tike blog

セキュリティで気になった事をダラダラと。

金融機関を装ったフィッシングについて

 

 

 

はじめに

 

 

2019年8月以降、金融機関を装ったフィッシングによるインターネットバンキングの不正送金が急増しています。

11月の不正送金発生件数が573件、被害額が約7億7,600万円と、2012年以来最悪を記録したことを受けて、警察庁 サイバー犯罪対策プロジェクトが12月19日に注意喚起を公開しました。

 

 

www.npa.go.jp


  

記事中の不正送金事犯発生状況のグラフによると、8月に前月の倍の被害額、被害件数を記録した後、9月の1カ月間で昨年1年間に匹敵する被害額(4億円超)を記録するなど、ここ数カ月で急激に被害が拡大したことがわかります。

 


 

f:id:tiketiketikeke:20191224122038p:plain

不正送金事犯発生状況(警察庁 サイバー犯罪対策プロジェクト Webサイトより抜粋)

 

 

8月末以降、少なくとも6グループが国内の金融機関を装ったフィッシングサイトを手掛けていたことが確認できています。
本記事では、各グループの概要を示すとともに、8月~12月の期間において同種の犯行を継続的に手掛けていた3グループについて、その特徴を見ていきたいと思います。


なお、8月末から12月28日までの期間で観測された470件程度のフィッシングサイトについて、ドメインIPアドレス(CNAMEレコード)、ターゲットとなった金融機関、グループ名を本記事の文末に記載しています。

参考情報としてご確認頂ければと思います。

 

 

各グループの概要

 

 

先ずは、各グループの概要を見ていきたいと思います。

 

グループA

スマートフォンユーザのみをターゲットとし、SMSからフィッシングサイトに誘導する。
1サーバ上で複数金融機関のフィッシングサイトを公開し、時折内容が変わるPC用のカモフラージュ画面を使用する点が特徴。

これまでターゲットとなった銀行:

  1. 三井住友銀行
  2. 三菱UFJ銀行
  3. みずほ銀行
  4. ゆうちょ銀行
  5. ジャパンネット銀行
  6. イオン銀行
  7. 楽天銀行
  8. GMOあおぞらネット銀行
  9. 住信SBIネット銀行
  10. 京都銀行
  11. りそな銀行
  12. 埼玉りそな銀行
  13. 関西みらい銀行
  14. 福岡銀行
  15. 琉球銀行
  16. 沖縄銀行
  17. 北海道銀行
  18. 池田泉州銀行
  19. 紀陽銀行
  20. 但馬銀行
  21. 南都銀行
  22. 尼崎信用金庫
  23. 大阪信用金庫
  24. 大阪シティ信用金庫
  25. 北おおさか信用金庫
  26. きのくに信用金庫
  27. 京都信用金庫
  28. 京都中央信用金庫
  29. 滋賀中央信用金庫
  30. 大和信用金庫

 

 

フィッシングサイトの外観の一例:

f:id:tiketiketikeke:20191224160333p:plain

グループAが手掛けるフィッシングサイトの例

 

グループB

メール、SMSからフィッシングサイトに誘導する。
スマートフォンユーザのみをターゲットとしており、PC用のカモフラージュ画面を使用。
フィッシングサイトを複数サーバに配置し、それらのサーバを隠ぺいする目的でリバースプロキシを使用する点が特徴。
9月後半に初めて観測され、その後継続的に活動を行っていたものの、12月5日頃から金融機関を騙ったフィッシングの活動は休止中。

ターゲットとなった銀行:

  1. 三井住友銀行
  2. 三菱UFJ銀行

フィッシングサイトの外観の一例:

f:id:tiketiketikeke:20191224160449p:plain

グループBが手掛けるフィッシングサイトの例

 

グループC

PCユーザ、スマートフォンユーザ双方をターゲットとし、メールからフィッシングサイトに誘導する。
今回の不正送金急増以前(3月頃)からゆうちょ銀行を装ったフィッシングを手掛けており、8月末に一旦終息したものの、10月半ばから活動を再開中。
ThinkPHPのエラー画面とAESによる暗号化でコンテンツの難読化を図る点が特徴。

ターゲットとなった銀行:

  1. 三菱UFJ銀行
  2. みずほ銀行
  3. ジャパンネット銀行

フィッシングサイトの外観の一例: 

f:id:tiketiketikeke:20191228205406j:plain

グループCが手掛けるフィッシングサイトの例

 

グループD

SMSからフィッシングサイトに誘導する。
キャリア決済やカード情報の詐取を手掛けていたグループが10月上旬に一時的に銀行フィッシングを仕掛けていたものと思われる。
後述するグループFと共通点あり。

ターゲットとなった銀行:

  1. 三井住友銀行
  2. ジャパンネット銀行

 

 フィッシングサイトの外観の一例:

f:id:tiketiketikeke:20191224160739p:plain

グループDが手掛けるフィッシングサイトの例(webint.ioより)


 

 

グループE

フィッシングサイトへの誘導手段は未確認。
サイト閲覧時に「お待ちください...」というメッセージを表示する点が特徴。
11/22~12/4の期間にフィッシングサイトを観測。

ターゲットとなった銀行:

  1. 三井住友銀行
  2. 三菱UFJ銀行

フィッシングサイトの外観の一例:

f:id:tiketiketikeke:20191224160904p:plain

グループEが手掛けるフィッシングサイトの例

f:id:tiketiketikeke:20191224160926p:plain

グループEが手掛けるフィッシングサイトの例(お待ちください...のメッセージ)

 

グループF

佐川急便をテーマとしたAndroidマルウェアに感染した端末をフィッシングサイトに誘導するものと思われる。
グループDが使用していたフィッシングサイト、インフラを流用。
12月17日頃から観測。

ターゲットとなった銀行:

  1. 三井住友銀行
  2. 三菱UFJ銀行
  3. ゆうちょ銀行
  4. ジャパンネット銀行
  5. 住信SBIネット銀行
  6. 楽天銀行
  7. セブン銀行

フィッシングサイトの外観の一例:

f:id:tiketiketikeke:20191228205743p:plain

グループFが手掛けるフィッシングサイトの例


 

 


次に、各グループの最新の動向についてまとめてみます。
 


現在の銀行フィッシングの状況について



12月13日に三井住友銀行から一連のフィッシングに対する対抗措置が開始されました。

www.smbc.co.jp

 

これは、ワンタームカード有効化後の利用開始を翌日1時まで保留するというものです。

有効な対抗措置だったためか、これ以降暫くは三井住友銀行をターゲットとしたフィッシングをほとんど見かけませんでした。


グループAは、12月12日からの一週間で、福岡銀行琉球銀行沖縄銀行北海道銀行といった地方銀行をターゲットしたフィッシングを展開した後、12月19日にいったん活動を終えました。そして、12月25日にdアカウント、Amazon楽天Yahoo!ジャパンといった他業種のブランドを悪用したランディングページから銀行フィッシングサイトに誘導する手法で再び活動を再開しています。

グループCは引き続き活動を継続しており、12月28にも三菱UFJ銀行のフィッシングサイトに誘導するメールがばら撒かれています。


グループFは、Androidマルウェア MoqHao に感染したAndroid端末からの誘導を狙ったものと思われますが、複数の金融機関を装ったフィッシングサイトの稼働が時折観測されています。


9月後半から活発に活動していたグループBは12月5日を最後に活動を休止しており、グループD、グループEは一時的な活動のみで現在では新たな活動を見ることはありません。

 

不正送金被害が急増した期間中、特に活発な動きを見せていたグループA、グループBと合わせて、直近で継続した活動が観測されているグループCについて詳細を見ていきたいと思います。



各グループ詳細 

 (カッコ()内は筆者の勝手な呼称)

 

グループA (yahulogin (雅虎login) )

期間中最も活発な活動を行っていたのがグループAです。

そして、後発組の参入が9月末から始まったことを考えると、9月に発生した被害額、4億円の大半はこのグループに流れたものと思われます。

このグループは、元々クレジットカード情報の詐取やキャリア決済の悪用を狙ったフィッシングを国内で手掛けていました。

特にクレジットカード情報を狙ったフィッシングサイトには "セキュリティ安全手続きます" という不思議なキーワードが度々観測されています。

その当時のキャプチャをいくつかご紹介します。


 

f:id:tiketiketikeke:20191224172704p:plain

TS CUBICフィッシングサイト (2019年4月)

 

f:id:tiketiketikeke:20191224172745p:plain

三井住友カード フィッシングサイト (2019年6月)


彼らが最初に手掛けたと思われる三菱UFJ銀行のスキャン結果がurlscan.io に残っています。

urlscan.io


スキャン日時は8月23日となっています。
一連の不正送金の急増は8月後半から始まったと推測できます。

彼らはその後複数の金融機関を騙ったフィッシングを手掛け、これまでに30もの金融機関を騙った活動が確認されています。
 

彼らが仕掛けるフィッシングサイトには、同一サーバ上で複数ブランドを稼働するという傾向がありますが、各サイトの画像やCSS、jsなどのリソースを格納するフォルダ名には /static/yahulogin という特徴的な名称が使われていました。

 

f:id:tiketiketikeke:20191228181916p:plain

/static/yahulogin/

 

 

10月13日頃には、トップページにdアカウントの偽ページを配置し、本人認証と称してユーザが口座を所有する金融機関を選択させた上で閲覧者を該当のフィッシングサイトに誘導するという手法が用いられました。

NTTドコモを模したドメインのサブディレクトリ配下に各銀行フィッシングサイトを格納する構成でしたが、トップのdアカウントのフィッシングサイトは、このグループが銀行フィッシングを手掛ける前に使用していたものでした。

f:id:tiketiketikeke:20191224224502p:plain

dアカウント フィッシングサイト



実際のディレクトリ構成は @KesaGataMe0 さんのツイートをご覧ください。

 

 

何らかの理由により、この方式は数日で姿を消しました。

その後、yahuloginの文言が使用されることはなくなり、銀行名を示すディレクトリ名が使用されるようになりました。

 

彼らのもう一つの特徴が、PC用のカモフラージュ画面の存在です。
彼らはスマートフォンユーザのみをターゲットにしており、PCユーザは対象外でした。
HTTPリクエストのUserAgentヘッダを検査し、ターゲットデバイスに該当しない場合にはカモフラージュ画面を表示します。
このカモフラージュ画面はこれまで何度か変更されています。


f:id:tiketiketikeke:20191224230106p:plain

カモフラージュ画面(2019年9月) (urlscan.ioより)

 

f:id:tiketiketikeke:20191224230257p:plain

カモフラージュ画面(2019年10月)

 

f:id:tiketiketikeke:20191224230330j:plain

カモフラージュ画面(2019年11月)

 

f:id:tiketiketikeke:20191224230409p:plain

カモフラージュ画面(2019年12月)

 

 

銀行フィッシングの現状についての説明で触れた通り、他業種のブランド(dアカウント、Amazon楽天Yahoo!ジャパン)を悪用したランディングページから金融機関のフィッシングサイトに誘導する手法が12月25日に再度観測されました。

 

これらのランディングページで認証情報を入力後にログインボタンを押下すると、金融機関を選択する画面に遷移します。

本人認証と称して、ユーザが口座を持つ金融機関を選択させ、それぞれのフィッシングページに誘導する流れです。


f:id:tiketiketikeke:20191225152830p:plain

金融機関選択画面

 

このような異業種のブランドのランディングページを設置するケースは10月にも見られましたが、12月の構成ではランディングページでユーザが入力した認証情報が一切活用されないことが確認できました。

ランディングページでユーザに認証情報を入力させるものの、金融機関選択画面をHTTP GETで取得するため、入力した情報は捨てられます。


f:id:tiketiketikeke:20191228183415p:plain

HTTP GET による画面遷移




ランディングページで入力される情報には興味を示さず、不正送金に必要な情報のみを狙っていることがわかります。


また、12月25日の構成変更では信用金庫を含む新たな金融機関のフィッシングサイトの存在が確認されていますが、これらは何れも関西の金融機関であることが判明しています。

先ほど触れた通り、12月12日以降、福岡、沖縄、北海道といった地方を対象としたフィッシングが展開されていましたが、SNSでの反応を見る限り、異なる地域のユーザに対して誤ってSMSが配信された形跡がなく、フィッシングのターゲットとなった金融機関が存在する地域のユーザに対してピンポイントでSMSが配信されたものと思われます。

グループAの手元には住所と携帯電話番号がセットになった情報があり、地域を絞ったSMSが配信ができる状況にあるのではないかと推測します。

今回関西の金融機関がターゲットとなっているため、該当の地域にお住いの方は十分にご注意頂ければと思います。



ここには書ききれなかったグループAの詳細情報は以下のTwitterスレッドをご参照下さい。


 

 

 

グループB (ceshi (测试) )

9月末から12月上旬にかけてグループAに次いで活発だったのがグループBです。

グループBは9月25日に初めて観測されました。

グループAと同様、三井住友銀行のフィッシングを手掛けていましたが、フィッシングサイトに広告表示が存在しないなど、グループAとは異なる画面構成だったことから、別グループによる犯行とみなされました。

 

このグループの特徴を示すものの一つにceshiというリソースパスがあります。

 

f:id:tiketiketikeke:20191228185812p:plain

ceshi

 

 

二つ目の特徴は、入力フォームの各要素に設定された名称です。

"g_zhanghao" "g_wangyin"といった中国語のピンイン表記のような文字列が設定されています。

 

 

f:id:tiketiketikeke:20191228190345p:plain

フォーム要素


 

グループAと同様、グループBもスマートフォンユーザのみをターゲットとしていました。
PCブラウザからアクセスした場合に表示されるカモフラージュ画面も彼らの特徴を示すものとなっています。

 

f:id:tiketiketikeke:20191228190700p:plain

カモフラージュ画面

 

 

グループBの最大の特徴は、フィッシングサイトが稼働するインフラです。

リバースプロキシを配置することで、コンテンツを配置するWebサーバ(オリジンサーバ)を隠ぺいするという構成を取ります。

 

このインフラ構成は、9月末の初観測以降何度か変更が加えられていますが、次にこのインフラ構成の変遷について触れたいと思います。

 

グループBが初観測された9月末の時点では、cdns.vip というドメインサブドメインとしてリバースプロキシを複数台配置し、Krypt Technologies(AS35908) 配下のオリジンサーバを使用する構成でした。

複数台のリバースプロキシはDNSラウンドロビンによる冗長構成を取ります。

 

このリバースプロキシに直接アクセスすると、このような画面が表示されます。

 

 

f:id:tiketiketikeke:20191228192109p:plain

リバースプロキシのエラー画面

 

 

画面上には Fikker/Webcache/3.7.6 という文字列が見て取れます。
Fikkerという中国製のリバースプロキシ/Webキャッシュ用のソフトウェアが使用されていたものと思われます。

 

 

f:id:tiketiketikeke:20191228192242p:plain

Fikker 公式サイト



 

前述したように、フィッシングサイトの入力フォームの要素には特徴的な名称が使用されていました。

この名称を元に censys.io を検索すると、いくつかのオリジンサーバを見つけることができました。

その一つがこちらです。 

 

f:id:tiketiketikeke:20191228192428j:plain

censys.io で検索したオリジンサーバ

 

 

 

オリジンサーバにはSSLサーバ証明書が格納されており、httpsでアクセスするとフィッシングサイトのドメインと同名のコモンネームが設定されたサーバ証明書を確認することができます。

 

 

f:id:tiketiketikeke:20191228192708p:plain

オリジンサーバのSSLサーバ証明書

 

 

 

10月28日頃からこの構成を観測することがなくなり、オリジンサーバを直接公開するという構成変更が行われました。

 

 

 

 

 


11月半ばからは、香港のCDN事業者(di1cdn.com)のサービスを利用するようになります。

 この構成でのオリジンサーバは CNSERVERSのサーバ群でした。

 

 

 

 

この構成は1週間程度で姿を消しました。

その後、オリジンサーバとして使用していたCNSERVERS配下の複数のサーバをDNSラウンドロビンで直接公開したり、Cloudflareの利用を試みたり、複数のISPに跨った複数のリバースプロキシ (www[.]123456[.]com[.]ywcdn[.]net) を使用したりと、何度か構成変更が行われました。

