデータをPOSTする仕様のようです。
更に確認したところ、4台の connectioncdnホストと同じIPアドレスを持つFQDNが2019年1月24日の時点で少なくとも134件存在し、いずれも上記の事例と同様、2台のconnectioncdnホストと同じIPアドレスを持つことが確認できました。
※134件全件の一覧はIoC情報として文末に記載しています。
# | FQDN | IPアドレス |
1 | 1.newor[.]net | 147.135.1[.]203, 209.126.103[.]139 |
2 | 2.api.viralheadlines[.]net | 147.135.1[.]203, 209.126.127[.]231 |
3 | 3.newor[.]net | 147.135.1[.]203, 209.126.103[.]139 |
4 | a01.u-ad[.]info | 209.126.103[.]59, 209.126.127[.]231 |
5 | abtrcking[.]com | 147.135.1[.]203, 209.126.103[.]59 |
6 | adrenalinecdn[.]com | 147.135.1[.]203, 209.126.103[.]59 |
7 | airjss[.]com | 147.135.1[.]203, 209.126.103[.]139 |
8 | api.behavioralmailing[.]com | 147.135.1[.]203, 209.126.103[.]59 |
9 | apps.suppressedvoice[.]com | 209.126.103[.]139, 147.135.1[.]203 |
10 | b.nwcdn[.]xyz | 209.126.103[.]139, 147.135.1[.]203 |
一部を抜粋して図示すると以下のようになります。
connectioncdnホストの1台に何らかの問題が発生したとしても業務継続(?)が可能となるよう冗長構成がとられています。
また、前述した通り connectioncdnホストは2つのプロバイダ(AS30083とAS16276)にまたがっており、あらゆる事態を想定した堅牢な構成で稼動していると言えます。
次に、134件のFQDNを構成する各ドメインの取得時期を見てみたいと思います。
合わせて、これらのドメインが新規に取得されたものなのか、または既存のドメインを流用したものなのかを確認するために、ドメイン削除の記録があればその時期についても確認します。
なお、ドメイン放棄の記録は、domainbigdata.com の [history]項目から抽出しており、表中の[直前のドメイン削除日]は、ドメイン再取得の直前にそのドメインが放棄された日付を示しています。
※ここでは一部のドメインのみとし、全件はIoC情報として文末に記載しています。
# | ドメイン名 | 直前のドメイン削除日 | 最新のドメイン登録(移転)日 | 現在のネームサーバ |
1 | newor[.]net | 2018/11/9 | 2018/12/17 | mynameserver1.com |
2 | viralheadlines[.]net | 2018/8/21 | 2018/11/22 | mynameserver1.com |
3 | u-ad[.]info | 2016/4/21 | 2017/6/25 | mynameserver1.com |
4 | abtrcking[.]com | 2018/9/3 | 2018/11/15 | mynameserver1.com |
5 | adrenalinecdn[.]com | 2018/5/26 | 2018/8/3 | mynameserver1.com |
6 | airjss[.]com | 2018/7/23 | 2018/8/31 | mynameserver1.com |
7 | behavioralmailing[.]com | 2018/10/14 | 2018/11/21 | mynameserver1.com |
8 | suppressedvoice[.]com | 2018/10/26 | mynameserver1.com | |
9 | nwcdn[.]xyz | 2018/7/22 | mynameserver3.com | |
10 | beatchucknorris[.]com | 2018/4/29 | 2018/8/16 | mynameserver1.com |
全件を確認したところ、一部の不明なドメインを除く大半のドメインは過去に放棄された経緯があることがわかりました。
放棄された時期と再登録された時期はバラバラですが、第三者が放棄ドメインを取得し、このインフラに組み込んでいるようです。
どのようなスクリプトが公開されているのか
connectioncdnホストと同一のIPアドレスを持つFQDN群が、本記事の冒頭に示した不審なJavaScriptとほぼ同じ内容のスクリプトを公開していることが確認できました。何れも、Cookieを含む情報をconnectioncdnホストに対して送信するという内容です。可能な範囲で収集したスクリプトのURLを以下に示します。
※ここでは一部のURLのみとし、全件はIoC情報として文末に記載しています。
# | 不審スクリプトのURL |
1 | hxxp://1.newor[.]net/www/delivery/delivery3.js |
2 | hxxp://2.api.viralheadlines[.]net/js/mass |
3 | hxxp://3.newor[.]net/www/delivery/delivery3.js |
4 | hxxp://a01.u-ad[.]info/page/JS.php |
5 | hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js |
6 | hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js |
7 | hxxp://airjss[.]com/data-uri.js |
8 | hxxp://api.behavioralmailing[.]com/js/data.js |
9 | hxxp://b.nwcdn[.]xyz/placement.js |
10 | hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js |
これらのスクリプトはPOST先のサーバとkパラメータの値が異なるのみであり、ほぼ全て同じ内容でした。
更に、各サイトのルートディレクトリ、及び存在しないファイルをリクエストしてみます。
先ずはルートディレクトリにアクセスしてみます。
全てのURLで「Temporaily Down for Maintenance.」という文言が表示されることが確認できました。
次に、存在しないファイルをリクエストしてみます。
こちらも、全てのURLで同様の文言が表示されました。
このことから、特定リソースへのリクエストが来た場合にのみ特別な処理を行うように実装されていると考えられます。
放棄ドメインは本来どのように使われていたのか
放棄ドメインの本来の用途は様々です。WordPressやTumblrのテンプレート、フリーのソースコードサンプル、広告関連、アクセス解析などなど。外部スクリプトとして消されずに残っている可能性のあるものばかりです。
詐欺サイトに誘導するための踏み台として過去にWordPressサイトに不正に埋め込まれたスクリプトが、今ではconnectioncdnホストに情報を送信する目的で使用されているのは特に興味深い点として挙げられます。
まとめ
最後までご覧いただきありがとうございます。
私個人のレベルでは、ここまでの調査が限界でした(笑)
このブログをご覧頂いた方の中で「更に深く調査してやろう」という方がもしいらっしゃいましたら、是非とも継続調査をお願いできればと思います。
本記事の冒頭「外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しい」と述べましたが、これはあくまで閲覧者の視点での話です。
外部スクリプトが改竄され、コインマイナーが仕込まれたり、カード情報が盗まれたりという話は度々報道されています。
サイト運営者の方々は自サイト上のゴミを極力排除し、更に外部リソースの変化を検知できる仕組みをご検討頂くべきかと思います。
(偉そうなこと言ってスミマセン!)
