tike blog

セキュリティで気になった事をダラダラと。

放棄ドメインの大量取得によるスクリプトの乗っ取りについて

 

 

 

はじめに

 

 

 

既に役目を終えたドメインの遺産はリンク切れという形でインターネット上に残ることがあります。

 

ここでいう遺産とは、放棄ドメインに紐付くリソース(画像、外部スクリプトなど)を指します。

 

閲覧者の目に直接触れるリソース(画像や動画など)が存在しない状態になったことを閲覧者自身が認識することはさほど難しくはありません。
その一方、外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しいのではないかと思います。

 

このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。

 

 

 

 

不審な JavaScript

 

 

 

先日、不審な挙動を示す以下のJavaScriptを目にしました。

 

f:id:tiketiketikeke:20190126161720p:plain


Cookieを含むいくつかの情報を king[.]connectioncdn[.]com という外部のサーバにPOSTするというものです。

 

そして、このJavaScriptの呼び出し元は、海外のLinuxユーザのコミュニティサイトである LinuxForums[.]org でした。

f:id:tiketiketikeke:20190126163234p:plain

 

データ送信を行うJavaScriptは、以下のscriptタグで読み込まれます。

 

f:id:tiketiketikeke:20190126163600p:plain

 

JavaScript参照元 (LinuxForums[.]org) と参照先 (3[.]newor[.]net) 、データの送信先 (king[.]connectioncdn[.]com) は、いずれも異なるドメインであり、閲覧者が認識できない形で秘密裏に情報を外部に送信しているように見えます。

 

実際に送信される情報をパケットキャプチャから見てみます。

 

f:id:tiketiketikeke:20190126164732p:plain

 

Cookie以外にも、呼び出し元のサイト名、ページ名、リファラやタイムスタンプ、何らかの意味がありそうなランダムな値なども送信しています。 

 

続いてデータの送信先ホストについて見ていきたいと思います。


 

 

データの送信先から見えるインフラの全体像

 

 

 

データの送信先ホストを確認したところ、サブドメインがいくつか存在することが確認できました。
前述の分も含めると、以下の4件のサブドメインが存在します。

 

f:id:tiketiketikeke:20190126165354p:plain

 

それぞれのDNS Aレコードは以下の通りです。

 

f:id:tiketiketikeke:20190126165526p:plain

 

f:id:tiketiketikeke:20190126165551p:plain

 

f:id:tiketiketikeke:20190126165634p:plain

 

f:id:tiketiketikeke:20190126165704p:plain

 

f:id:tiketiketikeke:20190126165858p:plain

 

hashtagとmars、kingはAS30083(Hosting Solutions International, Inc.)、pressはAS16276 (OVH SAS) の配下にいるようです。

※ 以下、これらのホストをconnectioncdnホストと記載します。

 

次に、外部にデータを送信するスクリプトが設置されたホストのIPアドレスを見てみます。

 

f:id:tiketiketikeke:20190126170235p:plain

 

Aレコードが2件登録されており、hashtagとpressのconnectioncdnホストと同じIPアドレスであることがわかりました。

 

それぞれのIPアドレスに対してスクリプトを取得してみます。

 

まずは 209.126.103[.]59 (hashtag[.]connectioncdn[.]com)に対して。

 

f:id:tiketiketikeke:20190126171318p:plain

 

レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。

 

f:id:tiketiketikeke:20190126171440p:plain

 

データの送信先として、hashtag[.]connectioncdn[.]com が指定されています。

 

次に、147.135.1[.]203 (press[.]connectioncdn[.]com)からスクリプトを取得します。

 

f:id:tiketiketikeke:20190126171720p:plain

 

レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。

 

f:id:tiketiketikeke:20190126171812p:plain

 

IPアドレスを同一とするconnectioncdnホストに対してデータをPOSTする仕様のようです。

 

更に確認したところ、4台の connectioncdnホストと同じIPアドレスを持つFQDNが2019年1月24日の時点で少なくとも134件存在し、いずれも上記の事例と同様、2台のconnectioncdnホストと同じIPアドレスを持つことが確認できました。

 

一部のFQDNIPアドレスの一覧を以下に記載します。

※134件全件の一覧はIoC情報として文末に記載しています。

 

# FQDN IPアドレス
1 1.newor[.]net 147.135.1[.]203, 209.126.103[.]139
2 2.api.viralheadlines[.]net 147.135.1[.]203, 209.126.127[.]231
3 3.newor[.]net 147.135.1[.]203, 209.126.103[.]139
4 a01.u-ad[.]info 209.126.103[.]59, 209.126.127[.]231
5 abtrcking[.]com 147.135.1[.]203, 209.126.103[.]59
6 adrenalinecdn[.]com 147.135.1[.]203, 209.126.103[.]59
7 airjss[.]com 147.135.1[.]203, 209.126.103[.]139
8 api.behavioralmailing[.]com 147.135.1[.]203, 209.126.103[.]59
9 apps.suppressedvoice[.]com 209.126.103[.]139, 147.135.1[.]203
10 b.nwcdn[.]xyz 209.126.103[.]139, 147.135.1[.]203

 

一部を抜粋して図示すると以下のようになります。

 

f:id:tiketiketikeke:20190126180939p:plain

 

connectioncdnホストの1台に何らかの問題が発生したとしても業務継続(?)が可能となるよう冗長構成がとられています。
また、前述した通り connectioncdnホストは2つのプロバイダ(AS30083とAS16276)にまたがっており、あらゆる事態を想定した堅牢な構成で稼動していると言えます。

 

次に、134件のFQDNを構成する各ドメインの取得時期を見てみたいと思います。
合わせて、これらのドメインが新規に取得されたものなのか、または既存のドメインを流用したものなのかを確認するために、ドメイン削除の記録があればその時期についても確認します。

なお、ドメイン放棄の記録は、domainbigdata.com の [history]項目から抽出しており、表中の[直前のドメイン削除日]は、ドメイン再取得の直前にそのドメインが放棄された日付を示しています。

※ここでは一部のドメインのみとし、全件はIoC情報として文末に記載しています。

 

# ドメイン 直前のドメイン削除日 最新のドメイン登録(移転)日 現在のネームサーバ
1 newor[.]net 2018/11/9 2018/12/17 mynameserver1.com
2 viralheadlines[.]net 2018/8/21 2018/11/22 mynameserver1.com
3 u-ad[.]info 2016/4/21 2017/6/25 mynameserver1.com
4 abtrcking[.]com 2018/9/3 2018/11/15 mynameserver1.com
5 adrenalinecdn[.]com 2018/5/26 2018/8/3 mynameserver1.com
6 airjss[.]com 2018/7/23 2018/8/31 mynameserver1.com
7 behavioralmailing[.]com 2018/10/14 2018/11/21 mynameserver1.com
8 suppressedvoice[.]com   2018/10/26 mynameserver1.com
9 nwcdn[.]xyz   2018/7/22 mynameserver3.com
10 beatchucknorris[.]com 2018/4/29 2018/8/16 mynameserver1.com