 

グループBのインフラ構成の変遷を図示します。

 

 

 

f:id:tiketiketikeke:20191228193806p:plain

グループBのインフラ変遷

 

 

 

複数のインフラが使用されていることから、筆者自身グループBの中には複数のアクターが存在するのではないかと考えていました。

 

時系列でインフラ構成の変遷を並べることで、複数のインフラ方式が並行して稼働することがほとんどなかったことがお分かり頂けると思います。 

 

このことから、グループBは単一のアクターにより構成されている可能性が高いと思われます。

一部でフィッシングキットが出回っているという報道もなされていますが、現在では筆者はこの意見を否定的に捉えています。

 

ここには書ききれなかったグループBの詳細情報は以下のTwitterスレッドをご参照下さい。

 

 




グループC (secret)

グループBの活動が終息する一方で、グループAと並んで現在でも活発に活動を行っているのがグループCです。

このグループCを特徴づけるのが、ソースの難読化です。

 

 

f:id:tiketiketikeke:20191228194736p:plain

難読化コード

 

 

一見しただけでは処理内容が読み解けないよう難読化が行われていますが、この難読化を解く仕組みは /static/aes.js に揃っています。

 

 

f:id:tiketiketikeke:20191228213517p:plain

/static/aes.js

 

コンテンツの復号を行うsecret()関数はこのような形で呼び出されています。

 

f:id:tiketiketikeke:20191228213756p:plain

secret()呼び出し

 

 

 

/static/aes.js の実装に従って復号すると、HTMLの出力が確認できます。

 

 

f:id:tiketiketikeke:20191228213959p:plain

復号後のHTML出力

 

 

 

グループCが手掛けるフィッシングサイトのうち、三菱UFJ銀行みずほ銀行では ルートディレクトリのindex.html からこの処理が実装されていますが、ジャパンネット銀行のフィッシングサイトではルートディレクトリでは同様の難読化が施されておらず、iframeタグで別ディレクトリ( /home )に配置した難読化コンテンツをロードするなど、若干の実装の違いがあるようです。

 

 

f:id:tiketiketikeke:20191228214745p:plain

ジャパンネット銀行フィッシングサイトのソース

 

 

 

検知回避などの目的で難読化が行われているものと推測しますが、皮肉なことにこの取り組みにより自らの特徴を示す結果となっています。

 

 

もう一つ、グループCを特徴づけるものが ThinkPHP のエラー画面です。

意図的に存在しないコンテンツをリクエストすると、このようなThinkPHPのエラーが表示されます。

 

 

f:id:tiketiketikeke:20191228215126p:plain

ThinkPHPエラー画面

 

 

 

これもグループCを特徴づけるものとなっています。

 

 

ここには書ききれなかったグループCの詳細情報は以下のTwitterスレッドをご参照下さい。

 

 

 

 

 

 

 

 

まとめ

 

 

 

今回は、金融機関を装ったフィッシングを手掛ける各グループの特徴をまとめてみました。

 

 

 

ここ数年は各金融機関の対策が奏功したことによって不正送金の被害は年々縮小する傾向にありましたが、一連の犯行グループはどのようにして金融機関の対策をすり抜け、不正送金の急拡大をもたらしたのでしょうか。

 

@NaomiSuzuki_ さんが以下のツイートで答えを導き出しています。

 

 

 

インターネットバンキングの安全性を高める目的で各金融機関が導入するワンタイムパスワードアプリを乗っ取ることで、犯行グループが正々堂々と不正送金を行っているものと思われます。

 

 

ワンタイムパスワードアプリの有効化が行われるということは、これまで銀行アプリやソフトウェアトークン等を使ったことがないユーザが標的になっていることを示しています。

 


被害者は不正送金が発生したことをすぐに気づくことができず、暫く時間が経過した後に通帳記帳などのタイミングで被害が発覚するケースが多いのではないかと推測します。
 

 

年末のこの時期でも、金融機関を装ったSMSやメールが日々配信されています。

 

 

この記事をご覧いただいた皆様の中には、年末年始の帰省などで人に会う機会が増える方もいらっしゃるかと思います。

是非この機会に「金融機関を騙ったリンク付きのSMSやメールには気を付けましょう」という話を広めて頂ければと思います。

 

 

この記事を書くにあたって、日ごろよりフィッシングを追っている以下の方々の情報を参考にさせて頂きました。
いつもありがとうございます。

 

@NaomiSuzuki_
@KesaGataMe0
@ozuma5119
@taku888infinity
@d4k40

 

 

最後までご覧いただきありがとうございました。

 

 

 

以上 

 

 