ではでは。
IoC
connectioncdnホストと同居するFQDN一覧
# | FQDN | IPアドレス |
1 | 1.newor[.]net | 147.135.1[.]203, 209.126.103[.]139 |
2 | 2.api.viralheadlines[.]net | 147.135.1[.]203, 209.126.127[.]231 |
3 | 3.newor[.]net | 147.135.1[.]203, 209.126.103[.]139 |
4 | a01.u-ad[.]info | 209.126.103[.]59, 209.126.127[.]231 |
5 | abtrcking[.]com | 147.135.1[.]203, 209.126.103[.]59 |
6 | adrenalinecdn[.]com | 147.135.1[.]203, 209.126.103[.]59 |
7 | airjss[.]com | 147.135.1[.]203, 209.126.103[.]139 |
8 | api.behavioralmailing[.]com | 147.135.1[.]203, 209.126.103[.]59 |
9 | apps.suppressedvoice[.]com | 209.126.103[.]139, 147.135.1[.]203 |
10 | b.nwcdn[.]xyz | 209.126.103[.]139, 147.135.1[.]203 |
11 | beatchucknorris[.]com | 209.126.103[.]59, 147.135.1[.]203 |
12 | blozoo[.]net | 147.135.1[.]203, 209.126.103[.]139 |
13 | bolingbroke.werringtonlasborough[.]com | 209.126.127[.]231, 209.126.103[.]59 |
14 | bwinpoker24[.]com | 147.135.1[.]203, 209.126.103[.]59 |
15 | c.radxcomm[.]com | 209.126.103[.]139, 209.126.127[.]231 |
16 | cdn.adpoints[.]media | 209.126.103[.]59, 209.126.127[.]231 |
17 | cdn.avrti[.]xyz | 147.135.1[.]203, 209.126.103[.]139 |
18 | cdn.botthumb[.]com | 147.135.1[.]203, 209.126.127[.]231 |
19 | cdn.echoenabled[.]com | 209.126.127[.]231, 209.126.103[.]59 |
20 | cdn[.]inaudium[.]com | 209.126.127[.]231, 209.126.103[.]59 |
21 | cdn.muse-widgets[.]ru | 209.126.103[.]59, 209.126.127[.]231 |
22 | cdn.owlcdn[.]com | 147.135.1[.]203, 209.126.103[.]59 |
23 | cfs.u-ad[.]info | 209.126.127[.]231, 147.135.1[.]203 |
24 | chat-client-js.firehoseapp[.]com | 147.135.1[.]203, 209.126.127[.]231 |
25 | code.jguery[.]org | 209.126.103[.]139, 147.135.1[.]203 |
26 | con1.sometimesfree[.]biz | 209.126.103[.]139, 209.126.103[.]59 |
27 | connect.f1call[.]com | 209.126.103[.]59, 209.126.103[.]139 |
28 | d0.histats.12mlbe[.]com | 209.126.127[.]231, 209.126.103[.]139 |
29 | daljarrock.hurlinesswhitchurch[.]com | 209.126.103[.]59, 209.126.103[.]139 |
30 | dcts[.]pw | 209.126.103[.]59, 147.135.1[.]203 |
31 | dezaula[.]com | 209.126.103[.]59, 147.135.1[.]203 |
32 | dup.baidustatic[.]pw | 209.126.103[.]59, 209.126.127[.]231 |
33 | e.e708[.]net | 147.135.1[.]203, 209.126.103[.]139 |
34 | earsham.pontypriddcrick[.]com | 209.126.103[.]139, 147.135.1[.]203 |
35 | flipdigital[.]ru | 209.126.127[.]231, 209.126.103[.]139 |
36 | font4u[.]ga | 147.135.1[.]203, 209.126.127[.]231 |
37 | ga87z2o[.]com | 147.135.1[.]203, 209.126.103[.]59 |
38 | gamescale.vio[.]rocks | 209.126.103[.]139, 209.126.103[.]59 |
39 | getsocialbuttons[.]xyz | 147.135.1[.]203, 209.126.103[.]59 |
40 | godstrength[.]org | 209.126.103[.]139, 209.126.103[.]59 |
41 | hosted-oswa[.]org | 209.126.127[.]231, 147.135.1[.]203 |
42 | i.omeljs[.]info | 209.126.103[.]139, 209.126.127[.]231 |
43 | i.rfgdjs[.]info | 147.135.1[.]203, 209.126.103[.]59 |
44 | i.selectionlinksjs[.]info | 209.126.103[.]139, 209.126.127[.]231 |
45 | i3.putags[.]com | 147.135.1[.]203, 209.126.127[.]231 |
46 | ijquery9[.]com | 209.126.103[.]59, 209.126.127[.]231 |
47 | infinite-2.tcs3[.]co[.]uk | 209.126.103[.]139, 147.135.1[.]203 |
48 | infinite-3.tcs3[.]co[.]uk | 209.126.103[.]59, 209.126.127[.]231 |
49 | iplusfree[.]pro | 209.126.127[.]231, 209.126.103[.]59 |
50 | java.sometimesfree[.]biz | 209.126.103[.]59, 209.126.103[.]139 |
51 | jquery[.]im | 209.126.103[.]139, 147.135.1[.]203 |
52 | js.mp3rocketdownloadfiles[.]com | 209.126.103[.]59, 209.126.103[.]139 |
53 | js.nster[.]net | 209.126.127[.]231, 147.135.1[.]203 |
54 | js.trafficanalytics[.]online | 209.126.103[.]139, 209.126.103[.]59 |
55 | js2.sn00[.]net | 209.126.103[.]139, 209.126.127[.]231 |
56 | keit.kristofer[.]ga | 147.135.1[.]203, 209.126.103[.]59 |