 

全件を確認したところ、一部の不明なドメインを除く大半のドメインは過去に放棄された経緯があることがわかりました。

放棄された時期と再登録された時期はバラバラですが、第三者が放棄ドメインを取得し、このインフラに組み込んでいるようです。

 

 

 

どのようなスクリプトが公開されているのか

 

 

connectioncdnホストと同一のIPアドレスを持つFQDN群が、本記事の冒頭に示した不審なJavaScriptとほぼ同じ内容のスクリプトを公開していることが確認できました。何れも、Cookieを含む情報をconnectioncdnホストに対して送信するという内容です。可能な範囲で収集したスクリプトのURLを以下に示します。

 ※ここでは一部のURLのみとし、全件はIoC情報として文末に記載しています。

 

# 不審スクリプトのURL
1 hxxp://1.newor[.]net/www/delivery/delivery3.js
2 hxxp://2.api.viralheadlines[.]net/js/mass
3 hxxp://3.newor[.]net/www/delivery/delivery3.js
4 hxxp://a01.u-ad[.]info/page/JS.php
5 hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js
6 hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js
7 hxxp://airjss[.]com/data-uri.js
8 hxxp://api.behavioralmailing[.]com/js/data.js
9 hxxp://b.nwcdn[.]xyz/placement.js
10 hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js

 

これらのスクリプトはPOST先のサーバとkパラメータの値が異なるのみであり、ほぼ全て同じ内容でした。

更に、各サイトのルートディレクトリ、及び存在しないファイルをリクエストしてみます。

先ずはルートディレクトリにアクセスしてみます。

 

f:id:tiketiketikeke:20190126203654p:plain

 

全てのURLで「Temporaily Down for Maintenance.」という文言が表示されることが確認できました。

 

次に、存在しないファイルをリクエストしてみます。

 

f:id:tiketiketikeke:20190126203817p:plain

 

こちらも、全てのURLで同様の文言が表示されました。

 

このことから、特定リソースへのリクエストが来た場合にのみ特別な処理を行うように実装されていると考えられます。

 

 

 

放棄ドメインは本来どのように使われていたのか

 

 

放棄ドメインの本来の用途は様々です。WordPressTumblrのテンプレート、フリーのソースコードサンプル、広告関連、アクセス解析などなど。外部スクリプトとして消されずに残っている可能性のあるものばかりです。

詐欺サイトに誘導するための踏み台として過去にWordPressサイトに不正に埋め込まれたスクリプトが、今ではconnectioncdnホストに情報を送信する目的で使用されているのは特に興味深い点として挙げられます。

 

 

 

まとめ

 

 

 

最後までご覧いただきありがとうございます。

 

私個人のレベルでは、ここまでの調査が限界でした(笑)

このブログをご覧頂いた方の中で「更に深く調査してやろう」という方がもしいらっしゃいましたら、是非とも継続調査をお願いできればと思います。

 

本記事の冒頭「外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しい」と述べましたが、これはあくまで閲覧者の視点での話です。
外部スクリプトが改竄され、コインマイナーが仕込まれたり、カード情報が盗まれたりという話は度々報道されています。

サイト運営者の方々は自サイト上のゴミを極力排除し、更に外部リソースの変化を検知できる仕組みをご検討頂くべきかと思います。
(偉そうなこと言ってスミマセン!)

 

ではでは。

 

 

 

IoC

 

 

 

 connectioncdnホストと同居するFQDN一覧

 

 