Appendix :IOC

8月末以降に観測されたフィッシングサイト
 

# 観測日 FQDN IPアドレス(or CNAMEレコード) 金融機関名 実行グループ
1 2019/8/26 bk[.]mufgtz[.]com 51.79.66[.]216 三菱UFJ銀行 グループA
2 2019/8/26 bk[.]mufgsp[.]com 51.79.66[.]216 三菱UFJ銀行 グループA
3 2019/8/27 bk[.]mufgsk[.]com 51.79.66[.]216 三菱UFJ銀行 グループA
4 2019/8/27 bk[.]idmufg[.]com 51.79.66[.]216 三菱UFJ銀行 グループA
5 2019/8/27 bk[.]tzsp-mufg[.]com 51.79.66[.]216 三菱UFJ銀行 グループA
6 2019/8/28 bk[.]sp-mufg[.]com 51.79.66[.]216 三菱UFJ銀行 グループA
7 2019/8/28 bk[.]spmufg[.]com 51.79.66[.]216 三菱UFJ銀行 グループA
8 2019/8/30 bk[.]sf-mufg[.]com 51.79.66[.]216 三菱UFJ銀行 グループA
9 2019/9/1 bk[.]spsmbc[.]com 199.192.31[.]35 三井住友銀行 グループA
10 2019/9/1 bk[.]spsmbc[.]jp 199.192.31[.]35 三井住友銀行 グループA
11 2019/9/1 bk[.]smbcsp[.]jp 199.192.31[.]35 三井住友銀行 グループA
12 2019/9/2 bk[.]idmufg[.]jp 199.192.31[.]35 三菱UFJ銀行 グループA
13 2019/9/3 bk[.]mysmbc[.]jp 199.192.31[.]35 三井住友銀行 グループA
14 2019/9/3 bk[.]spmufg[.]jp 199.192.31[.]35 三菱UFJ銀行 グループA
15 2019/9/4 bk[.]sp-mufg.jp 133.18.205[.]163 三菱UFJ銀行 グループA
16 2019/9/4 bk[.]sp-smbc.jp 133.18.205[.]163 三井住友銀行 グループA
17 2019/9/5 bk[.]smufg[.]jp 199.192.29[.]152 三菱UFJ銀行 グループA
18 2019/9/5 bk[.]ssmbc[.]jp 199.192.29[.]152 三井住友銀行 グループA
19 2019/9/6 bk[.]smbc-sp[.]jp 199.192.28[.]131 三井住友銀行 グループA
20 2019/9/7 bk[.]sbank-japan[.]jp 199.192.28[.]131 ゆうちょ銀行 グループA
21 2019/9/7 bk[.]smbco[.]jp 199.192.28[.]131 三井住友銀行 グループA
22 2019/9/7 direct[.]smbco[.]jp 199.192.28[.]131 三井住友銀行 グループA
23 2019/9/8 direct[.]bankjapan[.]jp 199.192.28[.]131 ゆうちょ銀行 グループA
24 2019/9/8 bk[.]smbcs[.]jp 199.192.28[.]131 三井住友銀行 グループA
25 2019/9/9 direct[.]pbank-japan[.]jp 199.192.28[.]131 ゆうちょ銀行 グループA
26 2019/9/9 direct[.]smmbc[.]jp 199.192.28[.]131 三井住友銀行 グループA
27 2019/9/10 bk[.]banbk-japan[.]jp 199.192.28[.]131 ゆうちょ銀行 グループA
28 2019/9/10 bk[.]smbbc[.]jp 199.192.28[.]131 三井住友銀行 グループA
29 2019/9/13 bk[.]smdc-sp[.]jp 199.192.28[.]131 三井住友銀行 グループA
30 2019/9/17 bk.spsmcc[.]com 199.192.28[.]131 三井住友銀行 グループA
31 2019/9/18 bk[.]spscmb[.]jp 63.250.33[.]45 三井住友銀行 グループA
32 2019/9/18 bk.spsmcb[.]com 63.250.33[.]45 三井住友銀行 グループA
33 2019/9/19 bk[.]usmbc[.]jp 199.192.31[.]154 三井住友銀行 グループA
34 2019/9/19 bk[.]sm-bc[.]jp 162.213.250[.]66 三井住友銀行 グループA
35 2019/9/20 my[.]japanpost-sp[.]jp 63.250.33[.]95 三井住友銀行 グループA
36 2019/9/21 sp[.]smcs[.]jp 199.192.25[.]254 三井住友銀行 グループA
37 2019/9/21 bank-smbc[.]jp 199.192.25[.]254 三井住友銀行 グループA
38 2019/9/21 sp[.]simbc[.]jp 162.213.249[.]173 三井住友銀行 グループA
39 2019/9/21 sp[.]smbcll[.]jp 162.213.249[.]173 三井住友銀行 グループA
40 2019/9/23 sk-smbc[.]jp 192.64.116[.]91 三井住友銀行 グループA
41 2019/9/24 smbcmo[.]jp  192.64.116[.]91 三井住友銀行 グループA
42 2019/9/25 scmbc[.]jp 162.213.249[.]173 三井住友銀行 グループA
43 2019/9/25 sp[.]smcbc[.]jp 162.213.249[.]173 三井住友銀行 グループA
44 2019/9/25 csmbc[.]jp 199.192.31[.]16 三井住友銀行 グループA
45 2019/9/25 cdsmbc[.]jp 199.192.31[.]154 三井住友銀行 グループA
46 2019/9/26 sdsmbc[.]jp  198.54.112[.]92 三井住友銀行 グループA
47 2019/9/26 m-smbc[.]jp 198.54.112[.]92 三井住友銀行 グループA
48 2019/9/26 smcb-co[.]jp  198.54.112[.]86 三井住友銀行 グループA
49 2019/9/26 csmb-cm[.]jp  198.54.112[.]86 三井住友銀行 グループA
50 2019/9/27 bk.scsmbc[.]com 199.192.31[.]169 三井住友銀行 グループA
51 2019/9/27 bk.smbc-no[.]jp 199.192.31[.]169 三井住友銀行 グループA
52 2019/9/27 bk.spsmbc[.]com 199.192.31[.]169 三井住友銀行 グループA
53 2019/9/29 smbc-id[.]com 172.247.116[.]48 三井住友銀行 グループA
54 2019/9/29 s.sasmbc[.]com 192.64.114[.]173 三井住友銀行 グループA
55 2019/9/29 jp-smbc[.]com  192.64.114[.]84 三井住友銀行 グループA
56 2019/9/29 smcdd[.]jp  198.54.121[.]73 三井住友銀行 グループA
57 2019/9/29 smbc-ic[.]com  172.247.116[.]48 三井住友銀行 グループA
58 2019/9/29 smdc-cm[.]com  63.250.34[.]130 三井住友銀行 グループA
59 2019/10/1 bk[.]ysmbc[.]com 199.192.18[.]82 三井住友銀行 グループA
60 2019/10/2 bk[.]snmbcc[.]com 199.192.18[.]201 三井住友銀行 グループA
61 2019/10/2 bk[.]smcbkc[.]com 199.192.18[.]82 三井住友銀行 グループA
62 2019/10/2 bk[.]smbc-s[.]com 63.250.34[.]210 三井住友銀行 グループA
63 2019/10/2 bk-smbc[.]com 63.250.34[.]210 三井住友銀行 グループA
64 2019/10/2 bk-smbcc[.]com 63.250.34[.]210 三井住友銀行 グループA
65 2019/10/3 smbc-my[.]com 63.250.34[.]210 三井住友銀行 グループA
66 2019/10/3 bk-smbcc[.]com 63.250.34[.]210 三井住友銀行 グループA
67 2019/10/3 smvcb-co[.]jp 63.250.34[.]212 三井住友銀行 グループA
68 2019/10/4 bk[.]snm-bc[.]com 63.250.34[.]112 三井住友銀行 グループA
69 2019/10/4 bk[.]smbc-o[.]com 199.192.27[.]81 三井住友銀行 グループA
70 2019/10/4 sp[.]smsd[.]jp 133.130.116[.]196 三井住友銀行 グループA
71 2019/10/4 sbc-mc[.]com 192.64.118[.]148 三井住友銀行 グループA
72 2019/10/4 bk[.]m-smbc[.]com 192.64.118[.]248 三井住友銀行 グループA
73 2019/10/4 bk[.]a-smbc[.]com 192.64.118[.]248 三井住友銀行 グループA
74 2019/10/4 sp-smbc[.]com  162.213.250[.]66 三井住友銀行 グループA
75 2019/10/4 sm-smbc[.]jp  163.44.168[.]160 三井住友銀行 グループA
76 2019/10/5 smdcd[.]jp 150.95.146[.]185 三井住友銀行 グループA
77 2019/10/5 spsmbc-co[.]jp 150.95.146[.]185 三井住友銀行 グループA
78 2019/10/5 bk[.]smcd-co[.]jp 150.95.146[.]185 三井住友銀行 グループA
79 2019/10/5 bc-smdc[.]jp 150.95.191[.]0 三井住友銀行 グループA
80 2019/10/6 c-smbc[.]jp  150.95.129[.]67 三井住友銀行 グループA
81 2019/10/6 bsmbc[.]jp  150.95.129[.]67 三井住友銀行 グループA
82 2019/10/6 spsmbc-co[.]jp 150.95.146[.]185 三井住友銀行 グループA
83 2019/10/6 bk[.]smcd-co[.]jp 150.95.146[.]185 三井住友銀行 グループA
84 2019/10/6 bk.spsmcd[.]jp 150.95.173[.]110 三井住友銀行 グループA
85 2019/10/6 smbcm[.]jp 150.95.173[.]110 三井住友銀行 グループA
86 2019/10/7 smbc-ie[.]com 23.228.70[.]221 三井住友銀行 グループA
87 2019/10/7 scbmns[.]com  150.95.185[.]91 三井住友銀行 グループA
88 2019/10/8 smbcd[.]jp 133.130.109[.]68 三井住友銀行 グループA
89 2019/10/8 scsmcb[.]jp  150.95.185[.]91 三井住友銀行 グループA
90 2019/10/8 sbsmbc[.]jp  199.192.31[.]16 三井住友銀行 グループA
91 2019/10/8 smbch-sp[.]jp  199.192.31[.]154 三井住友銀行 グループA
92 2019/10/8 scb-mn[.]com 63.250.34[.]130 三井住友銀行 グループA
93 2019/10/8 smsmbs[.]com 63.250.34[.]130 三井住友銀行 グループA
94 2019/10/8 smscn[.]jp  63.250.34[.]130 三井住友銀行 グループA
95 2019/10/9 msnc[.]jp 63.250.34[.]130 三井住友銀行 グループA
96 2019/10/9 snnbcc[.]com 199.192.27[.]193 三井住友銀行 グループA
97 2019/10/9 bk[.]smncbc[.]com 199.192.26[.]49 三井住友銀行 グループA
98 2019/10/17 snncbc[.]com  45.141.156[.]195 三井住友銀行 グループA
99 2019/10/17 sncbcm[.]jp 45.141.156[.]195 三井住友銀行 グループA
100 2019/10/17 smqbc[.]com 45.141.156[.]195 三井住友銀行 グループA
101 2019/10/18 smbcr[.]com 45.141.156[.]195 三井住友銀行 グループA
102 2019/10/18 smbcbc[.]com 45.141.156[.]195 三井住友銀行 グループA
103 2019/10/18 smbcbs[.]com  202.182.98[.]81 三井住友銀行 グループA
104 2019/10/18 smbcci[.]com  202.182.98[.]81 三井住友銀行 グループA
105 2019/10/18 japannbank[.]com 45.141.156[.]195 ジャパンネット銀行 グループA
106 2019/10/19 smbcbm[.]com  192.64.115[.]228 三井住友銀行 グループA
107 2019/10/19 smbccm[.]com  199.192.25[.]206 三井住友銀行 グループA
108 2019/10/20 smbcyb[.]com  133.18.172[.]202 三井住友銀行 グループA
109 2019/10/20 smbcim[.]com  192.64.115[.]194 三井住友銀行 グループA
110 2019/10/20 mizuuho[.]com 199.192.25[.]206 みずほ銀行 グループA
111 2019/10/21 smbcoc[.]com  63.250.33[.]177 三井住友銀行 グループA
112 2019/10/22 smbccb[.]com  63.250.33[.]157 三井住友銀行 グループA
113 2019/10/22 smbcnc[.]jp  192.64.114[.]136 三井住友銀行 グループA
114 2019/10/23 smbccv[.]jp 199.192.18[.]83 三井住友銀行 グループA
115 2019/10/23 ufj.smbccv.jp 199.192.18[.]83 三菱UFJ銀行 グループA
116 2019/10/23 cmufg[.]jp  199.192.25[.]204 三菱UFJ銀行 グループA
117 2019/10/23 cmufg[.]com  199.192.25[.]204 三菱UFJ銀行 グループA
118 2019/10/23 kbmufg[.]com  63.250.33[.]142 三菱UFJ銀行 グループA
119 2019/10/23 jappanbank[.]com 63.250.33[.]142 ジャパンネット銀行 グループA
120 2019/10/24 upsmbc[.]com 63.250.33[.]142 三井住友銀行 グループA
121 2019/10/24 smbclo[.]com 192.64.115[.]194 三井住友銀行 グループA
122 2019/10/25 smbcil[.]com  199.192.27[.]117 三井住友銀行 グループA
123 2019/10/25 aeonban[.]com 63.250.33[.]142 イオン銀行 グループA
124 2019/10/26 smbcog[.]com  45.141.156[.]195 三井住友銀行 グループA
125 2019/10/26 mufgsk[.]com  45.141.156[.]195 三菱UFJ銀行 グループA
126 2019/10/26 aeonbam[.]com 45.141.156[.]195 イオン銀行 グループA
127 2019/10/27 smbcvc[.]com  45.141.156[.]195 三井住友銀行 グループA
128 2019/10/27 aeonobank[.]com 45.141.156[.]195 イオン銀行 グループA
129 2019/10/27 japanpost[.]smbcvc[.]com 45.141.156[.]195 ゆうちょ銀行 グループA
130 2019/10/28 smbclc[.]com  45.141.156[.]195 三井住友銀行 グループA
131 2019/10/28 aeonnbank[.]com 45.141.156[.]195 イオン銀行 グループA
132 2019/10/29 smbcqc[.]com  45.141.156[.]195 三井住友銀行 グループA
133 2019/10/29 aeobank[.]com  45.141.156[.]195 イオン銀行 グループA
134 2019/10/29 gmoazoa[.]com  45.141.156[.]195 GMOあおぞらネット銀行 グループA
135 2019/10/30 smbckv[.]com  45.141.156[.]195 三井住友銀行 グループA
136 2019/10/30 smbckc[.]com  45.141.156[.]195 三井住友銀行 グループA
137 2019/10/30 smbcjl[.]com  45.141.156[.]195 三井住友銀行 グループA
138 2019/10/30 aeobenk[.]com  45.141.156[.]195 イオン銀行 グループA
139 2019/10/30 aenbank[.]com  45.141.156[.]195 イオン銀行 グループA
140 2019/10/31 smbcdc[.]com  45.141.156[.]195 三井住友銀行 グループA
141 2019/10/31 smbcbm[.]com  45.141.156[.]195 三井住友銀行 グループA
142 2019/10/31 aenbauk[.]com  45.141.156[.]195 イオン銀行 グループA
143 2019/11/1 smbclm[.]com  199.192.25[.]154 三井住友銀行 グループA
144 2019/11/4 smbcuc[.]com  45.141.156[.]195 三井住友銀行 グループA
145 2019/11/4 smbcbk[.]com  199.192.28[.]83 三井住友銀行 グループA
146 2019/11/4 smbckk[.]com  45.141.156[.]195 三井住友銀行 グループA
147 2019/11/4 bkufg[.]com  199.192.25[.]154 三菱UFJ銀行 グループA
148 2019/11/4 aenbcuk[.]com  199.192.25[.]154 イオン銀行 グループA
149 2019/11/5 smbcoc[.]com  111.90.147[.]13 三井住友銀行 グループA
150 2019/11/5 aenbank[.]com  111.90.147[.]13 イオン銀行 グループA
151 2019/11/6 aeonbak[.]com  111.90.147[.]13 イオン銀行 グループA
152 2019/11/6 aeobunk[.]com  45.141.156[.]195 イオン銀行 グループA
153 2019/11/7 smbcsc[.]com  111.90.147[.]13 三井住友銀行 グループA
154 2019/11/7 smbcsb[.]com  111.90.147[.]13 三井住友銀行 グループA
155 2019/11/7 bmufg[.]com  111.90.147[.]13 三菱UFJ銀行 グループA
156 2019/11/7 mufgb[.]com  111.90.147[.]13 三菱UFJ銀行 グループA
157 2019/11/7 japnbank[.]com 111.90.147[.]13 ジャパンネット銀行 グループA
158 2019/11/8 smbcma[.]com  111.90.147[.]13 三井住友銀行 グループA
159 2019/11/8 smbcas[.]com  111.90.147[.]13 三井住友銀行 グループA
160 2019/11/9 smbczq[.]com  111.90.147[.]13 三井住友銀行 グループA
161 2019/11/9 smbcat[.]com  111.90.147[.]13 三井住友銀行 グループA
162 2019/11/9 smbcia[.]com  111.90.147[.]13 三井住友銀行 グループA
163 2019/11/9 mufgd[.]com  111.90.147[.]13 三菱UFJ銀行 グループA
164 2019/11/9 mufgbk[.]com  111.90.147[.]13 三菱UFJ銀行 グループA
165 2019/11/9 aeonbcnk[.]com 111.90.147[.]13 イオン銀行 グループA
166 2019/11/9 aeonbonk[.]com 111.90.147[.]13 イオン銀行 グループA
167 2019/11/9 kyoto[.]mufgd[.]com 111.90.147[.]13 京都銀行 グループA
168 2019/11/9 kyotobk[.]com 111.90.147[.]13 京都銀行 グループA
169 2019/11/10 smbctv[.]com  111.90.147[.]13 三井住友銀行 グループA
170 2019/11/10 smbcip[.]com  45.141.156[.]195 三井住友銀行 グループA
171 2019/11/10 aeonvv[.]com 45.141.156[.]195 三井住友銀行 グループA
172 2019/11/10 omufg[.]com  45.141.156[.]195 三菱UFJ銀行 グループA
173 2019/11/10 aeonbtnk[.]com 45.141.156[.]195 イオン銀行 グループA
174 2019/11/10 aeonvv[.]com 45.141.156[.]195 三井住友銀行 グループA
175 2019/11/11 smbcrc[.]com  101.99.90[.]74 三井住友銀行 グループA
176 2019/11/11 aeonbfnk[.]com 101.99.90[.]74 イオン銀行 グループA
177 2019/11/12 smbcit[.]com 101.99.90[.]74 三井住友銀行 グループA
178 2019/11/12 smbcyq[.]com 101.99.90[.]74 三井住友銀行 グループA
179 2019/11/12 smbcui[.]com  45.141.156[.]195 三菱UFJ銀行 グループA
180 2019/11/12 aeonabnk[.]com 101.99.90[.]74 イオン銀行 グループA
181 2019/11/12 aeoncbnk[.]com 45.141.156[.]195 イオン銀行 グループA
182 2019/11/12 aeondbnk[.]com 101.99.90[.]74 イオン銀行 グループA
183 2019/11/13 smbcqe[.]com 101.99.90[.]74 三井住友銀行 グループA
184 2019/11/13 smbcqe[.]com 101.99.90[.]74 三井住友銀行 グループA
185 2019/11/14 smbciz[.]com  101.99.90[.]74 三井住友銀行 グループA
186 2019/11/14 smbcbp[.]com  101.99.90[.]74 三井住友銀行 グループA
187 2019/11/14 netbko[.]com 101.99.90[.]74 住信SBIネット銀行 グループA
188 2019/11/15 smbcqt[.]com 101.99.90[.]74 三井住友銀行 グループA
189 2019/11/15 smbcqr[.]com  101.99.90[.]74 三井住友銀行 グループA
190 2019/11/15 smbcqi[.]com  101.99.90[.]74 三井住友銀行 グループA
191 2019/11/15 aeonfbnk[.]com 101.99.90[.]74 イオン銀行 グループA
192 2019/11/15 aeongbnk[.]com 101.99.90[.]74 イオン銀行 グループA
193 2019/11/15 netbkc[.]com 101.99.90[.]74 住信SBIネット銀行 グループA
194 2019/11/16 smbcqo[.]com  101.99.90[.]74 三井住友銀行 グループA
195 2019/11/16 aeonhbnk[.]com 101.99.90[.]74 イオン銀行 グループA
196 2019/11/16 netbkv[.]com 101.99.90[.]74 住信SBIネット銀行 グループA
197 2019/11/17 smbcrp[.]com  101.99.90[.]74 三井住友銀行 グループA
198 2019/11/17 smbcqp[.]com  101.99.90[.]74 三井住友銀行 グループA
199 2019/11/17 aeonhbnk[.]com 101.99.90[.]74 イオン銀行 グループA
200 2019/11/19 smbcqs[.]com  45.141.156[.]195 三井住友銀行 グループA
201 2019/11/19 aeonibnk[.]com 45.141.156[.]195 イオン銀行 グループA
202 2019/11/20 smbcqd[.]com  45.141.156[.]195 三井住友銀行 グループA
203 2019/11/20 smbcqf[.]com  45.141.156[.]195 三井住友銀行 グループA
204 2019/11/20 smbcqf[.]com  45.141.156[.]195 三井住友銀行 グループA
205 2019/11/20 mbcqg[.]com  45.141.156[.]195 三井住友銀行 グループA
206 2019/11/20 bkmafg[.]com 45.141.156[.]195 三菱UFJ銀行 グループA
207 2019/11/20 aeonlbnk[.]com 45.141.156[.]195 イオン銀行 グループA
208 2019/11/20 aeonkbnk[.]com 45.141.156[.]195 イオン銀行 グループA
209 2019/11/20 aeonobnk[.]com 45.141.156[.]195 イオン銀行 グループA
210 2019/11/20 aeonobnk[.]com 111.90.150[.]196 イオン銀行 グループA
211 2019/11/21 smbccl[.]com  111.90.150[.]196 三井住友銀行 グループA
212 2019/11/21 smbcix[.]com  111.90.150[.]196 三井住友銀行 グループA
213 2019/11/21 smbcqh[.]com  111.90.150[.]196 三井住友銀行 グループA
214 2019/11/21 smbcqj[.]com  111.90.150[.]196 三井住友銀行 グループA
215 2019/11/21 bkmbfg[.]com 111.90.150[.]196 三菱UFJ銀行 グループA
216 2019/11/21 aeonpbnk[.]com 111.90.150[.]196 イオン銀行 グループA
217 2019/11/21 aeonpbnk[.]com 111.90.150[.]196 イオン銀行 グループA
218 2019/11/22 smbcip[.]com  111.90.150[.]196 三井住友銀行 グループA
219 2019/11/22 aeonlo[.]com 111.90.150[.]196 イオン銀行 グループA
220 2019/11/22 aeonsbnk[.]com 185.22.172[.]147 イオン銀行 グループA
221 2019/11/23 smbcql[.]com  185.22.172[.]147 三井住友銀行 グループA
222 2019/11/23 smbcqn[.]com 185.22.172[.]147 三井住友銀行 グループA
223 2019/11/23 smbcqb[.]com 185.22.172[.]147 三井住友銀行 グループA
224 2019/11/23 aeonxbnk[.]com 185.22.172[.]147 イオン銀行 グループA
225 2019/11/24 smbcqc[.]com 185.22.172[.]147 三井住友銀行 グループA
226 2019/11/25 smbcqv[.]com 87.120.36[.]25 三井住友銀行 グループA
227 2019/11/25 smbcqm[.]com 87.120.36[.]25 三井住友銀行 グループA
228 2019/11/25 bkmcfg[.]com 185.22.172[.]147 三菱UFJ銀行 グループA
229 2019/11/26 smbcaw[.]com  38.106.22[.]167 三井住友銀行 グループA
230 2019/11/26 smbcii[.]com  38.106.22[.]167 三井住友銀行 グループA
231 2019/11/26 smbcay[.]com  38.106.22[.]167 三井住友銀行 グループA
232 2019/11/26 bkmdfj[.]com 38.106.22[.]167 三菱UFJ銀行 グループA
233 2019/11/26 aeonbdnk[.]com 38.106.22[.]167 イオン銀行 グループA
234 2019/11/27 smbcau[.]com  38.106.22[.]167 三井住友銀行 グループA
235 2019/11/27 smbcah[.]com 38.106.22[.]167 三井住友銀行 グループA
236 2019/11/27 smbcah[.]com 38.106.22[.]167 三井住友銀行 グループA
237 2019/11/27 smbcaj.com 38.106.22[.]167 三井住友銀行 グループA
238 2019/11/27 aeonbenk[.]com 38.106.22[.]167 イオン銀行 グループA
239 2019/11/27 smbcah[.]com 38.106.22[.]167 イオン銀行 グループA
240 2019/11/28 bkmefg[.]com 38.106.22[.]167 三菱UFJ銀行 グループA
241 2019/12/6 smbcak[.]com  154.13.28[.]137 三井住友銀行 グループA
242 2019/12/7 smbcal[.]com  154.13.28[.]137 三井住友銀行 グループA
243 2019/12/7 smbcah[.]com 154.13.28[.]137 三井住友銀行 グループA
244 2019/12/7 aeonbafnk[.]com 154.13.28[.]137 イオン銀行 グループA
245 2019/12/7 aeonbaek[.]com 154.13.28[.]137 イオン銀行 グループA
246 2019/12/8 aeonbvwnk[.]com 154.13.28[.]137 イオン銀行 グループA
247 2019/12/8 resonagr[.]com 154.13.28[.]137 りそな銀行 グループA
248 2019/12/8 kyotobuk[.]com 154.13.28[.]137 京都銀行 グループA
249 2019/12/9 smbcax[.]com  27.122.59[.]201 三井住友銀行 グループA
250 2019/12/9 resonagk[.]com 27.122.59[.]201 りそな銀行 グループA
251 2019/12/10 smbcab[.]com  101.99.90[.]93 三井住友銀行 グループA
252 2019/12/10 aeonbqnk[.]com 27.122.59[.]201 イオン銀行 グループA
253 2019/12/10 aeonbrnk[.]com 101.99.90[.]93 イオン銀行 グループA
254 2019/12/10 resonagp[.]com 27.122.59[.]201 りそな銀行 グループA