57 | livestats[.]us | 209.126.103[.]59, 209.126.103[.]139 |
58 | log.widgetstat[.]net | 209.126.103[.]59, 209.126.127[.]231 |
59 | m.free-codes[.]org | 209.126.103[.]59, 209.126.103[.]139 |
60 | m.xfanclub[.]ru | 209.126.103[.]59, 147.135.1[.]203 |
61 | mediros[.]ru | 209.126.127[.]231, 209.126.103[.]139 |
62 | n299adserv[.]com | 209.126.103[.]59, 209.126.103[.]139 |
63 | narnia.tcs3[.]co[.]uk | 209.126.127[.]231, 209.126.103[.]59 |
64 | nstracking[.]com | 147.135.1[.]203, 209.126.103[.]59 |
65 | oasagm82wioi[.]org | 209.126.103[.]59, 209.126.103[.]139 |
66 | onlinemarketplace[.]top | 209.126.103[.]139, 209.126.127[.]231 |
67 | parts.kuru2jam[.]com | 209.126.103[.]59, 209.126.127[.]231 |
68 | phpadsnew.motoboerse[.]at | 147.135.1[.]203, 209.126.103[.]59 |
69 | pipardot[.]com | 209.126.127[.]231, 147.135.1[.]203 |
70 | pl105476.putags[.]com | 147.135.1[.]203, 209.126.127[.]231 |
71 | place2003.nighter[.]club | 147.135.1[.]203, 209.126.103[.]59 |
72 | s1.omnitor[.]ru | 209.126.103[.]59, 209.126.127[.]231 |
73 | sbdtds[.]com | 209.126.127[.]231, 209.126.103[.]59 |
74 | scorepresshidden[.]info | 147.135.1[.]203, 209.126.127[.]231 |
75 | script.affilizr[.]com | 209.126.103[.]59, 209.126.103[.]139 |
76 | sdb.dancewithme[.]biz | 209.126.103[.]139, 147.135.1[.]203 |
77 | security-service[.]su | 209.126.103[.]59, 209.126.127[.]231 |
78 | senderjs[.]net | 147.135.1[.]203, 209.126.103[.]139 |
79 | src.dancewithme[.]biz | 209.126.127[.]231, 209.126.103[.]139 |
80 | srv1.clk-analytics[.]com | 209.126.103[.]139, 147.135.1[.]203 |
81 | st.segpress.io | 209.126.103[.]139, 209.126.103[.]59 |
82 | stablemoney[.]ru | 209.126.127[.]231, 209.126.103[.]59 |
83 | stat.rolledwil[.]biz | 209.126.103[.]59, 209.126.127[.]231 |
84 | static.bh-cdn[.]com | 209.126.103[.]139, 209.126.103[.]59 |
85 | tag.imaginaxs[.]com | 147.135.1[.]203, 209.126.103[.]59 |
86 | themes.affect[.]lt | 209.126.103[.]139, 147.135.1[.]203 |
87 | trafficapi[.]nl | 209.126.127[.]231, 209.126.103[.]59 |
88 | traffictrade[.]life | 147.135.1[.]203, 209.126.103[.]59 |
89 | upgraderservices[.]cf | 147.135.1[.]203, 209.126.127[.]231 |
90 | upskirt-jp[.]net | 209.126.103[.]139, 209.126.127[.]231 |
91 | vclicks[.]net | 209.126.103[.]59, 147.135.1[.]203 |
92 | vstats[.]co | 147.135.1[.]203, 209.126.103[.]59 |
93 | w[.]topage[.]net | 147.135.1[.]203, 209.126.103[.]59 |
94 | webeatyouradblocker[.]com | 147.135.1[.]203, 209.126.103[.]59 |
95 | webstats.xcellenzy[.]com | 209.126.127[.]231, 209.126.103[.]59 |
96 | widgets.wowzio[.]net | 209.126.127[.]231, 209.126.103[.]59 |
97 | www.acotemoi[.]com | 147.135.1[.]203, 209.126.103[.]139 |
98 | www.adsonflags[.]com | 209.126.103[.]59, 209.126.127[.]231 |
99 | www.agrkings[.]com | 209.126.103[.]139, 147.135.1[.]203 |
100 | www.apps4shopify[.]com | 209.126.127[.]231, 209.126.103[.]59 |
101 | www.auctionaffiliate[.]co | 147.135.1[.]203, 209.126.103[.]139 |
102 | www.caphyon-analytics[.]com | 209.126.103[.]139, 209.126.103[.]59 |
103 | www.frompariswithhate[.]org | 209.126.127[.]231, 147.135.1[.]203 |
104 | www.goodyear-coupons[.]com | 209.126.103[.]139, 209.126.127[.]231 |
105 | www.hmailserver[.]in | 147.135.1[.]203, 209.126.103[.]139 |
106 | www.kanpianjs[.]top | 147.135.1[.]203, 209.126.103[.]59 |
107 | www.ournet-analytics[.]com | 209.126.103[.]139, 209.126.127[.]231 |
108 | www.rarstats[.]com | 209.126.103[.]139, 209.126.103[.]59 |
109 | www.seo101[.]net | 147.135.1[.]203, 209.126.103[.]139 |
110 | www.spartan-ntv[.]com | 209.126.103[.]139, 209.126.103[.]59 |
111 | www.takoashi[.]net | 147.135.1[.]203, 209.126.103[.]59 |
112 | www.yys1982[.]com | 209.126.127[.]231, 147.135.1[.]203 |
113 | your-3[.]com | 209.126.103[.]59, 209.126.103[.]139 |