# FQDN IPアドレス
1 1.newor[.]net 147.135.1[.]203, 209.126.103[.]139
2 2.api.viralheadlines[.]net 147.135.1[.]203, 209.126.127[.]231
3 3.newor[.]net 147.135.1[.]203, 209.126.103[.]139
4 a01.u-ad[.]info 209.126.103[.]59, 209.126.127[.]231
5 abtrcking[.]com 147.135.1[.]203, 209.126.103[.]59
6 adrenalinecdn[.]com 147.135.1[.]203, 209.126.103[.]59
7 airjss[.]com 147.135.1[.]203, 209.126.103[.]139
8 api.behavioralmailing[.]com 147.135.1[.]203, 209.126.103[.]59
9 apps.suppressedvoice[.]com 209.126.103[.]139, 147.135.1[.]203
10 b.nwcdn[.]xyz 209.126.103[.]139, 147.135.1[.]203
11 beatchucknorris[.]com 209.126.103[.]59, 147.135.1[.]203
12 blozoo[.]net 147.135.1[.]203, 209.126.103[.]139
13 bolingbroke.werringtonlasborough[.]com 209.126.127[.]231, 209.126.103[.]59
14 bwinpoker24[.]com 147.135.1[.]203, 209.126.103[.]59
15 c.radxcomm[.]com 209.126.103[.]139, 209.126.127[.]231
16 cdn.adpoints[.]media 209.126.103[.]59, 209.126.127[.]231
17 cdn.avrti[.]xyz 147.135.1[.]203, 209.126.103[.]139
18 cdn.botthumb[.]com 147.135.1[.]203, 209.126.127[.]231
19 cdn.echoenabled[.]com 209.126.127[.]231, 209.126.103[.]59
20 cdn[.]inaudium[.]com 209.126.127[.]231, 209.126.103[.]59
21 cdn.muse-widgets[.]ru 209.126.103[.]59, 209.126.127[.]231
22 cdn.owlcdn[.]com 147.135.1[.]203, 209.126.103[.]59
23 cfs.u-ad[.]info 209.126.127[.]231, 147.135.1[.]203
24 chat-client-js.firehoseapp[.]com 147.135.1[.]203, 209.126.127[.]231
25 code.jguery[.]org 209.126.103[.]139, 147.135.1[.]203
26 con1.sometimesfree[.]biz 209.126.103[.]139, 209.126.103[.]59
27 connect.f1call[.]com 209.126.103[.]59, 209.126.103[.]139
28 d0.histats.12mlbe[.]com 209.126.127[.]231, 209.126.103[.]139
29 daljarrock.hurlinesswhitchurch[.]com 209.126.103[.]59, 209.126.103[.]139
30 dcts[.]pw 209.126.103[.]59, 147.135.1[.]203
31 dezaula[.]com 209.126.103[.]59, 147.135.1[.]203
32 dup.baidustatic[.]pw 209.126.103[.]59, 209.126.127[.]231
33 e.e708[.]net 147.135.1[.]203, 209.126.103[.]139
34 earsham.pontypriddcrick[.]com 209.126.103[.]139, 147.135.1[.]203
35 flipdigital[.]ru 209.126.127[.]231, 209.126.103[.]139
36 font4u[.]ga 147.135.1[.]203, 209.126.127[.]231
37 ga87z2o[.]com 147.135.1[.]203, 209.126.103[.]59
38 gamescale.vio[.]rocks 209.126.103[.]139, 209.126.103[.]59
39 getsocialbuttons[.]xyz 147.135.1[.]203, 209.126.103[.]59
40 godstrength[.]org 209.126.103[.]139, 209.126.103[.]59
41 hosted-oswa[.]org 209.126.127[.]231, 147.135.1[.]203
42 i.omeljs[.]info 209.126.103[.]139, 209.126.127[.]231
43 i.rfgdjs[.]info 147.135.1[.]203, 209.126.103[.]59
44 i.selectionlinksjs[.]info 209.126.103[.]139, 209.126.127[.]231
45 i3.putags[.]com 147.135.1[.]203, 209.126.127[.]231
46 ijquery9[.]com 209.126.103[.]59, 209.126.127[.]231
47 infinite-2.tcs3[.]co[.]uk 209.126.103[.]139, 147.135.1[.]203
48 infinite-3.tcs3[.]co[.]uk 209.126.103[.]59, 209.126.127[.]231
49 iplusfree[.]pro 209.126.127[.]231, 209.126.103[.]59
50 java.sometimesfree[.]biz 209.126.103[.]59, 209.126.103[.]139
51 jquery[.]im 209.126.103[.]139, 147.135.1[.]203
52 js.mp3rocketdownloadfiles[.]com 209.126.103[.]59, 209.126.103[.]139
53 js.nster[.]net 209.126.127[.]231, 147.135.1[.]203
54 js.trafficanalytics[.]online 209.126.103[.]139, 209.126.103[.]59
55 js2.sn00[.]net 209.126.103[.]139, 209.126.127[.]231
56 keit.kristofer[.]ga 147.135.1[.]203, 209.126.103[.]59
57 livestats[.]us 209.126.103[.]59, 209.126.103[.]139
58 log.widgetstat[.]net 209.126.103[.]59, 209.126.127[.]231
59 m.free-codes[.]org 209.126.103[.]59, 209.126.103[.]139
60 m.xfanclub[.]ru 209.126.103[.]59, 147.135.1[.]203
61 mediros[.]ru 209.126.127[.]231, 209.126.103[.]139
62 n299adserv[.]com 209.126.103[.]59, 209.126.103[.]139
63 narnia.tcs3[.]co[.]uk 209.126.127[.]231, 209.126.103[.]59
64 nstracking[.]com 147.135.1[.]203, 209.126.103[.]59
65 oasagm82wioi[.]org 209.126.103[.]59, 209.126.103[.]139
66 onlinemarketplace[.]top 209.126.103[.]139, 209.126.127[.]231
67 parts.kuru2jam[.]com 209.126.103[.]59, 209.126.127[.]231