255 2019/12/11 aeonbhnk[.]com 101.99.90[.]93 イオン銀行 グループA
256 2019/12/11 mizubank[.]com 101.99.90[.]93 みずほ銀行 グループA
257 2019/12/11 jnbbunk[.]com 101.99.90[.]93 ジャパンネット銀行 グループA
258 2019/12/11 resonaak[.]com 101.99.90[.]93 りそな銀行 グループA
259 2019/12/12 fukuobk[.]com 101.99.90[.]93 福岡銀行 グループA
260 2019/12/13 smbcan[.]com  78.142.19[.]75 三井住友銀行 グループA
261 2019/12/14 smbcag[.]com  213.152.165[.]29 三井住友銀行 グループA
262 2019/12/14 fukuonk[.]com 213.152.165[.]29 福岡銀行 グループA
263 2019/12/17 mufguk[.]com  103.13.228[.]244 三菱UFJ銀行 グループA
264 2019/12/17 fukuomk[.]com 213.152.165[.]29 福岡銀行 グループA
265 2019/12/17 ryuagin[.]com 213.152.165[.]29 琉球銀行 グループA
266 2019/12/18 ryucgin[.]com 213.152.165[.]29 琉球銀行 グループA
267 2019/12/18 ryuging[.]com 164.68.121[.]170 琉球銀行 グループA
268 2019/12/18 ryuginv[.]com 164.68.121[.]170 琉球銀行 グループA
269 2019/12/18 ryuginn[.]com 164.68.121[.]170 琉球銀行 グループA
270 2019/12/18 okinanwa[.]com 164.68.121[.]170 沖縄銀行 グループA
271 2019/12/19 aeonbuok[.]com 164.68.121[.]170 イオン銀行 グループA
272 2019/12/19 ryuginc[.]com 164.68.121[.]170 琉球銀行 グループA
273 2019/12/19 hokkaibo[.]com 164.68.121[.]170 北海道銀行 グループA
274 2019/12/26 smbcoq[.]com 103.13.228[.]244 三井住友銀行 グループA
275 2019/12/26 aeopsp[.]com 103.13.228[.]244 イオン銀行 グループA
276 2019/12/27 smbcop[.]com 103.13.228[.]244 三井住友銀行 グループA
277 2019/12/27 mufguk[.]com 103.13.228[.]244 三菱UFJ銀行 グループA
278 2019/12/27 smbcps[.]com 164.68.96[.]158 三井住友銀行 グループA
279 2019/12/27 smbckm[.]com 164.68.96[.]158 三井住友銀行 グループA
280 2019/10/13 ntdomo[.]co  133.18.173[.]151 dアカウント(ランディングページ) グループA
281 2019/10/14 ntt-docmo[.]jp 199.192.27[.]22 dアカウント(ランディングページ) グループA
282 2019/10/14 docomome[.]com 199.192.27[.]6 dアカウント(ランディングページ) グループA
283 2019/10/15 ntt-docoo[.]jp 63.250.33[.]78 dアカウント(ランディングページ) グループA
284 2019/10/15 doconno[.]com 133.18.30[.]150 dアカウント(ランディングページ) グループA
285 2019/10/15 dococmo[.]com 133.18.196.134 dアカウント(ランディングページ) グループA
286 2019/10/16 dooccomo[.]com 63.250.35[.]202 dアカウント(ランディングページ) グループA
287 2019/10/16 dooc-como[.]jp 63.250.35[.]203 dアカウント(ランディングページ) グループA
288 2019/10/16 doccoomo[.]com 63.250.35[.]206 dアカウント(ランディングページ) グループA
289 2019/10/16 docomemo[.]com 63.250.35.204 dアカウント(ランディングページ) グループA
290 2019/12/25 docomv[.]com  78.142.29[.]199 dアカウント(ランディングページ) グループA
291 2019/12/26 docoimo[.]com 144.91.64[.]191 dアカウント(ランディングページ) グループA
292 2019/12/25 amnazn[.]com 78.142.29[.]199 Amazon (ランディングページ) グループA
293 2019/12/25 rakueny.com 78.142.29[.]199 楽天 (ランディングページ) グループA
294 2019/12/26 yahonz[.]com 144.91.64[.]191 Yahoo!ジャパン (ランディングページ) グループA
295 2019/9/25 smbaco[.]jp aaaa[.]cdns[.]vip 三井住友銀行 グループB
296 2019/9/25 smqc[.]jp aaaa[.]cdns[.]vip 三井住友銀行 グループB
297 2019/9/25 smbcrz[.]com 0922[.]cdns[.]vip 三井住友銀行 グループB
298 2019/9/25 sbcma[.]jp  aaaa[.]cdns[.]vip 三井住友銀行 グループB
299 2019/9/26 smdco[.]jp aaaa[.]cdns[.]vip 三井住友銀行 グループB
300 2019/9/26 smbces-co[.]com 0922[.]cdns[.]vip 三井住友銀行 グループB
301 2019/9/26 smbcscu-co[.]com 0922[.]cdns[.]vip 三井住友銀行 グループB
302 2019/9/27 smbci[.]jp aaaa[.]cdns[.]vip 三井住友銀行 グループB
303 2019/9/27 smcbi[.]jp aaaa[.]cdns[.]vip 三井住友銀行 グループB
304 2019/9/29 www[.]smbcae-hmpop-co[.]com 0922[.]cdns[.]vip 三井住友銀行 グループB
305 2019/9/29 www[.]smbcscu-co[.]com 0922[.]cdns[.]vip 三井住友銀行 グループB
306 2019/9/29 www[.]smbces-co[.]com 0922[.]cdns[.]vip 三井住友銀行 グループB
307 2019/9/29 www[.]smbcecsa-co[.]com 0922[.]cdns[.]vip 三井住友銀行 グループB
308 2019/9/29 www[.]smbcre-hmpop-co[.]com bei[.]cdns[.]vip 三井住友銀行 グループB
309 2019/10/1 smcbcojp[.]com 0929[.]cdns[.]vip 三井住友銀行 グループB
310 2019/10/2 www[.]smbcsj[.]com bei[.]cdns[.]vip 三井住友銀行 グループB
311 2019/10/2 smbcsj[.]com  bei[.]cdns[.]vip 三井住友銀行 グループB
312 2019/10/3 smbcd[.]com 0929[.]cdns[.]vip 三井住友銀行 グループB
313 2019/10/5 smcbr[.]jp  1004[.]cdns[.]vip 三井住友銀行 グループB
314 2019/10/9 smcbocb[.]com 1004[.]cdns[.]vip 三井住友銀行 グループB
315 2019/10/14 smcbonecojp[.]com 1004[.]cdns[.]vip 三井住友銀行 グループB
316 2019/10/14 smcbb[.]jp 1004[.]cdns[.]vip 三井住友銀行 グループB
317 2019/10/15 smbcsa[.]com  1004[.]cdns[.]vip 三井住友銀行 グループB
318 2019/10/15 smcbsc[.]jp 1004[.]cdns[.]vip 三井住友銀行 グループB
319 2019/10/16 smbcosacojp[.]com 0922[.]cdns[.]vip 三井住友銀行 グループB
320 2019/10/16 smcbsk[.]jp 1004[.]cdns[.]vip 三井住友銀行 グループB
321 2019/10/16 smcbskb[.]com 1004[.]cdns[.]vip 三井住友銀行 グループB
322 2019/10/17 smbceca--pop-hml-co[.]com 0922[.]cdns[.]vip 三井住友銀行 グループB
323 2019/10/17 smbcuercojp[.]com 1004[.]cdns[.]vip 三井住友銀行 グループB
324 2019/10/17 smbcdsa[.]com 1004[.]cdns[.]vip 三井住友銀行 グループB
325 2019/10/17 smcbas[.]jp 1004[.]cdns[.]vip 三井住友銀行 グループB
326 2019/10/17 smcbez[.]jp  1017[.]cdns[.]vip 三井住友銀行 グループB
327 2019/10/18 smbcesr[.]com 1017[.]cdns[.]vip 三井住友銀行 グループB
328 2019/10/23 bk[.]mofg[.]jp 1017[.]cdns[.]vip 三菱UFJ銀行 グループB
329 2019/10/23 smbcracojp[.]com 1018[.]cdns[.]vip 三井住友銀行 グループB
330 2019/10/24 smbcet[.]jp  1017[.]cdns[.]vip 三井住友銀行 グループB
331 2019/10/25 smbcre[.]com  85.209.43[.]29 三井住友銀行 グループB
332 2019/10/26 smbcrt[.]com  85.209.43[.]29 三井住友銀行 グループB
333 2019/10/28 smcbta[.]com  67.198.189[.]36 三井住友銀行 グループB
334 2019/10/29 smbctd[.]com  98.126.219[.]35 三井住友銀行 グループB
335 2019/10/29 smbcte[.]com  67.198.189[.]30 三井住友銀行 グループB
336 2019/11/4 smbcka[.]com  67.198.189[.]178 三井住友銀行 グループB
337 2019/11/5 smbckb[.]com  58.82.224[.]140 三井住友銀行 グループB
338 2019/11/6 snbckc[.]com  67.198.189[.]36 三井住友銀行 グループB
339 2019/11/7 smbcuacojp[.]com www[.]123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
340 2019/11/8 smbctg[.]com  smbckb[.]cdn[.]di1cdn[.]com 三井住友銀行 グループB
341 2019/11/8 smbctg[.]com smbckb[.]cdn[.]di1cdn[.]com 三井住友銀行 グループB
342 2019/11/10 sbmczecojp[.]com www[.]123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
343 2019/11/11 smbcre[.]jp smbckb[.]cdn[.]di1cdn[.]com 三井住友銀行 グループB
344 2019/11/11 smbcorcojp[.]com www[.]123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
345 2019/11/12 smbc-update[.]top 207.148.108[.]15 三井住友銀行 グループB
346 2019/11/12 smbc-update[.]online 207.148.108[.]15 三井住友銀行 グループB
347 2019/11/12 smbcsb[.]jp smbckb[.]cdn[.]di1cdn[.]com 三井住友銀行 グループB
348 2019/11/12 bk[.]muft[.]jp smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
349 2019/11/12 bk.mufp[.]jp smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
350 2019/11/13 smbc-date[.]xyz 104.31.86.47  三井住友銀行 グループB
351 2019/11/13 smbc-date[.]xyz 104.31.87.47 三井住友銀行 グループB
352 2019/11/13 bkmufq[.]com  smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
353 2019/11/13 mufa[.]jp  smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
354 2019/11/14 smbcr[.]jp smbckb[.]cdn[.]di1cdn[.]com 三井住友銀行 グループB
355 2019/11/14 bk.mufv[.]jp  smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
356 2019/11/15 cam-smbc-mail[.]top 104.28.29[.]157 三井住友銀行 グループB
357 2019/11/15 cam-smbc-mail[.]top 104.28.28[.]157 三井住友銀行 グループB
358 2019/11/15 smbctd[.]jp smbckb[.]cdn[.]di1cdn[.]com 三井住友銀行 グループB
359 2019/11/15 bk.mufm[.]jp  smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
360 2019/11/15 bk.mufw[.]jp  smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
361 2019/11/16 smbcrk[.]jp smbckb[.]cdn[.]di1cdn[.]com 三井住友銀行 グループB
362 2019/11/16 bk.mufc[.]jp  smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
363 2019/11/18 smbcnscojp[.]com 123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
364 2019/11/18 bk.mafg[.]jp  smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
365 2019/11/19 bk[.]muhg[.]jp smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
366 2019/11/19 smbcezacojp[.]com 123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
367 2019/11/19 smbcup[.]com  104.28.30[.]229 三井住友銀行 グループB
368 2019/11/19 smbcup[.]com  104.28.31[.]229 三井住友銀行 グループB
369 2019/11/20 smbcurecojp[.]com www[.]123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
370 2019/11/20 bkmufg[.]com smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
371 2019/11/22 smbcuaecojp[.]com www[.]123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
372 2019/11/22 amazaenon[.]com smbckb[.]cdn[.]di1cdn[.]com 三井住友銀行 グループB
373 2019/11/24 bkmur[.]com smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
374 2019/11/25 bkmuk[.]com smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
375 2019/11/26 bk.mufx[.]jp smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
376 2019/11/26 bkmuhf[.]com smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
377 2019/11/27 smbctn[.]com  smbckb[.]cdn[.]di1cdn[.]com 三井住友銀行 グループB
378 2019/11/27 bkmuhg[.]com smbckb[.]cdn[.]di1cdn[.]com 三菱UFJ銀行 グループB
379 2019/11/28 smbczascojp[.]com www[.]123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
380 2019/11/29 smbcuncojp[.]com www[.]123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
381 2019/12/2 smbcyrecojp[.]com www[.]123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
382 2019/12/2 smbcurescojp[.]com www[.]123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
383 2019/12/4 smbcurescojp[.]com www[.]123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
384 2019/12/5 smbcesacojp[.]com www[.]123456[.]com[.]ywcdn[.]net 三井住友銀行 グループB
385 2019/10/16 www.bk-mufj-sim-jp[.]com 45.249.61[.]106 三菱UFJ銀行 グループC
386 2019/10/18 www.bk-mufg-oing-jp.com 45.249.61[.]107 三菱UFJ銀行 グループC
387 2019/10/19 www[.]bk-mufg-osspming-jp[.]com 45.249.61[.]108 三菱UFJ銀行 グループC
388 2019/10/20 www[.]bk-mufg-jisp-jp[.]com 45.249.61[.]106 三菱UFJ銀行 グループC
389 2019/10/21 www[.]come-bk-mufg-bin[.]com 45.249.61[.]243 三菱UFJ銀行 グループC
390 2019/10/22 www[.]bei-bk-mufg-skin[.]com 45.249.61[.]244 三菱UFJ銀行 グループC
391 2019/10/23 www[.]pin-bk-mufg-unam-jp[.]com 45.249.61[.]245 三菱UFJ銀行 グループC
392 2019/10/24 www.bos-bk-mufg-geng-jp[.]com 45.249.61[.]243 三菱UFJ銀行 グループC
393 2019/10/28 www[.]oping-bk-mufg-smki-jp[.]com 202.168.149[.]116 三菱UFJ銀行 グループC
394 2019/10/29 www[.]spang-bk-mufg-riun-jp[.]com 202.168.149[.]115 三菱UFJ銀行 グループC
395 2019/10/30 www.bk-mufg-runani-jp[.]com 202.168.149[.]117 三菱UFJ銀行 グループC
396 2019/10/31 www[.]piuie-bk-mufg-ufjyi-jp[.]com 202.168.149[.]118 三菱UFJ銀行 グループC
397 2019/11/1 www[.]niss-bk-mufg-inkin-jp[.]com 202.168.149[.]119 三菱UFJ銀行 グループC
398 2019/11/4 www[.]hpe-bk-mufg-inun-jp[.]com 103.217.225[.]63 三菱UFJ銀行 グループC
399 2019/11/5 www[.]gai-bk-mufg-weng-jp[.]com 103.217.225[.]64 三菱UFJ銀行 グループC
400 2019/11/11 www[.]bk-mufg-atmsun-jp[.]com 103.217.225[.]66 三菱UFJ銀行 グループC
401 2019/11/12 www[.]bk-mufg-mufglin-jp[.]com 103.217.225[.]67 三菱UFJ銀行 グループC
402 2019/11/13 www[.]bk-mufg-mufgbeng-jp[.]com 103.200.117[.]232 三菱UFJ銀行 グループC
403 2019/11/16 www[.]niop-bk-mufg-duntu-jp[.]com 103.200.117[.]233 三菱UFJ銀行 グループC
404 2019/11/22 www[.]penda-bk-mufg-lisng-jp[.]com 103.200.117[.]234 三菱UFJ銀行 グループC
405 2019/11/29 www[.]vsing-bk-mufg-jin-jp[.]com 103.200.117[.]235 三菱UFJ銀行 グループC
406 2019/11/30 www[.]hot-bk-mufg-poski[.]com 45.249.61[.]49 三菱UFJ銀行 グループC
407 2019/12/9 www[.]mizuhobank-atmsip-jp[.]com 202.168.149[.]229 みずほ銀行 グループC
408 2019/12/10 www[.]mizuhobank-oomin-jp[.]com 202.168.149[.]230 みずほ銀行 グループC
409 2019/12/11 www[.]mizuhobank-pi[.]com 202.168.149[.]231 みずほ銀行 グループC
410 2019/12/12 www[.]mizuhobank-bin[.]com 202.168.149[.]232 みずほ銀行 グループC
411 2019/12/13 mizuhoba[.]com 202.168.149[.]229 みずほ銀行 グループC
412 2019/12/23 www[.]japannetbank-jin-jp[.]com 103.217.224[.]58 ジャパンネット銀行 グループC
413 2019/12/24 www[.]japannetbank-peng-jp[.]com 103.217.224[.]59 ジャパンネット銀行 グループC
414 2019/12/24 jp-bank-japanpost-jp-com[.]cn 103.217.224[.]58 ジャパンネット銀行 グループC
415 2019/12/25 www[.]japannetbank-bansk-co[.]com 103.217.224[.]60 ジャパンネット銀行 グループC
416 2019/12/26 www[.]bk-mufg-beng[.]com 103.217.224[.]58 三菱UFJ銀行 グループC
417 2019/12/27 www[.]bkmufg-ming[.]com 103.217.224[.]61 三菱UFJ銀行 グループC
418 2019/12/27 www[.]bkmufg-bve[.]com 103.217.224[.]62 三菱UFJ銀行 グループC
419 2019/10/3 smbcvip[.]com 45.76.96[.]126 三井住友銀行 グループD
420 2019/10/3 smbc-vip[.]com 45.76.96[.]126 三井住友銀行 グループD
421 2019/10/7 smbc-ie[.]com  23.228.70[.]221 三井住友銀行 グループD
422 2019/10/7 jp36-safety-center[.]info 23.228.70[.]221 ジャパンネット銀行 グループD
423 2019/11/22 smbc[.]io 45.143.138[.]39 三井住友銀行 グループE
424 2019/11/22 smbc[.]io 45.143.138[.]40 三井住友銀行 グループE
425 2019/11/23 www[.]smbc[.]sh 185.154.21[.]235 三井住友銀行 グループE
426 2019/11/23 www[.]smbc[.]cm 185.154.21[.]235 三井住友銀行 グループE
427 2019/11/23 pop[.]smbc[.]sh 185.154.21[.]235 三井住友銀行 グループE
428 2019/11/23 pop[.]smbc[.]cm 185.154.21[.]235 三井住友銀行 グループE
429 2019/11/24 smbc-bk[.]sh 185.154.21[.]235 三井住友銀行 グループE
430 2019/11/24 pop[.]smbc-bk[.]sh 185.154.21[.]235 三井住友銀行 グループE
431 2019/11/24 www[.]smbc-bk[.]sh 185.154.21[.]235 三井住友銀行 グループE
432 2019/11/29 bk-smbc[.]co 109.248.200[.]2 三井住友銀行 グループE
433 2019/12/4 bkmufg[.]co  104.24.116[.]129 三菱UFJ銀行 グループE
434 2019/12/4 bkmufg[.]co  104.24.117[.]129 三菱UFJ銀行 グループE
435 2019/12/17 mufg[.]jp-bankq[.]com 154.202.14[.]38 三菱UFJ銀行 グループF
436 2019/12/17 smbc[.]jp-bankq[.]com 154.202.14[.]38 三井住友銀行 グループF
437 2019/12/17 jnb[.]jp-bankq[.]com 154.202.14[.]38 ジャパンネット銀行 グループF
438 2019/12/17 jppost[.]jp-bankq[.]com 154.202.14[.]38 ゆうちょ銀行 グループF
439 2019/12/17 sbi[.]jp-bankq[.]com 154.202.14[.]38 住信SBIネット銀行 グループF
440 2019/12/17 rakuten[.]jp-bankq[.]com 154.202.14[.]38 楽天銀行 グループF
441 2019/12/17 seven[.]jp-bankq[.]com 154.202.14[.]38 セブン銀行 グループF
442 2019/12/18 smbc[.]bank-securityq[.]com 154.202.14[.]38 三井住友銀行 グループF
443 2019/12/18 mufg[.]bank-securityq[.]com 154.202.14[.]38 三菱UFJ銀行 グループF
444 2019/12/18 jnb[.]bank-securityq[.]com 154.202.14[.]38 ジャパンネット銀行 グループF
445 2019/12/18 jppost[.]bank-securityq[.]com 154.202.14[.]38 ゆうちょ銀行 グループF
446 2019/12/18 sbi[.]bank-securityq[.]com 154.202.14[.]38 住信SBIネット銀行 グループF
447 2019/12/18 rakuten[.]bank-securityq[.]com 154.202.14[.]38 楽天銀行 グループF
448 2019/12/18 seven[.]bank-securityq[.]com 154.202.14[.]38 セブン銀行 グループF
449 2019/12/19 smbc[.]bank-securityw[.]com 154.202.14[.]38 三井住友銀行 グループF
450 2019/12/19 jibun[.]bank-securityw[.]com 154.202.14[.]38 じぶん銀行 グループF
451 2019/12/27 smbc[.]bk-securityr[.]com 172.87.24[.]188 三井住友銀行 グループF
452 2019/12/27 jibun[.]bk-securityr[.]com 172.87.24[.]188 じぶん銀行 グループF
453 2019/12/27 rakuten[.]bk-securityr[.]com 172.87.24[.]188 楽天銀行 グループF
454 2019/10/9 japannet-support[.]com 104.203.108[.]101 ジャパンネット銀行 未定義
455 2019/10/21 smbcbank[.]jp  27.124.39[.]139 三井住友銀行 未定義
456 2019/10/21 japanwebbank[.]jp 27.124.39[.]139 ジャパンネット銀行 未定義
457 2019/10/24 www.japanbankjp[.]com 27.124.39[.]139 ジャパンネット銀行 未定義
458 2019/10/25 www[.]smbcbankjp[.]com 27.124.39[.]139 三井住友銀行 未定義
459 2019/10/28 smbc.zackky[.]com 199.59.242[.]150 三井住友銀行 未定義
460 2019/10/29 smbctf[.]com 109.94.169[.]49 三井住友銀行 未定義
461 2019/11/11 - 176.112.146[.]90 三井住友銀行 未定義
462 2019/11/26 - 46.166.161[.]70 三井住友銀行 未定義
463 2019/12/4 - 142.93.175[.]152 三井住友銀行 未定義
464 2019/10/17 japannetbank[.]me 196.247.25[.]68 ジャパンネット銀行 未定義
465 2019/10/28 japannetbank[.]cc 196.247.25[.]68 ジャパンネット銀行 未定義
466 2019/11/12 emufj[.]com  196.247.25[.]88 三菱UFJ銀行 未定義
467 2019/11/12 www[.]kicksdig[.]com 196.247.25[.]88 三菱UFJ銀行 未定義
468 2019/12/2 www[.]bankjapan-post[.]com 43.243.222[.]53 ゆうちょ銀行 未定義
469 2019/12/24 direct[.]smbc[.]refund02[.]com 144.34.181[.]35 三井住友銀行 未定義
470 2019/10/21 rakuten-banks[.]com 23.247.53[.]201 楽天銀行 未定義
471 2019/10/27 www[.]jp-safeservice040[.]info 23.247.53[.]201 住信SBIネット銀行 未定義
472 2019/10/31 smbcr[.]com  107.179.27[.]196 三井住友銀行 未定義
473 2019/11/18 sbi-bk[.]com 107.179.27[.]196 住信SBIネット銀行 未定義