114 | yourmsrp[.]com | 209.126.103[.]59, 209.126.103[.]139 |
115 | zirve100[.]com | 209.126.127[.]231, 209.126.103[.]139 |
116 | s.orange81safe[.]com | 209.126.103[.]139, 147.135.1[.]203 |
117 | n298adserv[.]com | 209.126.103[.]59, 209.126.127[.]231 |
118 | stat.botthumb[.]com | 147.135.1[.]203, 209.126.103[.]59 |
119 | adblockdetector[.]com | 209.126.103[.]59, 147.135.1[.]203 |
120 | cdn.jquery[.]tools | 209.126.103[.]59, 209.126.103[.]139 |
121 | js.sn00[.]net | 209.126.103[.]139, 209.126.103[.]59 |
122 | cleantds[.]in | 209.126.103[.]139, 209.126.127[.]231 |
123 | wp.traffictrade[.]life | 209.126.127[.]231, 147.135.1[.]203 |
124 | www.insightio[.]us | 209.126.103[.]139, 209.126.103[.]59 |
125 | webto[.]mobi | 209.126.103[.]139, 147.135.1[.]203 |
126 | static.hot---jar[.]com | 209.126.103[.]59, 209.126.103[.]139 |
127 | appsyt.brightleaf[.]io | 209.126.103[.]59, 147.135.1[.]203 |
128 | w5983.lb.wa-track[.]com | 209.126.103[.]139, 209.126.127[.]231 |
129 | adrife[.]net | 209.126.103[.]59, 209.126.127[.]231 |
130 | www.andrewandjack[.]com | 209.126.103[.]59, 209.126.127[.]231 |
131 | da.adsvcs[.]com | 209.126.103[.]59, 147.135.1[.]203 |
132 | ssl.cdn.odinkod[.]ru | 209.126.103[.]59, 209.126.127[.]231 |
133 | nexutab[.]com | 209.126.103[.]139, 209.126.127[.]231 |
134 | st.stadsvc[.]com | 209.126.103[.]59, 147.135.1[.]203 |
ドメイン登録日一覧
# | ドメイン名 | 直前のドメイン削除日 | 最新のドメイン登録(移転)日 | 現在のネームサーバ |
1 | newor[.]net | 2018/11/9 | 2018/12/17 | mynameserver1.com |
2 | viralheadlines[.]net | 2018/8/21 | 2018/11/22 | mynameserver1.com |
3 | u-ad[.]info | 2016/4/21 | 2017/6/25 | mynameserver1.com |
4 | abtrcking[.]com | 2018/9/3 | 2018/11/15 | mynameserver1.com |
5 | adrenalinecdn[.]com | 2018/5/26 | 2018/8/3 | mynameserver1.com |
6 | airjss[.]com | 2018/7/23 | 2018/8/31 | mynameserver1.com |
7 | behavioralmailing[.]com | 2018/10/14 | 2018/11/21 | mynameserver1.com |
8 | suppressedvoice[.]com | 2018/10/26 | mynameserver1.com | |
9 | nwcdn[.]xyz | 2018/7/22 | mynameserver3.com | |
10 | beatchucknorris[.]com | 2018/4/29 | 2018/8/16 | mynameserver1.com |
11 | blozoo[.]net | 2017/1/22 | 2017/2/28 | mynameserver1.com |
12 | werringtonlasborough[.]com | 2018/7/30 | mynameserver1.com | |
13 | bwinpoker24[.]com | 2018/4/29 | 2018/8/31 | mynameserver1.com |
14 | radxcomm[.]com | 2018/6/24 | 2018/8/5 | mynameserver1.com |
15 | adpoints.media | 1900/1/0 | ||
16 | avrti[.]xyz | 2018/8/25 | mynameserver3.com | |
17 | botthumb[.]com | 2018/11/22 | 2018/11/30 | mynameserver1.com |
18 | echoenabled[.]com | 2016/12/15 | 2017/3/8 | mynameserver1.com |
19 | inaudium[.]com | 2017/4/28 | 2017/6/5 | mynameserver1.com |
20 | muse-widgets[.]ru | 2018/10/6 | ||
21 | owlcdn[.]com | 2018/1/30 | 2018/3/9 | mynameserver1.com |
22 | firehoseapp[.]com | 2018/1/30 | 2018/3/9 | mynameserver1.com |
23 | jguery[.]org | 2018/4/21 | 2018/6/8 | mynameserver1.com |
24 | sometimesfree[.]biz | 2018/10/6 | 2018/11/10 | mynameserver1.com |
25 | f1call[.]com | 2018/5/19 | 2018/7/5 | mynameserver1.com |
26 | 12mlbe[.]com | 2017/1/24 | 2017/2/15 | mynameserver1.com |
27 | hurlinesswhitchurch[.]com | 2017/7/1 | 2017/9/21 | mynameserver1.com |
28 | dcts[.]pw | 2016/12/24 | ||
29 | dezaula[.]com | 2018/3/16 | 2018/7/18 | mynameserver1.com |
30 | baidustatic[.]pw | |||
31 | e708[.]net | 2018/1/10 | 2018/2/16 | mynameserver1.com |
32 | pontypriddcrick[.]com | 2017/7/1 | 2017/9/21 | mynameserver1.com |
33 | flipdigital[.]ru | 2018/12/5 | ||
34 | font4u[.]ga | |||
35 | ga87z2o[.]com | 2018/3/31 | 2018/5/8 | mynameserver1.com |
36 | vio[.]rocks | |||
37 | getsocialbuttons[.]xyz | 2018/8/15 | 2018/11/26 | mynameserver3.com |