68 phpadsnew.motoboerse[.]at 147.135.1[.]203, 209.126.103[.]59
69 pipardot[.]com 209.126.127[.]231, 147.135.1[.]203
70 pl105476.putags[.]com 147.135.1[.]203, 209.126.127[.]231
71 place2003.nighter[.]club 147.135.1[.]203, 209.126.103[.]59
72 s1.omnitor[.]ru 209.126.103[.]59, 209.126.127[.]231
73 sbdtds[.]com 209.126.127[.]231, 209.126.103[.]59
74 scorepresshidden[.]info 147.135.1[.]203, 209.126.127[.]231
75 script.affilizr[.]com 209.126.103[.]59, 209.126.103[.]139
76 sdb.dancewithme[.]biz 209.126.103[.]139, 147.135.1[.]203
77 security-service[.]su 209.126.103[.]59, 209.126.127[.]231
78 senderjs[.]net 147.135.1[.]203, 209.126.103[.]139
79 src.dancewithme[.]biz 209.126.127[.]231, 209.126.103[.]139
80 srv1.clk-analytics[.]com 209.126.103[.]139, 147.135.1[.]203
81 st.segpress.io 209.126.103[.]139, 209.126.103[.]59
82 stablemoney[.]ru 209.126.127[.]231, 209.126.103[.]59
83 stat.rolledwil[.]biz 209.126.103[.]59, 209.126.127[.]231
84 static.bh-cdn[.]com 209.126.103[.]139, 209.126.103[.]59
85 tag.imaginaxs[.]com 147.135.1[.]203, 209.126.103[.]59
86 themes.affect[.]lt 209.126.103[.]139, 147.135.1[.]203
87 trafficapi[.]nl 209.126.127[.]231, 209.126.103[.]59
88 traffictrade[.]life 147.135.1[.]203, 209.126.103[.]59
89 upgraderservices[.]cf 147.135.1[.]203, 209.126.127[.]231
90 upskirt-jp[.]net 209.126.103[.]139, 209.126.127[.]231
91 vclicks[.]net 209.126.103[.]59, 147.135.1[.]203
92 vstats[.]co 147.135.1[.]203, 209.126.103[.]59
93 w[.]topage[.]net 147.135.1[.]203, 209.126.103[.]59
94 webeatyouradblocker[.]com 147.135.1[.]203, 209.126.103[.]59
95 webstats.xcellenzy[.]com 209.126.127[.]231, 209.126.103[.]59
96 widgets.wowzio[.]net 209.126.127[.]231, 209.126.103[.]59
97 www.acotemoi[.]com 147.135.1[.]203, 209.126.103[.]139
98 www.adsonflags[.]com 209.126.103[.]59, 209.126.127[.]231
99 www.agrkings[.]com 209.126.103[.]139, 147.135.1[.]203
100 www.apps4shopify[.]com 209.126.127[.]231, 209.126.103[.]59
101 www.auctionaffiliate[.]co 147.135.1[.]203, 209.126.103[.]139
102 www.caphyon-analytics[.]com 209.126.103[.]139, 209.126.103[.]59
103 www.frompariswithhate[.]org 209.126.127[.]231, 147.135.1[.]203
104 www.goodyear-coupons[.]com 209.126.103[.]139, 209.126.127[.]231
105 www.hmailserver[.]in 147.135.1[.]203, 209.126.103[.]139
106 www.kanpianjs[.]top 147.135.1[.]203, 209.126.103[.]59
107 www.ournet-analytics[.]com 209.126.103[.]139, 209.126.127[.]231
108 www.rarstats[.]com 209.126.103[.]139, 209.126.103[.]59
109 www.seo101[.]net 147.135.1[.]203, 209.126.103[.]139
110 www.spartan-ntv[.]com 209.126.103[.]139, 209.126.103[.]59
111 www.takoashi[.]net 147.135.1[.]203, 209.126.103[.]59
112 www.yys1982[.]com 209.126.127[.]231, 147.135.1[.]203
113 your-3[.]com 209.126.103[.]59, 209.126.103[.]139
114 yourmsrp[.]com 209.126.103[.]59, 209.126.103[.]139
115 zirve100[.]com 209.126.127[.]231, 209.126.103[.]139
116 s.orange81safe[.]com 209.126.103[.]139, 147.135.1[.]203
117 n298adserv[.]com 209.126.103[.]59, 209.126.127[.]231
118 stat.botthumb[.]com 147.135.1[.]203, 209.126.103[.]59
119 adblockdetector[.]com 209.126.103[.]59, 147.135.1[.]203
120 cdn.jquery[.]tools 209.126.103[.]59, 209.126.103[.]139
121 js.sn00[.]net 209.126.103[.]139, 209.126.103[.]59
122 cleantds[.]in 209.126.103[.]139, 209.126.127[.]231
123 wp.traffictrade[.]life 209.126.127[.]231, 147.135.1[.]203
124 www.insightio[.]us 209.126.103[.]139, 209.126.103[.]59
125 webto[.]mobi 209.126.103[.]139, 147.135.1[.]203
126 static.hot---jar[.]com 209.126.103[.]59, 209.126.103[.]139
127 appsyt.brightleaf[.]io 209.126.103[.]59, 147.135.1[.]203
128 w5983.lb.wa-track[.]com 209.126.103[.]139, 209.126.127[.]231
129 adrife[.]net 209.126.103[.]59, 209.126.127[.]231
130 www.andrewandjack[.]com 209.126.103[.]59, 209.126.127[.]231
131 da.adsvcs[.]com 209.126.103[.]59, 147.135.1[.]203
132 ssl.cdn.odinkod[.]ru 209.126.103[.]59, 209.126.127[.]231
133 nexutab[.]com 209.126.103[.]139, 209.126.127[.]231
134 st.stadsvc[.]com 209.126.103[.]59, 147.135.1[.]203