 

 

 

 

更新履歴
2019年12月25日 初版作成
2019年12月25日 グループCの概要を修正
2019年12月28日 グループB、グループCの詳細を追加。グループAの詳細その他諸々修正。
2019年12月29日 文言修正
2019年12月30日 文言修正


 

金融機関を装ったフィッシングについて(2019/12/25 暫定版)

 

 

 

はじめに


本記事は2019/12/25に暫定的に公開したものです。
完全版は別のURLで公開しておりますので、こちらもご覧ください。

tike.hatenablog.com


 

 

金融機関を装ったフィッシング詐欺によるインターネットバンキングの不正送金がこの4カ月で急増しています。

11月の不正送金発生件数が573件、被害額が約7億7,600万円と、2012年以来最悪を記録したことを受けて、警察庁 サイバー犯罪対策プロジェクトが12月19日に注意喚起を公開しました。

 

 

www.npa.go.jp


  

記事中の不正送金事犯発生状況のグラフによると、8月に前月の倍の被害額、被害件数を記録した後、9月の1カ月間で昨年一年間に匹敵する被害額(4億円超)を記録するなど、急激に増加したことがわかります。

 


 

f:id:tiketiketikeke:20191224122038p:plain

不正送金事犯発生状況(警察庁 サイバー犯罪対策プロジェクト Webサイトより抜粋)

 

 

8月末以降、少なくとも6グループが国内の金融機関を装ったフィッシングサイトを手掛け、そのうち4グループがメールやSMSによるフィッシングサイトへ誘導を行っていたことが確認できています。
8月~12月の期間において同種の犯行を継続的に手掛けていた3グループについて、その特徴を見ていきたいと思います。



12月25日時点で、後述するグループAが29もの金融機関のフィッシングサイトを稼働させていることが確認できたため、グループAの詳細のみを記載した状態で本記事を先行して公開します。
グループB、グループCについては、日を改めて公開したいと思います。 


 

各グループの概要

 

 

先ずは、各グループのザックリとした特徴を以下に記載します。

(比較のため、三井住友銀行のフィッシングサイトのキャプチャを掲載します)

 

グループA

SMSからフィッシングサイトに誘導する。
スマホのみをターゲットとしており、1サーバ上で複数金融機関のフィッシングサイトを稼働させ、時折内容が変更されるPC用のカモフラージュ画面を使用する点が特徴。

これまでターゲットとなった銀行:

  1. 三井住友銀行
  2. 三菱UFJ銀行
  3. みずほ銀行
  4. ゆうちょ銀行
  5. ジャパンネット銀行
  6. イオン銀行
  7. GMOあおぞらネット銀行
  8. 京都銀行
  9. りそな銀行
  10. 埼玉りそな銀行
  11. 関西みらい銀行
  12. 福岡銀行
  13. 琉球銀行
  14. 沖縄銀行
  15. 北海道銀行

フィッシングサイトの外観の一例:

f:id:tiketiketikeke:20191224160333p:plain

グループAが手掛けるフィッシングサイトの例

 

グループB

メール、SMSからフィッシングサイトに誘導する。
スマホのみをターゲットとしており、固定的なPC用のカモフラージュ画面を使用。
フィッシングサイトを複数サーバに配置し、それらのサーバを隠ぺいする目的でリバースプロキシを使用する点が特徴。
インフラの違いから複数のグループに分かれている可能性あり。
9月後半に初めて観測され、その後継続的に活動を行っていたものの、12月5日頃から金融機関を騙ったフィッシングの活動は休止中。

ターゲットとなった銀行:

  1. 三井住友銀行
  2. 三菱UFJ銀行

フィッシングサイトの外観の一例:

f:id:tiketiketikeke:20191224160449p:plain

グループBが手掛けるフィッシングサイトの例

 

グループC

メールからフィッシングサイトに誘導する。
PC、スマホ双方をターゲットとする点が特徴的
今回の不正送金急増以前(3月頃)から銀行フィッシングを手掛けており、8月末に一旦終息したものの、11月から活動を再開中。

ターゲットとなった銀行:

  1. 三菱UFJ銀行
  2. みずほ銀行
  3. ジャパンネット銀行

 

 

グループD

SMSからフィッシングサイトに誘導する。
キャリア決済やカード情報の詐取を手掛けていたグループが10月上旬に一時的に銀行フィッシングを仕掛けていたものと思われる。
後述するグループFと共通点あり。

ターゲットとなった銀行:

  1. 三井住友銀行
  2. ジャパンネット銀行
  3. ゆうちょ銀行 

 フィッシングサイトの外観の一例:

f:id:tiketiketikeke:20191224160739p:plain

グループDが手掛けるフィッシングサイトの例(webint.ioより)


 

 

グループE

フィッシングサイトへの誘導手段は未確認。
サイト閲覧時にお待ちくださいというメッセージを出す点が特徴的。
11/22~12/4の期間にフィッシングサイトを観測。

ターゲットとなった銀行:

  1. 三井住友銀行
  2. 三菱UFJ銀行

フィッシングサイトの外観の一例:

f:id:tiketiketikeke:20191224160904p:plain

グループEが手掛けるフィッシングサイトの例

f:id:tiketiketikeke:20191224160926p:plain

グループEが手掛けるフィッシングサイトの例(お待ちください...のメッセージ)

 

グループF

佐川急便をテーマとしたAndroidマルウェアに感染した端末をフィッシングサイトに誘導するものと思われる。
グループDが使用していたフィッシングサイト、インフラを流用。
10月26日頃から観測。

ターゲットとなった銀行:

  1. 三井住友銀行
  2. 三菱UFJ銀行
  3. ゆうちょ銀行
  4. ジャパンネット銀行
  5. 住信SBIネット銀行
  6. 楽天銀行
  7. セブン銀行

フィッシングサイトの外観の一例:

 

 

f:id:tiketiketikeke:20191224161040p:plain

グループFが手掛けるフィッシングサイトの例(画面崩れあり)


次に、これら各グループの最新の動向についてまとめてみます。
 


現在の銀行フィッシングの状況について



12月13日に三井住友銀行から一連のフィッシングに対する対抗措置が開始されました。

www.smbc.co.jp

 

これは、ワンタームカード有効化後の利用開始を翌日1時まで保留するというものです。

有効な対抗措置だったためか、これ以降三井住友銀行をターゲットとしたフィッシングをほとんど見かけなくなりました。


これを受けてグループAは、新たに地方銀行をメインターゲットとした活動に移行しました。
しかし、12月19日に沖縄での被害がWebニュース等に掲載され世間がザワついたことが影響したのか、北海道銀行のフィッシングが観測されたのを最後に12月20日以降目立った活動が見られません。

2019年12月25日に再びグループAがフィッシングサイトを稼働させていることが確認できました。
この件については "各グループ詳細" の項目で触れたいと思います。


グループCについては引き続き活動を継続しており、12月23日、12月24日、12月25日にはジャパンネット銀行のフィッシングサイトに誘導するメールがばら撒かれています。


グループFについては、Androidマルウェア MoqHao に感染したAndroid端末からの誘導を狙ったものと思われますが、複数の金融機関を装ったフィッシングサイトの稼働が時折観測されています。


9月後半から活発に活動していたグループBは12月4日を最後に活動を休止しており、グループD、グループEは一時的な活動のみで現在では新たな活動を見ることはありません。


期間中特に活発な動きを見せていたグループA、グループBと合わせて、直近で活動が観測されているグループCについて詳細を見ていきたいと思います。



各グループ詳細 

 (カッコ()内は筆者の勝手な呼称)

 

グループA (yahulogin)

期間中最も活発な活動を行っていたのがグループAです。

そして、後発組の参入が9月末から始まったことを考えると、9月に発生した被害額、4億円の大半はこのグループに流れたものと思われます。

このグループは、元々クレジットカード情報の詐取やキャリア決済の悪用を狙ったフィッシングを国内で手掛けていました。

特にクレジットカード情報を狙ったフィッシングサイトには "セキュリティ安全手続きます" という不思議なキーワードが度々観測されています。

その当時のキャプチャをいくつかご紹介します。


 

f:id:tiketiketikeke:20191224172704p:plain

TS CUBICフィッシングサイト (2019年4月)

 

f:id:tiketiketikeke:20191224172745p:plain

三井住友カード フィッシングサイト (2019年6月)


彼らが最初に手掛けたと思われる三菱UFJ銀行のスキャン結果がurlscan.io に残っています。

urlscan.io


スキャン日時は8月23日となっています。
一連の不正送金の急増は8月後半から始まったと推測できます。

彼らはその後複数の金融機関を騙ったフィッシングを手掛け、これまでに15もの金融機関を騙った活動が確認されています。

それぞれの画面キャプチャは以下の通りです。

f:id:tiketiketikeke:20191224220817p:plain

三井住友銀行

 

f:id:tiketiketikeke:20191224221004p:plain

三菱UFJ銀行

 

f:id:tiketiketikeke:20191224221051j:plain

みずほ銀行

 

f:id:tiketiketikeke:20191224221132p:plain

ゆうちょ銀行

 

f:id:tiketiketikeke:20191224221159p:plain

ジャパンネット銀行



f:id:tiketiketikeke:20191224221227p:plain

イオン銀行

 

f:id:tiketiketikeke:20191224221258p:plain

GMOあおぞらネット銀行

 

f:id:tiketiketikeke:20191224221326p:plain

京都銀行

 

f:id:tiketiketikeke:20191224221348p:plain

りそな銀行

 

f:id:tiketiketikeke:20191224221410p:plain

埼玉りそな銀行

 

f:id:tiketiketikeke:20191224221431p:plain

関西みらい銀行

 

f:id:tiketiketikeke:20191224221453p:plain

福岡銀行

f:id:tiketiketikeke:20191224221728p:plain

琉球銀行

 

f:id:tiketiketikeke:20191224221747j:plain

沖縄銀行

 

f:id:tiketiketikeke:20191224221807j:plain

北海道銀行

 