38 | godstrength[.]org | 2018/4/14 | 2018/7/15 | mynameserver1.com |
39 | hosted-oswa[.]org | 2018/9/25 | 2018/11/9 | mynameserver1.com |
40 | omeljs[.]info | 2017/8/7 | 2017/12/11 | mynameserver1.com |
41 | rfgdjs[.]info | 2017/5/28 | 2017/12/11 | mynameserver1.com |
42 | selectionlinksjs[.]info | 2016/7/7 | 2018/8/16 | mynameserver1.com |
43 | putags[.]com | 2017/12/24 | 2018/1/30 | mynameserver1.com |
44 | ijquery9[.]com | 2018/6/30 | 2018/8/6 | mynameserver1.com |
45 | tcs3[.]co[.]uk | |||
46 | iplusfree[.]pro | 2018/7/13 | 2018/8/21 | mynameserver1.com |
47 | jquery[.]im | |||
48 | mp3rocketdownloadfiles[.]com | 2018/12/4 | 2018/12/5 | mynameserver1.com |
49 | nster[.]net | 2018/12/5 | 2018/12/6 | mynameserver1.com |
50 | trafficanalytics[.]online | |||
51 | sn00[.]net | 2018/2/13 | 2018/5/9 | mynameserver1.com |
52 | kristofer[.]ga | |||
53 | livestats[.]us | 2016/7/3 | 2017/2/16 | mynameserver1.com |
54 | widgetstat[.]net | 2018/2/14 | 2018/8/12 | mynameserver1.com |
55 | free-codes[.]org | 2018/1/31 | ||
56 | xfanclub[.]ru | 2016/8/2 | ||
57 | mediros[.]ru | 2018/8/12 | ||
58 | n299adserv[.]com | 2017/11/12 | 2018/3/30 | mynameserver1.com |
59 | nstracking[.]com | 2016/1/2 | 2017/2/17 | mynameserver1.com |
60 | oasagm82wioi[.]org | 2018/1/21 | 2018/8/25 | mynameserver1.com |
61 | onlinemarketplace[.]top | |||
62 | kuru2jam[.]com | 2018/3/2 | 2018/4/8 | mynameserver1.com |
63 | motoboerse[.]at | |||
64 | pipardot[.]com | 2018/12/18 | 2018/12/26 | mynameserver1.com |
65 | nighter[.]club | 2018/9/29 | 2018/12/19 | mynameserver1.com |
66 | omnitor[.]ru | 2018/8/12 | ||
67 | sbdtds[.]com | 2016/12/2 | 2017/2/15 | mynameserver1.com |
68 | scorepresshidden[.]info | 2018/11/19 | 2018/11/24 | mynameserver1.com |
69 | script.affilizr[.]com | 2017/4/18 | 2017/6/26 | mynameserver1.com |
70 | dancewithme[.]biz | 2018/10/19 | 2018/11/25 | mynameserver1.com |
71 | security-service[.]su | 2018/8/12 | ||
72 | senderjs[.]net | 2018/12/19 | 2018/12/27 | mynameserver1.com |
73 | clk-analytics[.]com | 2018/8/30 | 2018/10/9 | mynameserver1.com |
74 | segpress[.]io | |||
75 | stablemoney[.]ru | 2018/1/10 | ||
76 | rolledwil[.]biz | 2017/5/12 | 2017/7/6 | mynameserver1.com |
77 | bh-cdn[.]com | 2018/9/16 | 2018/10/24 | mynameserver1.com |
78 | imaginaxs[.]com | 2018/6/7 | 2018/8/21 | mynameserver1.com |
79 | affect[.]lt | 2017/12/3 | ||
80 | trafficapi[.]nl | |||
81 | traffictrade[.]life | 2018/8/15 | 2018/9/27 | mynameserver1.com |
82 | upgraderservices[.]cf | |||
83 | upskirt-jp[.]net | 2018/12/19 | 2018/12/27 | mynameserver1.com |
84 | vclicks[.]net | 2018/7/15 | 2018/8/24 | mynameserver1.com |
85 | vstats[.]co | 2017/8/1 | 2017/8/3 | cloudflare.com |
86 | topage[.]net | 2018/11/19 | 2018/11/25 | mynameserver1.com |
87 | webeatyouradblocker[.]com | 2017/2/23 | 2017/5/15 | mynameserver1.com |
88 | xcellenzy[.]com | 2017/11/11 | 2018/2/14 | mynameserver1.com |
89 | wowzio[.]net | 2018/1/29 | 2018/1/30 | mynameserver1.com |
90 | acotemoi[.]com | 2018/12/11 | mynameserver1.com | |
91 | adsonflags[.]com | 2018/9/1 | 2018/10/9 | mynameserver1.com |
92 | agrkings[.]com | 2017/2/10 | 2017/4/4 | mynameserver1.com |
93 | apps4shopify[.]com | 2018/9/24 | 2018/11/9 | mynameserver1.com |
94 | auctionaffiliate[.]co | 2016/4/1 | 2017/2/17 | mynameserver1.com |
95 | caphyon-analytics[.]com | 2018/3/21 | 2018/8/16 | mynameserver1.com |
96 | frompariswithhate[.]org | 2018/1/31 | ||
97 | goodyear-coupons[.]com | 2017/1/10 | 2017/4/4 | mynameserver1.com |
98 | hmailserver[.]in | 2015/1/24 | ||
99 | kanpianjs[.]top | |||
100 | ournet-analytics[.]com | 2016/6/11 | 2018/8/16 | mynameserver1.com |
101 | rarstats[.]com | 2018/10/6 | 2018/11/21 | mynameserver1.com |