 

 

 

ドメイン登録日一覧

 

 

# ドメイン 直前のドメイン削除日 最新のドメイン登録(移転)日 現在のネームサーバ
1 newor[.]net 2018/11/9 2018/12/17 mynameserver1.com
2 viralheadlines[.]net 2018/8/21 2018/11/22 mynameserver1.com
3 u-ad[.]info 2016/4/21 2017/6/25 mynameserver1.com
4 abtrcking[.]com 2018/9/3 2018/11/15 mynameserver1.com
5 adrenalinecdn[.]com 2018/5/26 2018/8/3 mynameserver1.com
6 airjss[.]com 2018/7/23 2018/8/31 mynameserver1.com
7 behavioralmailing[.]com 2018/10/14 2018/11/21 mynameserver1.com
8 suppressedvoice[.]com   2018/10/26 mynameserver1.com
9 nwcdn[.]xyz   2018/7/22 mynameserver3.com
10 beatchucknorris[.]com 2018/4/29 2018/8/16 mynameserver1.com
11 blozoo[.]net 2017/1/22 2017/2/28 mynameserver1.com
12 werringtonlasborough[.]com   2018/7/30 mynameserver1.com
13 bwinpoker24[.]com 2018/4/29 2018/8/31 mynameserver1.com
14 radxcomm[.]com 2018/6/24 2018/8/5 mynameserver1.com
15 adpoints.media   1900/1/0  
16 avrti[.]xyz   2018/8/25 mynameserver3.com
17 botthumb[.]com 2018/11/22 2018/11/30 mynameserver1.com
18 echoenabled[.]com 2016/12/15 2017/3/8 mynameserver1.com
19 inaudium[.]com 2017/4/28 2017/6/5 mynameserver1.com
20 muse-widgets[.]ru   2018/10/6  
21 owlcdn[.]com 2018/1/30 2018/3/9 mynameserver1.com
22 firehoseapp[.]com 2018/1/30 2018/3/9 mynameserver1.com
23 jguery[.]org 2018/4/21 2018/6/8 mynameserver1.com
24 sometimesfree[.]biz 2018/10/6 2018/11/10 mynameserver1.com
25 f1call[.]com 2018/5/19 2018/7/5 mynameserver1.com
26 12mlbe[.]com 2017/1/24 2017/2/15 mynameserver1.com
27 hurlinesswhitchurch[.]com 2017/7/1 2017/9/21 mynameserver1.com
28 dcts[.]pw   2016/12/24  
29 dezaula[.]com 2018/3/16 2018/7/18 mynameserver1.com
30 baidustatic[.]pw      
31 e708[.]net 2018/1/10 2018/2/16 mynameserver1.com
32 pontypriddcrick[.]com 2017/7/1 2017/9/21 mynameserver1.com
33 flipdigital[.]ru   2018/12/5  
34 font4u[.]ga      
35 ga87z2o[.]com 2018/3/31 2018/5/8 mynameserver1.com
36 vio[.]rocks      
37 getsocialbuttons[.]xyz 2018/8/15 2018/11/26 mynameserver3.com
38 godstrength[.]org 2018/4/14 2018/7/15 mynameserver1.com
39 hosted-oswa[.]org 2018/9/25 2018/11/9 mynameserver1.com
40 omeljs[.]info 2017/8/7 2017/12/11 mynameserver1.com
41 rfgdjs[.]info 2017/5/28 2017/12/11 mynameserver1.com
42 selectionlinksjs[.]info 2016/7/7 2018/8/16 mynameserver1.com
43 putags[.]com 2017/12/24 2018/1/30 mynameserver1.com
44 ijquery9[.]com 2018/6/30 2018/8/6 mynameserver1.com
45 tcs3[.]co[.]uk      
46 iplusfree[.]pro 2018/7/13 2018/8/21 mynameserver1.com
47 jquery[.]im      
48 mp3rocketdownloadfiles[.]com 2018/12/4 2018/12/5 mynameserver1.com
49 nster[.]net 2018/12/5 2018/12/6 mynameserver1.com
50 trafficanalytics[.]online      
51 sn00[.]net 2018/2/13 2018/5/9 mynameserver1.com
52 kristofer[.]ga      
53 livestats[.]us 2016/7/3 2017/2/16 mynameserver1.com
54 widgetstat[.]net 2018/2/14 2018/8/12 mynameserver1.com
55 free-codes[.]org 2018/1/31    
56 xfanclub[.]ru   2016/8/2  
57 mediros[.]ru   2018/8/12  
58 n299adserv[.]com 2017/11/12 2018/3/30 mynameserver1.com
59 nstracking[.]com 2016/1/2 2017/2/17 mynameserver1.com
60 oasagm82wioi[.]org 2018/1/21 2018/8/25 mynameserver1.com
61 onlinemarketplace[.]top      
62 kuru2jam[.]com 2018/3/2 2018/4/8 mynameserver1.com
63 motoboerse[.]at      
64 pipardot[.]com 2018/12/18 2018/12/26 mynameserver1.com
65 nighter[.]club 2018/9/29 2018/12/19 mynameserver1.com
66 omnitor[.]ru   2018/8/12  
67 sbdtds[.]com 2016/12/2 2017/2/15 mynameserver1.com
68 scorepresshidden[.]info 2018/11/19 2018/11/24 mynameserver1.com
69 script.affilizr[.]com 2017/4/18 2017/6/26 mynameserver1.com
70 dancewithme[.]biz 2018/10/19 2018/11/25 mynameserver1.com
71 security-service[.]su   2018/8/12  
72 senderjs[.]net 2018/12/19 2018/12/27 mynameserver1.com
73 clk-analytics[.]com 2018/8/30 2018/10/9 mynameserver1.com
74 segpress[.]io      
75 stablemoney[.]ru   2018/1/10  
76 rolledwil[.]biz 2017/5/12 2017/7/6 mynameserver1.com
77 bh-cdn[.]com 2018/9/16 2018/10/24 mynameserver1.com
78 imaginaxs[.]com 2018/6/7 2018/8/21 mynameserver1.com
79 affect[.]lt   2017/12/3  
80 trafficapi[.]nl      
81 traffictrade[.]life 2018/8/15 2018/9/27 mynameserver1.com
82 upgraderservices[.]cf      
83 upskirt-jp[.]net 2018/12/19 2018/12/27 mynameserver1.com
84 vclicks[.]net 2018/7/15 2018/8/24 mynameserver1.com
85 vstats[.]co 2017/8/1 2017/8/3 cloudflare.com
86 topage[.]net 2018/11/19 2018/11/25 mynameserver1.com
87 webeatyouradblocker[.]com 2017/2/23 2017/5/15 mynameserver1.com
88 xcellenzy[.]com 2017/11/11 2018/2/14 mynameserver1.com
89 wowzio[.]net 2018/1/29 2018/1/30 mynameserver1.com
90 acotemoi[.]com   2018/12/11 mynameserver1.com
91 adsonflags[.]com 2018/9/1 2018/10/9 mynameserver1.com
92 agrkings[.]com 2017/2/10 2017/4/4 mynameserver1.com
93 apps4shopify[.]com 2018/9/24 2018/11/9 mynameserver1.com
94 auctionaffiliate[.]co 2016/4/1 2017/2/17 mynameserver1.com
95 caphyon-analytics[.]com 2018/3/21 2018/8/16 mynameserver1.com
96 frompariswithhate[.]org 2018/1/31    
97 goodyear-coupons[.]com 2017/1/10 2017/4/4 mynameserver1.com
98 hmailserver[.]in   2015/1/24  
99 kanpianjs[.]top      
100 ournet-analytics[.]com 2016/6/11 2018/8/16 mynameserver1.com
101 rarstats[.]com 2018/10/6 2018/11/21 mynameserver1.com
102 seo101[.]net 2018/1/31 2018/3/10 mynameserver1.com
103 spartan-ntv[.]com 2018/1/27 2018/3/6 mynameserver1.com
104 takoashi[.]net 2018/6/15 2018/7/22 mynameserver1.com
105 yys1982[.]com 2018/8/22 2018/10/6 mynameserver1.com
106 your-3[.]com   2018/11/21 mynameserver1.com
107 yourmsrp[.]com 2018/7/14 2018/8/21 mynameserver1.com
108 zirve100[.]com 2016/12/24 2017/2/15 mynameserver1.com
109 orange81safe[.]com 2018/9/20 2018/10/28 mynameserver1.com
110 n298adserv[.]com 2018/11/12 2018/12/26 mynameserver1.com
111 adblockdetector[.]com 2016/12/1 2017/2/13 mynameserver1.com
112 jquery[.]tools      
113 cleantds[.]in   2016/4/27  
114 insightio.us 2017/7/8 2017/8/13 mynameserver1.com
115 webto[.]mobi   2016/9/1  
116 hot---jar[.]com   2018/11/18 mynameserver1.com
117 brightleaf[.]io   2018/8/24  
118 wa-track[.]com 2018/6/8 2018/6/14 mynameserver1.com
119 adrife[.]net 2017/8/3 2018/3/18 mynameserver1.com
120 andrewandjack[.]com 2018/10/10 2018/11/21 mynameserver1.com
121 adsvcs[.]com 2018/10/8 2018/11/21 mynameserver1.com
122 odinkod[.]ru   2017/4/3  
123 nexutab[.]com 2018/5/5 2018/7/8 mynameserver1.com
124 stadsvc[.]com 2018/10/8 2018/11/18 mynameserver1.com