彼らが仕掛けるフィッシングサイトには、同一サーバ上で複数ブランドを稼働するという傾向がありますが、各サイトの画像やCSS、jsなどのリソースを格納するフォルダ名に特徴があります。

10月中頃までは/static/yahulogin というフォルダ名を好んで使用していました。

 

f:id:tiketiketikeke:20191224223540p:plain

/static/yahulogin

 

f:id:tiketiketikeke:20191224223618p:plain

/static/yahulogin1

 

f:id:tiketiketikeke:20191224223715p:plain

/static/yahulogin2

 

10月13日頃には、トップページにdアカウントの偽ページを配置し、使用中の銀行を選択させた上で閲覧者を該当のフィッシングサイトに誘導するという構成変更が行われました。

各銀行フィッシングサイトはDoCoMoを模したドメインのサブディレクトリ配下に格納するという構成で、トップのdアカウントのフィッシングサイトは、このグループが銀行フィッシングを手掛ける前に使用していたものでした。

f:id:tiketiketikeke:20191224224502p:plain

dアカウント フィッシングサイト



実際のディレクトリ構成は @KesaGataMe0 さんのツイートをご覧ください。

 

 

展開に無理があることが明らかだったため、この方式は数日で姿を消しました。

その後、yahuloginの文言を使用することはなくなり、銀行名を示すディレクトリ名を使用するようになりました。

 

彼らのもう一つの特徴が、PC用のカモフラージュ画面の存在です。
彼らのターゲットはスマートフォンユーザであり、PCユーザは対象にしていませんでした。
UserAgentを検査し、ターゲットデバイスに該当しない場合にカモフラージュ画面を表示するというテクニックを使います。
このカモフラージュ画面はこれまで何度か変更されています。


f:id:tiketiketikeke:20191224230106p:plain

カモフラージュ画面(2019年9月) (urlscan.ioより)

 

f:id:tiketiketikeke:20191224230257p:plain

カモフラージュ画面(2019年10月)

 

f:id:tiketiketikeke:20191224230330j:plain

カモフラージュ画面(2019年11月)

 

f:id:tiketiketikeke:20191224230409p:plain

カモフラージュ画面(2019年12月)



グループAがフィッシングサイトに誘導する最新のSMSの文面をご紹介します。

 

f:id:tiketiketikeke:20191224235050p:plain

SMS文面 その1



f:id:tiketiketikeke:20191224235146p:plain

SMS文面 その2

 

 

12月25日の活動再開について

12月19日の北海道銀行のフィッシングを手掛けて以降、静かな状態を維持していたグループAが12月25日に新たな手法で29もの金融機関を装ったフィッシングサイトを稼働させていることが確認できました。

注目すべきは、過去観測されていなかった13件の新たな金融機関のフィッシングサイトが稼働している点です。
この13件は何れも地方銀行や信用金庫で、ワンタイムパスワードアプリを提供している金融機関でした。
更に、13件の金融機関は何れも関西地方の金融機関である点は見逃すことができません。

12月25日 15:00時点でフィッシングサイトの稼働が確認できている金融機関は以下の通りです。


今回は10月中旬に観測された手法を発展させたもので、dアカウント、Amazon楽天の各フィッシングサイトをランディングページとし、ログイン後に金融機関を選択させた上で該当の金融機関のフィッシングページに遷移するというものでした。

金融機関のフィッシングサイトはサブディレクトリ配下に格納されるという構成を取ります。

詳細を見てみたいと思います。

 

各ランディングページは以下の通りです。

f:id:tiketiketikeke:20191225152649p:plain

dアカウント

 

f:id:tiketiketikeke:20191225152722p:plain

Amazon

 

f:id:tiketiketikeke:20191225152737p:plain

楽天

 


これらのランディングページで認証情報を入力しログインボタンを押下すると、金融機関を選択する画面に遷移します。


f:id:tiketiketikeke:20191225152830p:plain

金融機関選択画面


ここには11の金融機関がリストアップされていますが、ここに掲載されていない金融機関も含めて、29もの金融機関のフィッシングサイトがサブディレクトリで稼働しています。


これまで観測されたなかった13の金融機関のフィッシングサイトを見てみます。


f:id:tiketiketikeke:20191225153106p:plain

池田泉州銀行

 

f:id:tiketiketikeke:20191225153126p:plain

紀陽銀行

 

f:id:tiketiketikeke:20191225153143p:plain

但馬銀行

 

f:id:tiketiketikeke:20191225153202p:plain

南都銀行

 

f:id:tiketiketikeke:20191225153221p:plain

尼崎信用金庫

 

f:id:tiketiketikeke:20191225153240p:plain

大阪信用金庫

 

f:id:tiketiketikeke:20191225153259p:plain

大阪シティ信用金庫

 

f:id:tiketiketikeke:20191225153323p:plain

北おおさか信用金庫

 

f:id:tiketiketikeke:20191225153343p:plain

きのくに信用金庫

 

f:id:tiketiketikeke:20191225153400p:plain

京都信用金庫

 

f:id:tiketiketikeke:20191225153423p:plain

京都中央信用金庫

 

f:id:tiketiketikeke:20191225153444p:plain

滋賀中央信用金庫

 

f:id:tiketiketikeke:20191225153503p:plain

大和信用金庫




先ほども触れましたが、今回新たにフィッシングサイトの存在が確認できた金融機関は何れも関西地方の金融機関です。

グループAは12月12日以降、福岡、沖縄、北海道といった地方を対象としたフィッシングを展開しています。

SNS等を見ても、異なる地方の住人に対して誤ってSMSが配信されたというような反応はなく、フィッシングのターゲットとなった金融機関の所在地近辺の住人に対してピンポイントでSMSが配信されているように見受けられます。

グループAの手元には住所と携帯電話番号がセットになった情報があり、地域を絞ったSMSの配信ができる状況にあるのではないかと推測します。

今回関西地方の金融機関がターゲットとなっているため、関西にお住いの方は十分にご注意頂ければと思います。




ここには書ききれなかったグループAの詳細情報は以下のTwitterスレッドをご参照下さい。


 

 

 

 

まとめ

 

 

 

今回はグループAが大掛かりなフィッシングを仕掛けたため、急遽作成途中で公開しました。
他グループの詳細等については、また日を改めて公開したいと思います。
 

最後までご覧いただきありがとうございました。

 

 

 

以上 

 

 

更新履歴
2019年12月25日 初版作成
2019年12月25日 グループCの概要を修正


 

カード情報詐取を狙った国内向けフィッシングサイトの機能について

 

 

 

はじめに

 

 

ここ最近、PayPayを騙ったフィッシングサイトが活発化しています。

 

 

piyolog.hatenadiary.jp

 

 

このようなフィッシングサイトでは、攻撃者がフィッシング用のコンテンツを纏めたzipファイル(フィッシングキット)を公開ディレクトリに放置するケースが散見されます。

本記事では、このような形で残されていたフィッシングキットを元に、PayPayのフィッシングサイトに実装された機能を簡単に説明したいと思います。

 

 

 

ルートディレクトリでのカモフラージュ

 

 

ルートディレクトリのインデックスファイル(/index.php)には、カモフラージュを目的とした以下の処理が記載されています。

 

 

f:id:tiketiketikeke:20190916170315p:plain

 

 

サーバ側で動的に取得した無関係なコンテンツをレスポンスとして返却することで、フィッシングサイトを隠ぺいしようとする意図が見て取れます。

 

この処理は昨年から度々観測されていたAmazonを騙ったフィッシングサイトで用いられていました。

 

 

 

 

しかしながら、このコンテンツ自体が目印となることから、現在では0バイトのレスポンスが返るようになっています。

  

この処理に限らず他にも共通する部分が多いことから、日本をターゲットとしたAmazonのフィッシングキットの一つがPayPay用に改変、展開されたものであると思われます。

 

 

 

日本からのリクエストにのみ応答するランディングページ

 

 

 

SMSから誘導されるランディングページ(/app/signin.php)には、日本国外からのリクエストを別の無害なサイトにリダイレクトする仕掛けがあります。

 

 

f:id:tiketiketikeke:20190916172147p:plain




リクエストの送信元IPアドレスを元にIP-API.comからジオロケーション情報を取得し、国名コードがJPに該当する場合のみ次の処理に進みます。

 

 

 

f:id:tiketiketikeke:20190916172818p:plain

 

 

 

日本以外の地域からリクエストを受けた場合は  Amazon アソシエイトプログラム オフィシャルブログ(affiliate-blog.amazon.co.jp)に遷移するため、urlscan.io など海外のサービスでは正しくスキャンできないという影響が発生しています。

 

 

 

f:id:tiketiketikeke:20190916173809p:plain

 

 

 

コンテンツの暗号化

 

 

 送信元の検証を経て偽のログイン画面が表示されます。

 

 

f:id:tiketiketikeke:20190916180058p:plain

 

 

このコンテンツは以下の処理により暗号化された形でクライアント側に送信されます。

 

 

 

f:id:tiketiketikeke:20190916181414p:plain

 

 

 

これがクライアント側に転送される暗号文です。

javascriptで復号することで、偽画面が表示されます。

 

 

 

f:id:tiketiketikeke:20190916182250p:plain

 

 

 

これは、jsを解釈できない検索エンジンへの対策だと考えられます。

フィッシングサイトの検索エンジン対策については @ninoseki さんが昨年公開した記事で触れらていますので、一読をお勧めします。

 

 

ninoseki.github.io

 

 

電話番号およびパスワードの詐取

 

 

 

この偽画面で入力された情報は、同階層のテキストファイルに出力しつつ、リアルタイムに攻撃者にメール送信されます。

 

 

 

f:id:tiketiketikeke:20190916201053p:plain

 

 

 

件名は"PayPay Login"、Fromの表示名が"BAKAYARO"となっています。

 

ユーザが入力した情報が出力されるファイル名は伏せましたが、インドネシア語が使われていました。

 

 送信先のメールアドレスはフィッシングキット上では gmail.com ドメインのものが記載されていますが、公開用コンテンツでは別のメールアドレスに変更されている可能性もあります。

 

この後、クレジットカード情報を入力する画面に遷移します。

 

 

 

クレジットカード情報の詐取

 

 

 

カード情報入力画面に遷移する前に、ここでも送信元IPアドレスによる国名コードの判定が行われれます。

 

この判定で日本からのアクセスであることを確認した上でクレジットカード情報の入力画面(/app/verification-v3/sign.php)に遷移します。

 

 

f:id:tiketiketikeke:20190916202737p:plain

 

 

 

この画面で入力された情報のPOST先(/app/verification-v3/result2.php)で、ログイン画面同様テキストファイルへの出力、メール送信が行われます。

 

 

 

f:id:tiketiketikeke:20190916204346p:plain

 

 

 

追加本人認証情報の詐取

 

 

さらにこの画面では、カード番号の上位6桁を BIN Codes (bincodes.com)に問い合わせることでカード発行会社の情報を取得し、それぞれに応じた画面に遷移するという機能を有します。

 

 

f:id:tiketiketikeke:20190916205847p:plain

 

 

 

ここで得たccbank(カード発行会社)の値により遷移先を決定する訳ですが、遷移先が準備されている発行会社名は以下の通りです。

 

 

 

f:id:tiketiketikeke:20190916210359p:plain

 

 

 

それぞれの会社のロゴが表示された本人認証用の偽画面に遷移します。

 

 

f:id:tiketiketikeke:20190916212203p:plain

 

f:id:tiketiketikeke:20190916212235p:plain

 

f:id:tiketiketikeke:20190916212303p:plain

 

f:id:tiketiketikeke:20190916212330p:plain

 

f:id:tiketiketikeke:20190916212401p:plain

 

f:id:tiketiketikeke:20190916212424p:plain

 

f:id:tiketiketikeke:20190916212456p:plain

 

 

ここで入力された情報も他の情報と同様、テキスト出力とメール送信が行われます。

 

 

f:id:tiketiketikeke:20190916213049p:plain

 

 

 

更なる本人認証

 

 

今回のPayPayのフィッシングサイトでは使われていないようですが、このフィッシングキットには、クレジットカードの両面の画像をアップロードさせるような機能も実装されています。

 

 

 

まとめ

 

 

 

今回は国内向けのフィッシングサイトの機能について、PayPay/Amazonフィッシングキットの内容を例に挙げてご説明しました。

特に目新しい機能はありませんが、フィッシングサイトとはこんなものだという雰囲気は掴んで頂けたのではないでしょうか。

 

最後までご覧いただきありがとうございました。

 

 

 

以上 

 

 

更新履歴
2019年9月16日 初版作成


 

国内のWebサイト改ざんについて

 

 

 

はじめに

 

 

今回は、国内のWebサイトを対象とした改ざん事例について取り上げたいと思います。

 

 

今回のテーマである『Webサイトの改ざん』ですが、皆さんどのようなイメージをお持ちでしょうか。

 

 

以下の画像に示すような、攻撃者自身の成果を誇示するかのようなページに書き換えられる状況を思い浮かべる方もいらっしゃるのではないでしょうか。

 

 

f:id:tiketiketikeke:20190720193044p:plain

 

 

f:id:tiketiketikeke:20190720193116p:plain

 

これらは何れも、ここ数日の間に国内のWebサイトで観測された改ざんページですが、実はこのような「ド派手な 」サイト改ざんの場面を目の当たりにすることはあまりなく、最近では珍しいケースであると言えます。 

 

 

先日、JPCERT/CC が 2019年4月から6月のインシデント報告対応レポートを公表しましたが、正当なサイトが改ざんされるケースは月間数十件、多い時で100件以上に上ることもあるようです。

 

 

www.jpcert.or.jp

 

 

このレポートで『マルウェアサイト』に分類されるWebサイトでも(今回の対象期間に限っては) 正当なWebサイトが改竄されるケースが多く、国内への通知件数を考慮すると、JPCERT/CCが対応したものだけでも1日当たり2件から5件程度のWebサイトが日々改ざん被害を受けているという状況が継続しているものと推測されます。

 

 

冒頭申し上げた通り、ページ自体をガラッと書き換えるようなド派手な改ざんは稀であり、日々発生し続けているWebサイトの改ざんの多くは、目立たない形で行われています。

 

 

本記事では、日々発生する国内のWebサイトの改ざん事例をいくつかご紹介したいと思います。

 

 

 

 

【改ざん事例1】SEOポイズニングによる偽ECサイトへの誘導

 

 

当ブログや筆者のツイートでも何度となく偽ECサイトの話題に触れていますが、このようなサイトへの誘導を目的とした改ざんは日常的に発生しています。

 

 

ECサイトの概要については、昨年公開した以下の記事で纏めていますので、ご参照ください。

 

 

tike.hatenablog.com

 

 

ECサイトへの誘導は上記記事に記載した通り、SEOポイズニングという手法が用いられます。

 

 

正当なWebサイトを巡回する検索エンジンのクローラに虚偽の商品紹介ページを読み込ませ、偽ECサイトへのリンクを検索サイトに掲載させるという手口です。

これにより、商品名による検索で自らが仕込んだ虚偽の商品紹介ページをヒットさせ、偽ECサイトにユーザを誘導しようするものです。

 

 

この手の攻撃者が用いる最新の手法について見ていきます。

 

 

ECサイトへの踏み台が設置されたWebサイトのドメイン名で検索すると以下のような結果が表示されます。

 

 

f:id:tiketiketikeke:20190720234735p:plain

 

 

検索サイトのクローラが収集したコンテンツ(キャッシュ)は以下の通りです。

 

 

f:id:tiketiketikeke:20190720235131p:plain

 

 

国内のWebサイトに偽ECサイトの踏み台を設置する連中は、Yahoo!ショッピングの文言が記載されたページを好んでクローラに読ませる傾向にあります。

 

 

次に、検索結果として表示された偽ECサイトのリンクをクリックしてみます。

 

 

f:id:tiketiketikeke:20190721000922p:plain

 

 

検索結果のリンクをクリックしても偽ECサイトに誘導されることはありませんでした。

 

 

User-Agentヘッダにスマートフォンのブラウザの情報を設定して再度アクセスしてみます。

 

 

f:id:tiketiketikeke:20190721002707p:plain

 

 

javascript を含むレスポンスが返ってきました。

 

 

実在しない "/ahoahoman" というパスへのリクエストに対してステータスコード200の応答が返却されていることがわかります。

 