102 | seo101[.]net | 2018/1/31 | 2018/3/10 | mynameserver1.com |
103 | spartan-ntv[.]com | 2018/1/27 | 2018/3/6 | mynameserver1.com |
104 | takoashi[.]net | 2018/6/15 | 2018/7/22 | mynameserver1.com |
105 | yys1982[.]com | 2018/8/22 | 2018/10/6 | mynameserver1.com |
106 | your-3[.]com | 2018/11/21 | mynameserver1.com | |
107 | yourmsrp[.]com | 2018/7/14 | 2018/8/21 | mynameserver1.com |
108 | zirve100[.]com | 2016/12/24 | 2017/2/15 | mynameserver1.com |
109 | orange81safe[.]com | 2018/9/20 | 2018/10/28 | mynameserver1.com |
110 | n298adserv[.]com | 2018/11/12 | 2018/12/26 | mynameserver1.com |
111 | adblockdetector[.]com | 2016/12/1 | 2017/2/13 | mynameserver1.com |
112 | jquery[.]tools | |||
113 | cleantds[.]in | 2016/4/27 | ||
114 | insightio.us | 2017/7/8 | 2017/8/13 | mynameserver1.com |
115 | webto[.]mobi | 2016/9/1 | ||
116 | hot---jar[.]com | 2018/11/18 | mynameserver1.com | |
117 | brightleaf[.]io | 2018/8/24 | ||
118 | wa-track[.]com | 2018/6/8 | 2018/6/14 | mynameserver1.com |
119 | adrife[.]net | 2017/8/3 | 2018/3/18 | mynameserver1.com |
120 | andrewandjack[.]com | 2018/10/10 | 2018/11/21 | mynameserver1.com |
121 | adsvcs[.]com | 2018/10/8 | 2018/11/21 | mynameserver1.com |
122 | odinkod[.]ru | 2017/4/3 | ||
123 | nexutab[.]com | 2018/5/5 | 2018/7/8 | mynameserver1.com |
124 | stadsvc[.]com | 2018/10/8 | 2018/11/18 | mynameserver1.com |
不審スクリプトURL一覧
# | 不審スクリプトのURL |
1 | hxxp://1.newor[.]net/www/delivery/delivery3.js |
2 | hxxp://2.api.viralheadlines[.]net/js/mass |
3 | hxxp://3.newor[.]net/www/delivery/delivery3.js |
4 | hxxp://a01.u-ad[.]info/page/JS.php |
5 | hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js |
6 | hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js |
7 | hxxp://airjss[.]com/data-uri.js |
8 | hxxp://api.behavioralmailing[.]com/js/data.js |
9 | hxxp://b.nwcdn[.]xyz/placement.js |
10 | hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js |
11 | hxxp://blozoo[.]net/js/ranktool/analyze.js |
12 | hxxp://bwinpoker24[.]com/door.js |
13 | hxxp://c.radxcomm[.]com/AdvWindow/getWin/ed839af81cb935b63b6110da3a9af267 |
14 | hxxp://cdn.adpoints[.]media/production/ads/652.js |
15 | hxxp://cdn.avrti[.]xyz/s.js |
16 | hxxp://cdn.inaudium[.]com/js/adtctr.js |
17 | hxxp://cdn.echoenabled[.]com/clientapps/v2/backplane.js |
18 | hxxp://cdn.inaudium[.]com/js/adtctr.js |
19 | hxxp://cdn.muse-widgets[.]ru/mwsuperanimate.js |
20 | hxxp://cdn.owlcdn[.]com/google/analytics/analytics.js |
21 | hxxp://cfs.u-ad[.]info/cfspushadsv2/request |
22 | hxxp://chat-client-js.firehoseapp[.]com/chat-min.js |
23 | hxxp://code.jguery[.]org/jquery-2.2.1.min.js |
24 | hxxp://con1.sometimesfree[.]biz/c.js |
25 | hxxp://connect.f1call[.]com/static/api.js |
26 | hxxp://d0.histats.12mlbe[.]com/cgi-bin/mle.cgi |
27 | hxxp://daljarrock.hurlinesswhitchurch[.]com/blest.js |
28 | hxxp://dcts[.]pw/dictus.js |
29 | hxxp://dezaula[.]com/dezaula.js |
30 | hxxp://dup.baidustatic[.]pw/js/ds.js |
31 | hxxp://e.e708[.]net/cpc/index.php |
32 | hxxp://earsham.pontypriddcrick[.]com/embroiders.js?ref= |
33 | hxxp://flipdigital[.]ru/bcRX/src.js |
34 | hxxp://gamescale.vio[.]rocks/app/embed/ |
35 | hxxp://getsocialbuttons[.]xyz/get-social.js |
36 | hxxp://hosted-oswa[.]org/piwik/piwik.js |
37 | hxxp://i.omeljs[.]info/omel/javascript.js |
38 | hxxp://i.rfgdjs[.]info/opt_content.js |
39 | hxxp://i.selectionlinksjs[.]info/obfy/javascript.js |
40 | hxxp://i3.putags[.]com/c4/5a/d0/c45ad0245f5cbeaaf368ef6bbfddb41c.js |
41 | hxxp://ijquery9[.]com/common.js |
42 | hxxp://infinite-2.tcs3[.]co[.]uk/Themes/InfiniteV2/jquery.js |
43 | hxxp://infinite-3.tcs3[.]co[.]uk/themes/infinitev3/totop.js |
44 | hxxp://java.sometimesfree[.]biz/counter.js |