 

 

 

不審スクリプトURL一覧

 

 

# 不審スクリプトのURL
1 hxxp://1.newor[.]net/www/delivery/delivery3.js
2 hxxp://2.api.viralheadlines[.]net/js/mass
3 hxxp://3.newor[.]net/www/delivery/delivery3.js
4 hxxp://a01.u-ad[.]info/page/JS.php
5 hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js
6 hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js
7 hxxp://airjss[.]com/data-uri.js
8 hxxp://api.behavioralmailing[.]com/js/data.js
9 hxxp://b.nwcdn[.]xyz/placement.js
10 hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js
11 hxxp://blozoo[.]net/js/ranktool/analyze.js
12 hxxp://bwinpoker24[.]com/door.js
13 hxxp://c.radxcomm[.]com/AdvWindow/getWin/ed839af81cb935b63b6110da3a9af267
14 hxxp://cdn.adpoints[.]media/production/ads/652.js
15 hxxp://cdn.avrti[.]xyz/s.js
16 hxxp://cdn.inaudium[.]com/js/adtctr.js
17 hxxp://cdn.echoenabled[.]com/clientapps/v2/backplane.js
18 hxxp://cdn.inaudium[.]com/js/adtctr.js
19 hxxp://cdn.muse-widgets[.]ru/mwsuperanimate.js
20 hxxp://cdn.owlcdn[.]com/google/analytics/analytics.js
21 hxxp://cfs.u-ad[.]info/cfspushadsv2/request
22 hxxp://chat-client-js.firehoseapp[.]com/chat-min.js
23 hxxp://code.jguery[.]org/jquery-2.2.1.min.js
24 hxxp://con1.sometimesfree[.]biz/c.js
25 hxxp://connect.f1call[.]com/static/api.js
26 hxxp://d0.histats.12mlbe[.]com/cgi-bin/mle.cgi
27 hxxp://daljarrock.hurlinesswhitchurch[.]com/blest.js
28 hxxp://dcts[.]pw/dictus.js
29 hxxp://dezaula[.]com/dezaula.js
30 hxxp://dup.baidustatic[.]pw/js/ds.js
31 hxxp://e.e708[.]net/cpc/index.php
32 hxxp://earsham.pontypriddcrick[.]com/embroiders.js?ref=
33 hxxp://flipdigital[.]ru/bcRX/src.js
34 hxxp://gamescale.vio[.]rocks/app/embed/
35 hxxp://getsocialbuttons[.]xyz/get-social.js
36 hxxp://hosted-oswa[.]org/piwik/piwik.js
37 hxxp://i.omeljs[.]info/omel/javascript.js
38 hxxp://i.rfgdjs[.]info/opt_content.js
39 hxxp://i.selectionlinksjs[.]info/obfy/javascript.js
40 hxxp://i3.putags[.]com/c4/5a/d0/c45ad0245f5cbeaaf368ef6bbfddb41c.js
41 hxxp://ijquery9[.]com/common.js
42 hxxp://infinite-2.tcs3[.]co[.]uk/Themes/InfiniteV2/jquery.js
43 hxxp://infinite-3.tcs3[.]co[.]uk/themes/infinitev3/totop.js
44 hxxp://java.sometimesfree[.]biz/counter.js
45 hxxp://jquery[.]im/jquery.geo.js
46 hxxp://js.nster[.]net/00/12/69.js
47 hxxp://js.trafficanalytics[.]online/js/js.js
48 hxxp://js2.sn00[.]net/00/37/20.js
49 hxxp://keit.kristofer[.]ga/71HXRp
50 hxxp://livestats[.]us/812X
51 hxxp://log.widgetstat[.]net/event.php
52 hxxp://m.free-codes[.]org/gh.php
53 hxxp://m.xfanclub[.]ru/c/45558.js
54 hxxp://mediros[.]ru/get2.php
55 hxxps://n299adserv[.]com/js/show_ads_supp.js
56 hxxp://narnia.tcs3[.]co[.]uk/themes/narnia/narnia.1/getjs.asp
57 hxxp://nstracking[.]com/js/TrackingV2.js
58 hxxp://oasagm82wioi[.]org/css/js/style.php
59 hxxp://onlinemarketplace[.]top/client.js
60 hxxp://parts.kuru2jam[.]com/js/wind_chime.js
61 hxxp://pipardot[.]com/pd.js
62 hxxp://s1.omnitor[.]ru/1fed79f0c2c92588b739f9e9f3be7bc6.js
63 hxxp://sbdtds[.]com/acounter.js
64 hxxp://script.affilizr[.]com/js/affilizr.js
65 hxxp://sdb.dancewithme[.]biz/db.js
66 hxxps://security-service[.]su/src/hirschs.co.za.js
67 hxxp://src.dancewithme[.]biz/src.js
68 hxxp://srv1.clk-analytics[.]com/i/
69 hxxp://st.segpress[.]io/segpress/focus/1.js
70 hxxp://stablemoney[.]ru/113962.js
71 hxxp://stat.rolledwil[.]biz/stat.php
72 hxxp://static.bh-cdn[.]com/msf/loader.js
73 hxxp://tag.imaginaxs[.]com/script/14567725196/preload.js
74 hxxp://themes.affect[.]lt/bodega/wp-content/themes/bodega/js/jquery.nivo.slider.pack.js
75 hxxp://trafficapi[.]nl/static/main.js
76 hxxp://traffictrade[.]life/scripts.js
77 hxxp://upgraderservices[.]cf/drupal.js
78 hxxp://upskirt-jp[.]net/piwik/piwik.js
79 hxxps://w.topage[.]net/box.js
80 hxxp://webstats.xcellenzy[.]com/piwik.js
81 hxxp://widgets.wowzio[.]net/widgets/jscript
82 hxxps://www.adsonflags[.]com/js/show_ads_ecpmband.js
83 hxxp://www.agrkings[.]com/ads-api
84 hxxps://www.apps4shopify[.]com/header-notification-bar/assets/js/countdown.js
85 hxxp://www.caphyon-analytics[.]com/aws.js
86 hxxp://www.frompariswithhate[.]org/t.js
87 hxxp://www.hmailserver[.]in/iser/
88 hxxp://www.kanpianjs[.]top/dy/home.js
89 hxxp://www.ournet-analytics[.]com/top20md.js
90 hxxp://www.rarstats[.]com/piwik.js
91 hxxp://www.seo101[.]net/apntrack.js
92 hxxp://www.spartan-ntv[.]com/tag/pera/nat.js
93 hxxp://www.takoashi[.]net/js/ConvertTree.js
94 hxxp://www.takoashi[.]net/js/CreateCommentsTree.js
95 hxxp://www.takoashi[.]net/js/CreateTrackBacksTree.js
96 hxxp://www.takoashi[.]net/js/CreateCategoryTree.js
97 hxxp://www.yys1982[.]com/468.js
98 hxxp://yourmsrp[.]com/piwik//piwik.js
99 hxxp://zirve100[.]com/CounterV4.js
100 hxxp://s.orange81safe[.]com/scr1_wrp.js
101 hxxp://stat.botthumb[.]com/piwik.js
102 hxxp://cdn.jquery[.]tools/latest.min.js
103 hxxp://js.sn00[.]net/00/17/93.js
104 hxxp://cleantds[.]in/coupe.php
105 hxxp://w5983.lb.wa-track[.]com/wa.js
106 hxxp://www.andrewandjack[.]com/untitledthemes/kinley/lite.js
107 hxxp://da.adsvcs[.]com/adsvcs/adsvcs.js
108 hxxp://st.stadsvc[.]com/stadsvc/stadsvc.js

 

以上 

 

 

更新履歴
2019年1月26日 初版作成

 

 

SEOポイズニングの手法を使用した偽ECサイトについて

 

 

 

はじめに

 

 

 

今年3月、リクルートテクノロジーズ社が偽サイトへの誘導を目的としたSEOポイズニングに関する記事を公開しました。

 

 

recruit-tech.co.jp

 

 

脆弱性を突くなどして他のサイトに検索エンジン(Google等)のクローラのみがアクセスできるページを不正に設置し、このページを踏み台として攻撃者が運用する偽サイトにユーザを誘導しようとする試みに関する記事です。

 

同様の試みは、現在も活発に行われています。

 

本記事では、SEOポイズニングの手法を使用した偽ECサイトに関して、現時点で確認できていることを纏めてみたいと思います。

 

 

SEOポイズニングの手法について

 

 

ECサイトへの踏み台として不正に設置されるページは、日本国内で一般的に認知されている組織のWebサイトをコピーしたもののようです。

 

検索エンジンで、このようなWebサイトのCopyright部分をキーワードとして検索すると、怪しげなページが山ほど出てきます。

 

例えば検察庁の公式サイトには、

"Copyright (C) Public Prosecutors Office. All Rights Reserved."

という記載があります。

 

f:id:tiketiketikeke:20180729170455p:plain

 

この部分をキーワードとして検索エンジンで検索すると、このような結果が表示されました。

 (検察庁ドメインである"kensatsu.go.jp"は検索結果から除外しています)

 

f:id:tiketiketikeke:20180729173211p:plain

 

 

さまざまな商品を取り扱ったページが検索結果として表示されています。

いずれも検察庁のCopyright表記が含まれています。

 

続いて、日本銀行の公式サイトのCopyright部分をキーワードとして同じような検索を行ってみます。

 

f:id:tiketiketikeke:20180729175100p:plain

 

 

検察庁と同様、商品を紹介するようなページが検索結果として表示されています。

 

これらのページに実際にアクセスしてみると、

 

 

f:id:tiketiketikeke:20180729180032p:plain

 

f:id:tiketiketikeke:20180729180050p:plain

 

f:id:tiketiketikeke:20180729180100p:plain

 

f:id:tiketiketikeke:20180729180112p:plain

 

 

文言が微妙に異なりますが、同じような造りのサイトに誘導されます。

 

ここでは、オレンジ色を主体としたサイトのキャプチャを記載しましたが、他にも赤色や紫色を主体としたサイトも存在します。

 (会社概要に記載された情報は公開情報であるため、マスキングは行いませんでした。)

 

先ほど記載した検察庁のCopyright部分をキーワードとして検索した結果の中で、気になる文言がありました。

 

{yahoojp}jnice01-yyp07-wl-zd

 

 という文言です。

 

この文言をキーワードにして検索してみます。

 

f:id:tiketiketikeke:20180729183632p:plain

 

このキーワードで検索を行うと、420万件以上のページがリストアップされました。

いずれも、商品を紹介するページに誘導するものに見えます。

 

これらの商品紹介ページのGoogleキャッシュを見てみます。

 

とある商品紹介ページのGoogleキャッシュです。 

 

 

f:id:tiketiketikeke:20180729190007p:plain

 

 

f:id:tiketiketikeke:20180729190445p:plain

 

 

 

ページ下部に、

"Copyright c TOYOTA MOTOR HOKKADO.INC. All Rights Reserved."