 

このjavascriptは、実行時に1秒間の遅延を発生させた上で以下のようなサイトに遷移する仕様になっていました。

 

f:id:tiketiketikeke:20190721004639p:plain

 

 

いかにも、という造りの偽ECサイトです。

 

 

踏み台コンテンツの実体はなく、User-AgentヘッダとReferrerヘッダが条件に一致した場合にのみ、リダイレクト用のレスポンスを返却するという動きが見て取れます。

 

 

一番の流入が見込めるスマートフォンからのアクセスのみをターゲットとし、PCからのアクセスや検索サイト外からのアクセスについては偽ECサイトに誘導しないという方法により、検知を回避しようとしているのではないかと思われます。 

 

 

数カ月前は、偽ECサイトに誘導する phpファイルを設置するケースが目立っていました。

このphpでは、ブランド名をパラメータとして受け付けることで該当のブランドに対応した偽ECサイトにリダイレクトする処理が実装されていました。

このケースについては、以下のツイートに概要を記載しています。

 

 

 

 

この手法ではphpのパラメータに固定値が含まれていたため、いくつかのセキュリティ製品が悪性の通信として検知するようになりました。

その影響もあってか、この形式での新たな改ざんは見かけなくなったような気がします。

  

 

 

 

【改ざん事例2】SEOポイズニングによる詐欺広告への誘導

 

 

こちらもSEOポイズニングですが、複数言語に対応した踏み台コンテンツを設置し、ユーザを詐欺広告に誘導しようとするものです。偽ECほど大量ではないものの頻繁に目にします。

 

 

詐欺広告への踏み台が設置されたWebサイトのドメイン名で検索すると以下のような結果が表示されます。

 

 

f:id:tiketiketikeke:20190721132550p:plain

 

 

検索サイトのクローラが収集したコンテンツ(キャッシュ)を見てみると、複数の言語が脈略なく記載されており、各国の言語で検索にヒットするよう構成されているようです。

 

(英語)

f:id:tiketiketikeke:20190721165924p:plain


(中国語)

f:id:tiketiketikeke:20190721170003p:plain

 

(ロシア語)

f:id:tiketiketikeke:20190721170026p:plain

 

(ペルシャ語)

f:id:tiketiketikeke:20190721170053p:plain

 

(スウェーデン語)

f:id:tiketiketikeke:20190721170125p:plain




 

検索結果のリンクは何れもphpファイルとなっており、リダイレクトによりユーザを外部のWebサイトに強制的に誘導するというものでした。

 

 

f:id:tiketiketikeke:20190721162917p:plain

 

 

最初の誘導先は 5.45.79[.]15 であり、次いで ilo134ulih[.]com 、click.dtiserv2.com と順にリダイレクトが行われ、最終的にはアダルトサイト、ゲームサイト、ブラウザ拡張のダウンロードサイトなど様々なWebサイトに誘導されます。

中には、以下のような悪意ある誘導先も含まれます。

 

 

f:id:tiketiketikeke:20190721161636p:plain

 

 

 

  

【改ざん事例3】マルウェア設置

 

 

2019年5月はマルウェア Emotet の設置を目的とした国内のWebサイトの改ざんが相次ぎました。

 

 

当方が把握しているだけでも、1カ月に100件以上のWebサイトにEmotetが設置されていることが確認できました。

 

 

冒頭で触れた JPCERT/CC のレポートからも、2019年5月のマルウェアサイトの件数が突出して多かったことが見て取れます。

 

 

f:id:tiketiketikeke:20190721172003p:plain

https://www.jpcert.or.jp/pr/2019/IR_Report20190711.pdf

 

 

上記JPCERT/CCのレポートに、Webサイト改ざんによるEmotetの設置について記載されていますので、ご参照頂ければと思います。

 

なお、このマルウェア設置サイトの中には、事例1、事例2に記載した手法で既に改ざんされていたというWebサイトが複数あったことを書き加えておきます。

 

 

 

 

その他の改ざん事例

 

 

頻繁に発生するものではありませんが、その他のWebサイト改ざん事例を記載します。

 

 

  • ECサイトからのカード情報詐取を目的とした改ざん

 

カード情報の詐取を目的としたECサイトの改ざん事例が度々報じられています。

カード情報を入力するフォームにスクリプトが挿入され、入力情報が秘密裏に外部のサーバに送信されるという事例と合わせて、最近ではカード情報の非保持化に対応して、決済代行事業者のサイトに遷移する際に偽の入力フォームが配置されたサーバにユーザを誘導するというケースもあるようです。

 

徳丸先生のブログに改ざん事例が紹介されていますので、ご参照下さい。

 

blog.tokumaru.org

 

 

  • フィッシングサイト設置

 

Webサイトが改竄され、フィッシングサイトが設置されるという事例もあります。

国内の正当なWebサイトに設置されたフィッシングサイトのキャプチャを2件掲載します。

 

f:id:tiketiketikeke:20190721180726p:plain

 

f:id:tiketiketikeke:20190721181127p:plain

 

 

 

 

まとめ

 

 

今回は、日々発生し続ける国内Webサイトの改ざん事例をご紹介しました。

 

このような被害を受けないための対策として、脆弱性対策や認証の強化、WAF、改ざん検知システムの導入などが挙げられますが、コストやリソースの関係で難しい場合もあると思います。

 

今すぐには対応が難しいという場合には「万が一自組織のWebサイトが改ざんされた場合にどうするか」という観点で事前準備を進めることをお勧めします。

 

万が一「あなたのWebサイトが改ざんされていますよ」と連絡を受けた場合に対応できるよう、事前に手順を整備したり、外部からの連絡を受けることができる体制を整える等、コストをかけずに対応できることはあるはずです。

 

また、改ざんの事実をいち早くキャッチするために、日次でGoogle等の検索サイトで自サイトをチェックする、もしくは自身の目でWebサイトを閲覧してみる(スマホ、PC双方で)といったこともコストをかけずにできる対応の一つではないかと思います。

 

Googleの検索欄に[site:自サイトのドメイン]を入力し、直近24時間に更新されたコンテンツを検索すると、できたてホヤホヤの不正コンテンツが発見できる可能性があります。

 

f:id:tiketiketikeke:20190721183633p:plain

 

 

また、マルウェアが設置されたサイトの情報が検索できる場として、URLhaus があります。

 

urlhaus.abuse.ch

 

ドメイン名によるマルウェア設置サイトの検索が可能ですので、自サイトの日々のチェックに活用してみては如何でしょうか。

 

f:id:tiketiketikeke:20190721184218p:plain

 

 

 

 

最後までご覧いただきありがとうございました。

 

 

 

以上 

 

 

更新履歴
2019年7月21日 初版作成


 

JPドメインの悪用について

 

 

 

はじめに

 

 

 

世の中に数多く存在するWebサイトを閲覧する際、トップレベルドメイン(TLD)でその安全性を確認するという方は多いのではないでしょうか。

検索サイトにキーワードを打ち込み、数ある検索結果の中から目的の情報に近いWebサイトを探す過程で、JPドメインのサイトには安心してアクセスできると考えるのは私だけではないと思います。

JPドメインレジストリであるJPRS(株式会社日本レジストリサービス)も、JPドメインは世界一安全であると訴えています。

 

 

f:id:tiketiketikeke:20190421222712p:plain

世界一安全な.jp / JPRS

 

 

この中で、JPドメインの安心感の根拠として以下のように述べています。

 

 

f:id:tiketiketikeke:20190421223133p:plain

世界一安全な.jp / JPRS

 

 

  • 「.jp」を登録するには日本国内に住所を持っていることが条件
  • 所在のはっきりした日本サイトだとアピールできる

という点を安心感の根拠として挙げています。

 

 

しかしながら、私を含めてJPドメインが安全だと考えているインターネットユーザの心理につけ込み、不正行為に使用する目的でJPドメインを登録する連中が少なからず存在します。

 

 

本記事では、JPドメインの悪用の事例をいくつかご紹介したいと思います。

 

 

 

 

【悪用事例1】気象庁のなりすましメール

 

 

 2018年11月、気象庁からの緊急警報を装ったなりすましメールが配信されたとして、同庁が注意喚起を行いました。

 

 

piyolog.hatenadiary.jp

 

 

このなりすましメールに記載された不審なリンクには以下のJPドメインが使用されていました。

 

 

 jma-go[.]jp

 

 

不審なリンクにアクセスすると、マルウェアがダウンロードされるという話もありました。

 

このドメインWhois情報を見てみたいと思います。

 

 

f:id:tiketiketikeke:20190421224613p:plain

 

 

[公開連絡窓口]に記載された住所を確認したところ、ロシア サンクトペテルブルク近郊の町を示しているようでした。

 【掲載情報に誤りあったため訂正 (2019/4/22)】

 

 

f:id:tiketiketikeke:20190422090322p:plain

 

 

明らかに日本国内には存在しない住所であり、「所在のはっきりした日本のサイト」とは言い難い内容です。

 

 

 

【悪用事例2】フィッシングサイト

 

 

JPドメインは、国内を標的としてフィッシング詐欺を行う連中が好んで使用します。

例えば、Appleのフィッシングサイトでは、以下のようなjpドメインが使用されています。

 

 

f:id:tiketiketikeke:20190421225723p:plain

 

 

これは特定の人物の名義で4月の10日余りの期間で登録されたドメイン名の一覧です。

これらのドメインは、以下のようなAppleのフィッシングサイトを公開する目的で登録されています。

 

 

f:id:tiketiketikeke:20190421230214p:plain

 


同種のフィッシングサイトを公開する目的で登録されたドメインの名義人は、私が確認しているだけでもこの他に十数件存在します。
実際には他にも多数存在すると思われ、日々ドメインの量産が行われています。

 

 

もう一つの事例として、Amazonのフィッシングサイトで使用されるJPドメインをご紹介します。

 

account-update-amazon-com[.]jp

 

f:id:tiketiketikeke:20190421230805p:plain

 

 

account-update-amazon[.]jp

 

f:id:tiketiketikeke:20190421231012p:plain

 

 

何れも、登録者の日本語表記と英語表記が全く一致していません。

英語表記の "HARUNA UBUKATA" に対して、日本語の登録者名は "央区 池袋"、"天神 直子" と記載されています。

 

 

これらのドメインは、以下のようなAmazonのフィッシングサイトを公開する目的で登録されています。

 

 

f:id:tiketiketikeke:20190421232239p:plain

 

 

さらに、悪用の事実は確認できていませんが、Amazonのキーワードを含むドメインの登録情報をご紹介します。

 

amazon-shop[.]jp

 

f:id:tiketiketikeke:20190421231618p:plain

 

 

公開連絡窓口の住所には「長野県」という日本語表記はあるものの、アルファベットで名古屋市を示す住所が続いています。

名古屋市の住所も番地等を示す情報はなく、正確ではありません。

 

 

何れも虚偽の情報ではないかと思わせる登録情報です。

 

 

 

【悪用事例3】詐欺サイトへの誘導を行うサイト

 

 

続いては、偽物のセキュリティ警告を表示するサイトを始めとして数々の詐欺サイトへの誘導を行うJPドメインです。

 

 

これは、現存する国内の企業のドメイン名をGoogleで検索した結果を抜粋したものです。

 

 

f:id:tiketiketikeke:20190421233150p:plain

 

 

一見すると、以前当ブログでも何度か取り上げた偽ECサイトに誘導するコンテンツに見えますが、実はこのコンテンツの中には、偽ECサイトよりもさらに悪質なサイトに誘導する仕掛けがありました。

 

 

コンテンツのソースを確認すると、あるjsファイルが読み込まれています(赤線部分)。

 

 

f:id:tiketiketikeke:20190421234020p:plain



このjsファイルを読み込むと、以下のドメインにリダイレクトされます。

 

 

bags.luxzone[.]jp

 

 

このドメインにアクセスすると、さらに以下のドメインに誘導されます。

 

 

ww25.bags.luxzone[.]jp

 

 

上記ドメインは、ユーザを複数の詐欺サイトに誘導しますが、その中の一つとして、偽ウイルス警告画面を表示するサイトへの誘導が確認できています。

 

 

 

f:id:tiketiketikeke:20190421235102p:plain

 

 

 

このような詐欺サイトへの誘導を行う luxzone[.]jpドメインの登録情報を見てみます。

 

 

f:id:tiketiketikeke:20190421235419p:plain

 

 

公開連絡窓口として、NETIMという名称、tld@netim.com というEmailアドレスが登録されています。

このNETIMとは、フランスのドメインレジストラなのだそうです。

 

 

www.netim.com

 

 

電話番号には、おそらく国内には存在しないと思われる「013」から始まる「11桁」の番号が登録されています。

この「013」を「03」と無理やり読み替えると、日本語表記の住所に存在する某企業の電話番号と一致しました。

こちらは「インターネットを利用した各種情報サービスを提供する」国内の事業者なんだそうです。

 

 

公開連絡窓口としては、安心感に欠ける内容です。

 

 

 

まとめ

 

 

JPドメインの悪用について事例をご覧頂きましたが、冒頭でご紹介したJPドメインの安心感の根拠とは少し異なる性質のドメインが登録され、今もなお増え続けているというのが現状です。

 

 

先日も大学や学校法人のみが取得可能な属性・地域型ドメインを個人が取得し、全く異なる用途に使用していたことが明るみになりました。

 

 

tech.nikkeibp.co.jp

 

 

業務プロセスにミスがあったことをJPRSは認めており、ただただ改善を求めるばかりですが、このドメインが今もなお有効な状態を維持しているという点については非常に疑問を感じています。

ネームサーバを削除することで対応完了としているようにも見受けられますが、条件を満たしていない個人が属性・地域型ドメインを今もなお持ち続けているという状況は改善すべきだと思います。

 

(2019/4/24 追記)

4/22に当該ドメインが Deleted (廃止されているドメイン名)となっていることを確認しました。

 

f:id:tiketiketikeke:20190424155641p:plain

 

ご対応頂きありがとうございました。

(2019/4/24 追記おわり)

 


更に疑問に思うこととして、ドメイン名義の日本語表記とアルファベット表記が異なったり、住所が正確でなかったり、海外の住所であったり、正確でない登録情報を持つJPドメインが存在することです。

 

 

このような虚偽の登録情報は認められるものなのでしょうか。

 

 

このような状態が続くと、世界一安全とされるJPドメインの安全性、信頼性に傷を与えかねません。

 

 

JPRSや各レジストラの皆様には、虚偽の登録情報を検出し、そのようなドメインに対しては、ドメイン凍結等の対応を行うなど、何らかの対策を打って頂きたいと思います。

 

 

最後までご覧いただきありがとうございました。

 

 

 

以上 

 

 

更新履歴
2019年4月22日 初版作成
2019年4月22日 jma-go[.]jpの公開連絡窓口に関する情報を修正
2019年4月24日 山梨医科大学ドメインに関する記述を修正。当該ドメインが廃止状態となったことを追記

 

 

共用サーバに対する不正アクセスと思わしき事象について

 

 

 

はじめに

 

 

 

SEOポイズニングによりユーザを偽ECサイトに誘導しようとする試みは今もなお続いています。

 

 

 

当ブログでは、過去にSEOポイズニングの手法の一つについてご紹介しました。

 

tike.hatenablog.com

 

 

 

このような偽ECサイトに誘導することを目的としたコンテンツが、ある共用サーバ上の複数のWebサイトに集中的に配置された形跡が確認できましたので、ご紹介したいと思います。

 

  

 

 

きっかけ

 

 

 

調査のきっかけとなったは、以下の不正コンテンツを目にしたことでした。

 

 

f:id:tiketiketikeke:20190301184312p:plain

 

 

 

ある 属性・地域型JPドメインのサイトに対して、偽ECサイトに誘導するコンテンツが設置されていました。

 

 

 

同種のJPドメインのWebサイトで同じような不正コンテンツが設置されているケースをいくつか見かけていたという経緯もあり、調査することにしました。

 

 

 

 

Webサイトを調査してみた

 

 

 

 

先ずは urlscan.io で見てみます。

 

urlscan.io

 

 

 

urlscan.io の 「Detected technologies」の項目を見てみます。

 

f:id:tiketiketikeke:20190301185608p:plain

 

 

 