45 | hxxp://jquery[.]im/jquery.geo.js |
46 | hxxp://js.nster[.]net/00/12/69.js |
47 | hxxp://js.trafficanalytics[.]online/js/js.js |
48 | hxxp://js2.sn00[.]net/00/37/20.js |
49 | hxxp://keit.kristofer[.]ga/71HXRp |
50 | hxxp://livestats[.]us/812X |
51 | hxxp://log.widgetstat[.]net/event.php |
52 | hxxp://m.free-codes[.]org/gh.php |
53 | hxxp://m.xfanclub[.]ru/c/45558.js |
54 | hxxp://mediros[.]ru/get2.php |
55 | hxxps://n299adserv[.]com/js/show_ads_supp.js |
56 | hxxp://narnia.tcs3[.]co[.]uk/themes/narnia/narnia.1/getjs.asp |
57 | hxxp://nstracking[.]com/js/TrackingV2.js |
58 | hxxp://oasagm82wioi[.]org/css/js/style.php |
59 | hxxp://onlinemarketplace[.]top/client.js |
60 | hxxp://parts.kuru2jam[.]com/js/wind_chime.js |
61 | hxxp://pipardot[.]com/pd.js |
62 | hxxp://s1.omnitor[.]ru/1fed79f0c2c92588b739f9e9f3be7bc6.js |
63 | hxxp://sbdtds[.]com/acounter.js |
64 | hxxp://script.affilizr[.]com/js/affilizr.js |
65 | hxxp://sdb.dancewithme[.]biz/db.js |
66 | hxxps://security-service[.]su/src/hirschs.co.za.js |
67 | hxxp://src.dancewithme[.]biz/src.js |
68 | hxxp://srv1.clk-analytics[.]com/i/ |
69 | hxxp://st.segpress[.]io/segpress/focus/1.js |
70 | hxxp://stablemoney[.]ru/113962.js |
71 | hxxp://stat.rolledwil[.]biz/stat.php |
72 | hxxp://static.bh-cdn[.]com/msf/loader.js |
73 | hxxp://tag.imaginaxs[.]com/script/14567725196/preload.js |
74 | hxxp://themes.affect[.]lt/bodega/wp-content/themes/bodega/js/jquery.nivo.slider.pack.js |
75 | hxxp://trafficapi[.]nl/static/main.js |
76 | hxxp://traffictrade[.]life/scripts.js |
77 | hxxp://upgraderservices[.]cf/drupal.js |
78 | hxxp://upskirt-jp[.]net/piwik/piwik.js |
79 | hxxps://w.topage[.]net/box.js |
80 | hxxp://webstats.xcellenzy[.]com/piwik.js |
81 | hxxp://widgets.wowzio[.]net/widgets/jscript |
82 | hxxps://www.adsonflags[.]com/js/show_ads_ecpmband.js |
83 | hxxp://www.agrkings[.]com/ads-api |
84 | hxxps://www.apps4shopify[.]com/header-notification-bar/assets/js/countdown.js |
85 | hxxp://www.caphyon-analytics[.]com/aws.js |
86 | hxxp://www.frompariswithhate[.]org/t.js |
87 | hxxp://www.hmailserver[.]in/iser/ |
88 | hxxp://www.kanpianjs[.]top/dy/home.js |
89 | hxxp://www.ournet-analytics[.]com/top20md.js |
90 | hxxp://www.rarstats[.]com/piwik.js |
91 | hxxp://www.seo101[.]net/apntrack.js |
92 | hxxp://www.spartan-ntv[.]com/tag/pera/nat.js |
93 | hxxp://www.takoashi[.]net/js/ConvertTree.js |
94 | hxxp://www.takoashi[.]net/js/CreateCommentsTree.js |
95 | hxxp://www.takoashi[.]net/js/CreateTrackBacksTree.js |
96 | hxxp://www.takoashi[.]net/js/CreateCategoryTree.js |
97 | hxxp://www.yys1982[.]com/468.js |
98 | hxxp://yourmsrp[.]com/piwik//piwik.js |
99 | hxxp://zirve100[.]com/CounterV4.js |
100 | hxxp://s.orange81safe[.]com/scr1_wrp.js |
101 | hxxp://stat.botthumb[.]com/piwik.js |
102 | hxxp://cdn.jquery[.]tools/latest.min.js |
103 | hxxp://js.sn00[.]net/00/17/93.js |
104 | hxxp://cleantds[.]in/coupe.php |
105 | hxxp://w5983.lb.wa-track[.]com/wa.js |
106 | hxxp://www.andrewandjack[.]com/untitledthemes/kinley/lite.js |
107 | hxxp://da.adsvcs[.]com/adsvcs/adsvcs.js |
108 | hxxp://st.stadsvc[.]com/stadsvc/stadsvc.js |
以上
更新履歴
2019年1月26日 | 初版作成 |
SEOポイズニングの手法を使用した偽ECサイトについて
はじめに
今年3月、リクルートテクノロジーズ社が偽サイトへの誘導を目的としたSEOポイズニングに関する記事を公開しました。
脆弱性を突くなどして他のサイトに検索エンジン(Google等)のクローラのみがアクセスできるページを不正に設置し、このページを踏み台として攻撃者が運用する偽サイトにユーザを誘導しようとする試みに関する記事です。
同様の試みは、現在も活発に行われています。
本記事では、SEOポイズニングの手法を使用した偽ECサイトに関して、現時点で確認できていることを纏めてみたいと思います。
SEOポイズニングの手法について
偽ECサイトへの踏み台として不正に設置されるページは、日本国内で一般的に認知されている組織のWebサイトをコピーしたもののようです。
検索エンジンで、このようなWebサイトのCopyright部分をキーワードとして検索すると、怪しげなページが山ほど出てきます。
例えば検察庁の公式サイトには、
"Copyright (C) Public Prosecutors Office. All Rights Reserved."