という記載があります。

 

 

確認したところ、このCopyright表記は、トヨタ自動車北海道株式会社のWebサイトに記載されているものと同じでした。

 

 

f:id:tiketiketikeke:20180729190734p:plain

 

f:id:tiketiketikeke:20180729191404p:plain

 

 

 

どうやら、既存の正規のWebサイトに商品紹介の文言を追記したWebページを作成し、ユーザエージェントが検索エンジンのクローラ であった場合のみ、このページを応答として返却しているようです。

 

 

正しい日本語で記載されたWebページを模倣することで、SEOの効果を狙ったものだと思われます。

 

 

偽ECサイトの正体

 

 

このようなSEOポイズニングの手法により誘導されるサイトを確認したところ、いずれもCloudFlare配下に存在しており、その実態を確認することが困難です。

 

そこで、偽ECサイトの自動返信メールのヘッダ情報から正体を見てみたいと思います。

 

自動返信メールの送信元は、

 

<hiramotoshin@gmail.com>

 

でした。

 

このメールアドレスは、偽ECサイトの会社概要のメールアドレスと一致しています。

 

そして、初っ端のReceived: ヘッダを見ると、

 

Received: from www.legendzhgb.top (mail1.aipaltn.info. [192.187.114.90])

 

とありました。

 

偽サイトとして表に出ているFQDN(www.legendzhgb.top)は、mail1.aipaltn.infoというホストからメールを送信しています。

このメールは、GmailSMTPサーバに対してリレーしていることが確認できています。

 

 

Whoisで確認したところ、偽サイトの表のFQDNはCloudFlare配下にあり、オリジンサーバのIPアドレスは確認できませんでした。

 

そして、当該ドメインの所有者には日本人と思わしき氏名がありました。

 

f:id:tiketiketikeke:20180729193037p:plain

 

 

続いて、mail1.aipaltn.info. [192.187.114.90]) についてです。

 

このサーバは、Cloudflareの裏に隠れている偽ECサイトの正体であると思われます。

 

このドメインWhois情報を確認すると、ここにも日本人と思わしき氏名が現れました。

 

f:id:tiketiketikeke:20180729210242p:plain

 

 

 

この登録者情報には複数のドメインが紐付けられています。

 

ifulpicy.info

imnontn.info

lapfion.info

lhamibn.info

ljojytn.info

ulkimgn.info

utifugn.info

 

実際に、偽ECサイトの正体と思わしきサイトにアクセスしてみます。

 

 

f:id:tiketiketikeke:20180729210735p:plain

 

 

 

もろに中国語ですね。

 

このサーバに対して、CloudFlareに守られている表サイトのFQDNをhostヘッダに設定したHTTPリクエストを送信すると、偽ECサイトのコンテンツが応答として返却されました。

 

 

CloudFlareの裏に隠れているオリジンサイトは、現状1サイト(mail1.aipaltn.info)のみが稼働しています。

その他のサイトは名前解決が不能な状態でした。

 

 

 

またまた無理やりまとめ

 

 

偽サイトはCloudFlareで隠蔽しながら、自動返信メールでオリジンのFQDNを晒すという、間抜けな構成が明らかになりました。

 

商品名などを使用した通常のキーワード検索ではこれら偽サイトが上位に表示されることがないことから、日々サイト改竄を行い踏み台ページを設置している割には、SEOの効果が現れているとは言い難い状況です。

 

あまりに稚拙な造りであるため、何か特別な意味をもってこの偽サイトが運用されているのではないかとも思えてきます。

 

何れにしても、冒頭に掲載したフォーマットのサイトにたどり着いた場合は、即刻立ち去るのが賢明だと思われます。

 

 

以上

 

 

2018年7月29日 初版作成                                                                             

 

東京地方検察庁の偽サイトを使用した特殊詐欺について

 

 

 

はじめに

 

 

 

今年2月、東京地方検察庁の偽サイトを使用した特殊詐欺事件が各メディアで報じられました。

 

 

www.itmedia.co.jp


 

 

その後も同様の手口により金銭が窃取される事案が全国各地で発生しています。

ニュース記事などから入手可能な事案は以下の通りです。

 

発生日付 発生場所 被害者 被害額 ソース
2018年1月29日 ~ 2月13日 東京都内 30~40代の女性4人 約390万円 冒頭の記事
2018年3月 埼玉県所沢市 41歳の女性 350万円 ※1
2018年3月 広島県廿日市市 30代の女性 不明

※2

2018年4月25日 埼玉県三郷市 33歳の女性 146万円 ※1
2018年5月 鹿児島県内 女性 数十万円 ※3
2018年5月25日 愛媛県伊方町 30代女性 100万円 ※4
2018年6月4日 長崎県長崎市 30代女性 50万円 ※5
2018年6月15日 静岡県沼津市 30代女性 約140万円 ※6
2018年6月25日 青森県八戸市 30代女性 約100万円 ※7
2018年7月17日 山形県山形市 30代女性 約100万円 ※8
2018年11月30日 埼玉県和光市 38歳の女性 約199万円 ※9

 

※1

www.asahi.com

 

※2

https://www.com-net2.city.hiroshima.jp/sagotani/%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B/%E3%81%BE%E3%81%A1%E3%81%AE%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B/?action=common_download_main&upload_id=1757

 

※3

https://www.city.satsumasendai.lg.jp/www/contents/1508631040318/files/3.pdf

 

※4

www.sankei.com

 

※5

www.asahi.com

 

※6

www.chunichi.co.jp

 

※7

www.gaccom.jp

 

※8

www.gaccom.jp

 

※9

www.saitama-np.co.jp

 

 

本記事では、東京地方検察庁の偽サイトを使用した特殊詐欺に関して現時点で確認できていることをまとめてみたいと思います。

 

 

 

東京地方検察庁の偽サイトについて

 

 

 

一連の特殊詐欺事件で使用されている東京地方検察庁の偽サイトは以下のような外観を持ちます。

 

f:id:tiketiketikeke:20180701231534p:plain

 

 

 一見すると本物のサイトと見分けがつきませんが、以下の2か所が本物サイトには存在しません。

 

 

一つ目はページ下部の[事件内容]リンク。

 

 

f:id:tiketiketikeke:20180701232324p:plain

 

 

もう一つは画面右上の[調査中事件]リンクです。

 

f:id:tiketiketikeke:20180701232754p:plain

 

 

 