という記載があります。
この部分をキーワードとして検索エンジンで検索すると、このような結果が表示されました。
(検察庁ドメインである"kensatsu.go.jp"は検索結果から除外しています)
さまざまな商品を取り扱ったページが検索結果として表示されています。
いずれも検察庁のCopyright表記が含まれています。
続いて、日本銀行の公式サイトのCopyright部分をキーワードとして同じような検索を行ってみます。
検察庁と同様、商品を紹介するようなページが検索結果として表示されています。
これらのページに実際にアクセスしてみると、
文言が微妙に異なりますが、同じような造りのサイトに誘導されます。
ここでは、オレンジ色を主体としたサイトのキャプチャを記載しましたが、他にも赤色や紫色を主体としたサイトも存在します。
(会社概要に記載された情報は公開情報であるため、マスキングは行いませんでした。)
先ほど記載した検察庁のCopyright部分をキーワードとして検索した結果の中で、気になる文言がありました。
{yahoojp}jnice01-yyp07-wl-zd
という文言です。
この文言をキーワードにして検索してみます。
このキーワードで検索を行うと、420万件以上のページがリストアップされました。
いずれも、商品を紹介するページに誘導するものに見えます。
これらの商品紹介ページのGoogleキャッシュを見てみます。
とある商品紹介ページのGoogleキャッシュです。
ページ下部に、
"Copyright c TOYOTA MOTOR HOKKADO.INC. All Rights Reserved."
という記載があります。
確認したところ、このCopyright表記は、トヨタ自動車北海道株式会社のWebサイトに記載されているものと同じでした。
どうやら、既存の正規のWebサイトに商品紹介の文言を追記したWebページを作成し、ユーザエージェントが検索エンジンのクローラ であった場合のみ、このページを応答として返却しているようです。
正しい日本語で記載されたWebページを模倣することで、SEOの効果を狙ったものだと思われます。
偽ECサイトの正体
このようなSEOポイズニングの手法により誘導されるサイトを確認したところ、いずれもCloudFlare配下に存在しており、その実態を確認することが困難です。
そこで、偽ECサイトの自動返信メールのヘッダ情報から正体を見てみたいと思います。
自動返信メールの送信元は、
<hiramotoshin@gmail.com>
でした。
このメールアドレスは、偽ECサイトの会社概要のメールアドレスと一致しています。
そして、初っ端のReceived: ヘッダを見ると、
Received: from www.legendzhgb.top (mail1.aipaltn.info. [192.187.114.90])
とありました。
偽サイトとして表に出ているFQDN(www.legendzhgb.top)は、mail1.aipaltn.infoというホストからメールを送信しています。
このメールは、GmailのSMTPサーバに対してリレーしていることが確認できています。
Whoisで確認したところ、偽サイトの表のFQDNはCloudFlare配下にあり、オリジンサーバのIPアドレスは確認できませんでした。
そして、当該ドメインの所有者には日本人と思わしき氏名がありました。
続いて、mail1.aipaltn.info. [192.187.114.90]) についてです。
このサーバは、Cloudflareの裏に隠れている偽ECサイトの正体であると思われます。
このドメインのWhois情報を確認すると、ここにも日本人と思わしき氏名が現れました。
この登録者情報には複数のドメインが紐付けられています。
ifulpicy.info
imnontn.info
lapfion.info
lhamibn.info
ljojytn.info
ulkimgn.info
utifugn.info
実際に、偽ECサイトの正体と思わしきサイトにアクセスしてみます。
もろに中国語ですね。
このサーバに対して、CloudFlareに守られている表サイトのFQDNをhostヘッダに設定したHTTPリクエストを送信すると、偽ECサイトのコンテンツが応答として返却されました。
CloudFlareの裏に隠れているオリジンサイトは、現状1サイト(mail1.aipaltn.info)のみが稼働しています。
その他のサイトは名前解決が不能な状態でした。
またまた無理やりまとめ
偽サイトはCloudFlareで隠蔽しながら、自動返信メールでオリジンのFQDNを晒すという、間抜けな構成が明らかになりました。
商品名などを使用した通常のキーワード検索ではこれら偽サイトが上位に表示されることがないことから、日々サイト改竄を行い踏み台ページを設置している割には、SEOの効果が現れているとは言い難い状況です。
あまりに稚拙な造りであるため、何か特別な意味をもってこの偽サイトが運用されているのではないかとも思えてきます。
何れにしても、冒頭に掲載したフォーマットのサイトにたどり着いた場合は、即刻立ち去るのが賢明だと思われます。
以上
2018年7月29日 | 初版作成 |