[事件内容]リンクをクリックすると、架空のマネーロンダリング事件の内容を記載したPDFファイルがダウンロードされます。

 

 

 

 

f:id:tiketiketikeke:20180908233443p:plain

 

 

 

 上記画像は、2018年8月バージョンであり、他にも6月18日版(容疑者名:今井 優(37))、4月26日版(容疑者名:高橋 誠(37))、2月16日版(容疑者名:佐々木 一(37))の存在が確認できています。

 

[調査中事件]リンクをクリックすると、今度は氏名と事件番号を入力させるフォームが登場します。

 

 

f:id:tiketiketikeke:20180702230926p:plain

 

 

この入力フォームには適当な文字を入れたとしてもエラーが表示され、次に進むことができません。

 

ソースコードを見てみると、次に進むためのヒントがあります。

 

 

f:id:tiketiketikeke:20180702231713p:plain

 

 

入力値を検証するための json ファイルが存在し、当該ファイルに定義された氏名と事件番号が入力値と一致する場合のみ、次の画面に遷移できるという仕掛けになっているようです。

 

 

json ファイル (../../data/source.json) には以下のような内容が定義されています。

※ 一部マスクしています。

 

 

f:id:tiketiketikeke:20180702232910p:plain

 

 

ここで定義された、姓(lastname)、名(firstname)、事件番号(fhNum)を入力することで、先に進むことができます。

※ 確認する限り、事件番号は固定値(011046381849)で、姓名はいずれもUnicodeエスケープシーケンスで表現されています。

 

で、先に進むと、東京地方裁判所を模したハンコが押された”通達事項”なるページの登場です。

 

 

 

f:id:tiketiketikeke:20180702234002p:plain

 

 

 

参考人の欄に、前頁で入力した氏名が表示される仕掛けになっています。

捜査に協力せよ、他言無用、正当な財産を所有することを証明せよ、と記載されています。

 

 

犯行の手口について

 

 

このような偽サイトを用意した上で、犯行グループは電話口で被害者を偽サイトに誘導し、フォームへの入力を促し、偽物の裁判所の文書を提示します。

被害者の口座が事件に使用されている可能性があり、口座凍結を回避するためには金融庁の口座に資金を移動することでその正当性を確認する必要がある、という何とも怪しげな文句で被害者に銀行口座の操作を実行させるようです。

 

 

実害には至らなかったものの、同様の手口に遭遇された方のブログが公開されています。

 

 

ameblo.jp

 

 

 犯行グループは、『警視庁捜査一課』を名乗って、電話口でIPアドレスを伝えて偽サイトに誘導するようです。

 

さらにTwitterではこんなツイートもありました。

 

 

 

 

 

無理やり駆け足でまとめ

 

この偽サイトは常時公開されている訳ではなく、サイトを閉じた状態で前述の json ファイルを更新し、偽サイトをオープンな状態にした上で架電するという段取りを踏んでいるように見えます。

サイトが開いているのは、平日の午前11時~午後1時の時間帯が多いようです。

 

前述の報道内容から、ターゲットは30代~40代の女性であり、犯行グループはターゲットの氏名と連絡先を把握した上で攻撃を仕掛けてくるように見受けられます。

 

偽サイトのIPアドレスは時折変更されるようで、監視の目を掻い潜ろうとしているかのように見えます。

これまで以下のIPアドレスで公開されていた形跡が確認できています。

 

174.139.183.242
67.229.156.106
67.229.62.12
67.198.226.27
67.198.226.26
98.126.80.229
174.139.79.218
174.139.79.219
174.139.79.220
174.139.79.221
174.139.79.222
67.198.169.186
67.198.169.187
67.198.169.188
67.198.169.189
67.198.169.190

 

 

何れも AS35908(Krypt Technologies) 配下のIPアドレスです。

 

 

(2019/2/18 追記)

2019年2月18日現在、12月にアクティブだった以下のIPアドレスが何れもメンテナンス中のステータスとなっていることが確認できました。

 

67.198.169.186
67.198.169.187
67.198.169.188
67.198.169.189
67.198.169.190

 

上記5IPアドレスにアクセスすると、以下の画面が表示されます。

 

 

f:id:tiketiketikeke:20190218235414p:plain

 

 

さらに、通達事項のページにアクセスすると、ファイルが存在しないというエラー画面が表示されます。

 

 

f:id:tiketiketikeke:20190218235520p:plain

 

 (2019/2/18 追記 終り)

 

 

これだけは憶えておきましょう

 

 

『050』番号からの『警視庁捜査一課』もしくは『警視庁捜査二課』を名乗る電話は詐欺です。

 

ハンコ付きのWebページには何の効力もありません。

 

電話で人の口座を操作するなんぞ、失礼極まりありません。

 

知らない人からの電話は疑ってかかりましょう。

 

 

その他気になること(メモ)

 

 

本記事で取り上げた東京地方検察庁の偽サイトには、少し違和感を覚える特徴があります。

そのような点をメモとして残しておきます。

 

1. ルートディレクトリにアクセスした際に応答に含まれるmeta refreshのコメント

 

偽サイトのルートディレクトリにアクセスすると、以下の応答が返ってきます。

 

f:id:tiketiketikeke:20180708180818p:plain

 

これにより、被害者にIPアドレスのみでアクセスさせ、偽サイトが存在するディレクトリに誘導するということを行っているようです。

 

気になるのは、metaタグの直前の中国語のコメントです。

この中国語は「以下の方法で他のページに移動」 という意味で、中国語で記載された初心者向けのHTML入門サイトでよく見るコメントです。

中国語を理解する人物が、うっかりコメント込みでコピペした結果とも考えられます。

 

 

2. 架空の事件を記載したPDFファイルのタイムスタンプ
 

架空のマネーロンダリング事件の内容を記載したPDFファイルは何れもWPS Officeで作成されているようです。

作成日付を確認すると、2018年6月版がGMT+4、2018年4月版がGMT+5の日時となっています。

 

このタイムゾーンの違いは、国外で作成されたものである可能性を感じさせます。

 

 

最後に

 

ザッと駆け足で書いたため、読みづらい点、まとまっていない点が多々あるかと思います。ご容赦ください。

 

また、本記事に記載した情報はTwitterで以下の方々とのやり取りの中で収集したものです。心より感謝致します。

 

@CheenaBlog
@NaomiSuzuki_
@58_158_177_102
@v_avenger
@catnap707

 

以上 

 

 

更新履歴
2018年7月3日 初版作成
2018年7月8日 事件一覧の追加、その他気になること(メモ)の追加、謝辞追加、その他文言修正。
2018年7月29日 事件一覧を更新。
2018年9月8日 リンク切れの修正、事件内容PDFの更新。
2018年10月22日 偽サイトのIPアドレスを更新。
2018年10月31日 偽サイトのIPアドレスを更新。
2018年12月14日 事件一覧を更新、偽サイトのIPアドレスを更新。
2019年2月18日 2018年12月時点でアクティブだった5IPアドレスがメンテナンス中のステータスになったことを追記。