Windows Server上の IISでWebサイトが稼働しているようです。

 

 

 

 

更に shodan.io でも見てみます。

 

www.shodan.io

 

 

shodan.io の 「Web Technologies 」の項目を見てみます。

 

 

f:id:tiketiketikeke:20190301191234p:plain

 

 

 

この Windows Server にはPHPが導入されているようです。

 

 

 

更に、導入されたPHPには多くの脆弱性が含まれることを示唆する結果が表示されました。

(画像は一部を抜粋したもの)

 

f:id:tiketiketikeke:20190301191404p:plain

 

 

 

調査対象のWebサイトを一通り見てみましたが、静的なページで構成されており、PHPは利用されていないように見えました。

 

 

 

更に詳しく見てみると、以下のページがルートディレクトリ直下に存在していることが確認できました。

 

 

f:id:tiketiketikeke:20190301191633p:plain



 

ホスティング事業者が設置したと思われるコントロールパネル画面です。

この画面はPHPで構成されていました。

 

 


このサイトのIPアドレスが共用サーバである可能性を探るため、同一IPアドレスに紐付くホスト名をPassive DNSの情報から探ってみたところ、130件のWebサイトがこのIPアドレスに紐付いていることが確認できました。

 

 

 

気になるのは、130件のWebサイトの中で不正コンテンツが設置されたのはこの1件のWebサイトのみなのかという点です。

 

 

 

 

130件のWebサイトを調査してみた

 

 

 

Google の site: コマンドを使用して、各FQDNに不正コンテンツが配置された形跡がないか見てみたいと思います。

 

 

 


site:コマンドによるサイト指定と合わせて、今回の調査のキッカケとなった不正コンテンツに含まれる 『Yahoo!ショッピング』 というキーワードも指定します。

 

f:id:tiketiketikeke:20190301192442p:plain

 

 

 

すると、同一IPアドレスに共存する130件のWebサイトのうち、54件のWebサイトに不正なコンテンツが配置された形跡が判明しました。

 

※ここで形跡と言っているのは、Googleの検索キャッシュには残っているものの、既に不正コンテンツを削除した等の理由により、実ファイルが存在しない事例もあったためです。

 

 

 

不正コンテンツに見られる規則性

 

 

 

検索結果に表示されたリンクのURLを見ると、これらの不正コンテンツのファイル名には以下のような命名規則が適用されていました。

 

 

 

<英字3文字>-<英数字6文字>.html

 

 

 

そして、不正にコンテンツが配置されたフォルダ構成にも以下のような一定のルールがありました。

 

 

 

/wp-includes/images/<英字3文字のフォルダ名>/

 

/wp-includes/css/<英字3文字のフォルダ名>/

 

/既存のフォルダ/<英字3文字のフォルダ名>/

 

 

 

 

WordPressで構成されたWebサイトにはwp-includesフォルダ配下、そうでないWebサイトには既存フォルダ配下に英字3文字のフォルダがそれぞれ設置され、その中に不正コンテンツが格納されるという構成でした。

 

 

 

コンテンツの設置時期は2018年の10月、12月が多く、ファイル名やファイル配置先に一定のルールがあることから、同一の攻撃キャンペーンの一環として共用サーバが侵害され、複数のWebサイトに不正コンテンツが配置されたのではないかと推測できます。

 

 

 

共用サーバへの不正コンテンツ配置と言えば・・・

 

 

 

共用サーバへの不正ファイル配置と言えば、今年1月に発生した某ホスティング事業者の事例が思い浮かびます。

 

piyolog.hatenadiary.jp

 

 

 

 

この事例では、犯行グループと思われる人物による犯行声明が出されたこと、ハッキング行為を誇示するかのようなコンテンツが配置されたことから、当該ホスティング事業者は攻撃事象を公表せざるを得なかったのではないかと考えることもできます。

 

 

 

公表に至らずとも、今回取り上げたような偽ECサイトへの誘導に繋がる不正コンテンツの設置は「よくある話」として流されているだけで、同じようなケースは他にも存在する可能性は否定できません。

 

 

 

共用サーバ上でWebサイトを運用している利用者の立場からすると、共用サーバへの攻撃事象を回避することは正直難しいのではないかと思われます。

 

 

 

 

利用者側ができること

 

 

 

共用サーバの利用者側としてできる事後対策は、自サイト内の不正なファイルの存在を確認することです。

 

 

先ほどご紹介した Google の site: コマンドにより、自サイト内の不正なコンテンツの有無をご確認頂き、更に (可能であれば) バックアップと公開中のコンテンツの差分を継続して確認することで、意図しないファイルの設置に気付くことができるのではないかと思います。

 

 

 

まとめ

 

 

 

不正コンテンツの有無を確認することで、自サイトが侵害されたことを知るきっかけになります。

 

 

ECサイトに誘導される"程度"であれば、特段大きな被害が発生した訳ではないと考えることもできます。

 

 

マルウェアの配布元に仕立て上げられるなど、更に悪質な侵害を受ける前に、一度自サイトへの不正ファイルの有無を確認することをお勧めします。

 

それと、もし不正ファイルの設置が確認できた場合は、ファイルを削除するだけではなく、Googleの検索キャッシュを削除することもお忘れなく。

 

support.google.com

 

 

 

最後までご覧いただきありがとうございました。

 

 

 

以上 

 

 

更新履歴
2019年3月1日 初版作成

 

 

放棄ドメインの大量取得によるスクリプトの乗っ取りについて

 

 

 

はじめに

 

 

 

既に役目を終えたドメインの遺産はリンク切れという形でインターネット上に残ることがあります。

 

ここでいう遺産とは、放棄ドメインに紐付くリソース(画像、外部スクリプトなど)を指します。

 

閲覧者の目に直接触れるリソース(画像や動画など)が存在しない状態になったことを閲覧者自身が認識することはさほど難しくはありません。
その一方、外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しいのではないかと思います。

 

このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。

 

 

 

 

不審な JavaScript

 

 

 

先日、不審な挙動を示す以下のJavaScriptを目にしました。

 

f:id:tiketiketikeke:20190126161720p:plain


Cookieを含むいくつかの情報を king[.]connectioncdn[.]com という外部のサーバにPOSTするというものです。

 

そして、このJavaScriptの呼び出し元は、海外のLinuxユーザのコミュニティサイトである LinuxForums[.]org でした。

f:id:tiketiketikeke:20190126163234p:plain

 

データ送信を行うJavaScriptは、以下のscriptタグで読み込まれます。

 

f:id:tiketiketikeke:20190126163600p:plain

 

JavaScript参照元 (LinuxForums[.]org) と参照先 (3[.]newor[.]net) 、データの送信先 (king[.]connectioncdn[.]com) は、いずれも異なるドメインであり、閲覧者が認識できない形で秘密裏に情報を外部に送信しているように見えます。

 

実際に送信される情報をパケットキャプチャから見てみます。

 

f:id:tiketiketikeke:20190126164732p:plain

 

Cookie以外にも、呼び出し元のサイト名、ページ名、リファラやタイムスタンプ、何らかの意味がありそうなランダムな値なども送信しています。 

 

続いてデータの送信先ホストについて見ていきたいと思います。


 

 

データの送信先から見えるインフラの全体像

 

 

 

データの送信先ホストを確認したところ、サブドメインがいくつか存在することが確認できました。
前述の分も含めると、以下の4件のサブドメインが存在します。

 

f:id:tiketiketikeke:20190126165354p:plain

 

それぞれのDNS Aレコードは以下の通りです。

 

f:id:tiketiketikeke:20190126165526p:plain

 

f:id:tiketiketikeke:20190126165551p:plain

 

f:id:tiketiketikeke:20190126165634p:plain

 

f:id:tiketiketikeke:20190126165704p:plain

 

f:id:tiketiketikeke:20190126165858p:plain

 

hashtagとmars、kingはAS30083(Hosting Solutions International, Inc.)、pressはAS16276 (OVH SAS) の配下にいるようです。

※ 以下、これらのホストをconnectioncdnホストと記載します。

 

次に、外部にデータを送信するスクリプトが設置されたホストのIPアドレスを見てみます。

 

f:id:tiketiketikeke:20190126170235p:plain

 

Aレコードが2件登録されており、hashtagとpressのconnectioncdnホストと同じIPアドレスであることがわかりました。

 

それぞれのIPアドレスに対してスクリプトを取得してみます。

 

まずは 209.126.103[.]59 (hashtag[.]connectioncdn[.]com)に対して。

 

f:id:tiketiketikeke:20190126171318p:plain

 

レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。

 

f:id:tiketiketikeke:20190126171440p:plain

 

データの送信先として、hashtag[.]connectioncdn[.]com が指定されています。

 

次に、147.135.1[.]203 (press[.]connectioncdn[.]com)からスクリプトを取得します。

 

f:id:tiketiketikeke:20190126171720p:plain

 

レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。

 

f:id:tiketiketikeke:20190126171812p:plain

 

IPアドレスを同一とするconnectioncdnホストに対してデータをPOSTする仕様のようです。

 

更に確認したところ、4台の connectioncdnホストと同じIPアドレスを持つFQDNが2019年1月24日の時点で少なくとも134件存在し、いずれも上記の事例と同様、2台のconnectioncdnホストと同じIPアドレスを持つことが確認できました。

 

一部のFQDNIPアドレスの一覧を以下に記載します。

※134件全件の一覧はIoC情報として文末に記載しています。

 

# FQDN IPアドレス
1 1.newor[.]net 147.135.1[.]203, 209.126.103[.]139
2 2.api.viralheadlines[.]net 147.135.1[.]203, 209.126.127[.]231
3 3.newor[.]net 147.135.1[.]203, 209.126.103[.]139
4 a01.u-ad[.]info 209.126.103[.]59, 209.126.127[.]231
5 abtrcking[.]com 147.135.1[.]203, 209.126.103[.]59
6 adrenalinecdn[.]com 147.135.1[.]203, 209.126.103[.]59
7 airjss[.]com 147.135.1[.]203, 209.126.103[.]139
8 api.behavioralmailing[.]com 147.135.1[.]203, 209.126.103[.]59
9 apps.suppressedvoice[.]com 209.126.103[.]139, 147.135.1[.]203
10 b.nwcdn[.]xyz 209.126.103[.]139, 147.135.1[.]203

 

一部を抜粋して図示すると以下のようになります。

 

f:id:tiketiketikeke:20190126180939p:plain

 

connectioncdnホストの1台に何らかの問題が発生したとしても業務継続(?)が可能となるよう冗長構成がとられています。
また、前述した通り connectioncdnホストは2つのプロバイダ(AS30083とAS16276)にまたがっており、あらゆる事態を想定した堅牢な構成で稼動していると言えます。

 

次に、134件のFQDNを構成する各ドメインの取得時期を見てみたいと思います。
合わせて、これらのドメインが新規に取得されたものなのか、または既存のドメインを流用したものなのかを確認するために、ドメイン削除の記録があればその時期についても確認します。

なお、ドメイン放棄の記録は、domainbigdata.com の [history]項目から抽出しており、表中の[直前のドメイン削除日]は、ドメイン再取得の直前にそのドメインが放棄された日付を示しています。

※ここでは一部のドメインのみとし、全件はIoC情報として文末に記載しています。

 

# ドメイン 直前のドメイン削除日 最新のドメイン登録(移転)日 現在のネームサーバ
1 newor[.]net 2018/11/9 2018/12/17 mynameserver1.com
2 viralheadlines[.]net 2018/8/21 2018/11/22 mynameserver1.com
3 u-ad[.]info 2016/4/21 2017/6/25 mynameserver1.com
4 abtrcking[.]com 2018/9/3 2018/11/15 mynameserver1.com
5 adrenalinecdn[.]com 2018/5/26 2018/8/3 mynameserver1.com
6 airjss[.]com 2018/7/23 2018/8/31 mynameserver1.com
7 behavioralmailing[.]com 2018/10/14 2018/11/21 mynameserver1.com
8 suppressedvoice[.]com   2018/10/26 mynameserver1.com
9 nwcdn[.]xyz   2018/7/22 mynameserver3.com
10 beatchucknorris[.]com 2018/4/29 2018/8/16 mynameserver1.com

 

全件を確認したところ、一部の不明なドメインを除く大半のドメインは過去に放棄された経緯があることがわかりました。

放棄された時期と再登録された時期はバラバラですが、第三者が放棄ドメインを取得し、このインフラに組み込んでいるようです。

 

 

 

どのようなスクリプトが公開されているのか

 

 

connectioncdnホストと同一のIPアドレスを持つFQDN群が、本記事の冒頭に示した不審なJavaScriptとほぼ同じ内容のスクリプトを公開していることが確認できました。何れも、Cookieを含む情報をconnectioncdnホストに対して送信するという内容です。可能な範囲で収集したスクリプトのURLを以下に示します。

 ※ここでは一部のURLのみとし、全件はIoC情報として文末に記載しています。

 

# 不審スクリプトのURL
1 hxxp://1.newor[.]net/www/delivery/delivery3.js
2 hxxp://2.api.viralheadlines[.]net/js/mass
3 hxxp://3.newor[.]net/www/delivery/delivery3.js
4 hxxp://a01.u-ad[.]info/page/JS.php
5 hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js
6 hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js
7 hxxp://airjss[.]com/data-uri.js
8 hxxp://api.behavioralmailing[.]com/js/data.js
9 hxxp://b.nwcdn[.]xyz/placement.js
10 hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js

 

これらのスクリプトはPOST先のサーバとkパラメータの値が異なるのみであり、ほぼ全て同じ内容でした。

更に、各サイトのルートディレクトリ、及び存在しないファイルをリクエストしてみます。

先ずはルートディレクトリにアクセスしてみます。

 

f:id:tiketiketikeke:20190126203654p:plain

 

全てのURLで「Temporaily Down for Maintenance.」という文言が表示されることが確認できました。

 

次に、存在しないファイルをリクエストしてみます。

 

f:id:tiketiketikeke:20190126203817p:plain

 

こちらも、全てのURLで同様の文言が表示されました。

 

このことから、特定リソースへのリクエストが来た場合にのみ特別な処理を行うように実装されていると考えられます。

 

 

 

放棄ドメインは本来どのように使われていたのか

 

 

放棄ドメインの本来の用途は様々です。WordPressTumblrのテンプレート、フリーのソースコードサンプル、広告関連、アクセス解析などなど。外部スクリプトとして消されずに残っている可能性のあるものばかりです。

詐欺サイトに誘導するための踏み台として過去にWordPressサイトに不正に埋め込まれたスクリプトが、今ではconnectioncdnホストに情報を送信する目的で使用されているのは特に興味深い点として挙げられます。

 

 

 

まとめ

 

 

 

最後までご覧いただきありがとうございます。

 

私個人のレベルでは、ここまでの調査が限界でした(笑)

このブログをご覧頂いた方の中で「更に深く調査してやろう」という方がもしいらっしゃいましたら、是非とも継続調査をお願いできればと思います。

 

本記事の冒頭「外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しい」と述べましたが、これはあくまで閲覧者の視点での話です。
外部スクリプトが改竄され、コインマイナーが仕込まれたり、カード情報が盗まれたりという話は度々報道されています。

サイト運営者の方々は自サイト上のゴミを極力排除し、更に外部リソースの変化を検知できる仕組みをご検討頂くべきかと思います。
(偉そうなこと言ってスミマセン!)

 

ではでは。

 

 

 

IoC

 

 

 

 connectioncdnホストと同居するFQDN一覧

 

 

# FQDN IPアドレス
1 1.newor[.]net 147.135.1[.]203, 209.126.103[.]139
2 2.api.viralheadlines[.]net 147.135.1[.]203, 209.126.127[.]231
3 3.newor[.]net 147.135.1[.]203, 209.126.103[.]139
4 a01.u-ad[.]info 209.126.103[.]59, 209.126.127[.]231
5 abtrcking[.]com 147.135.1[.]203, 209.126.103[.]59
6 adrenalinecdn[.]com 147.135.1[.]203, 209.126.103[.]59
7 airjss[.]com 147.135.1[.]203, 209.126.103[.]139
8 api.behavioralmailing[.]com 147.135.1[.]203, 209.126.103[.]59
9 apps.suppressedvoice[.]com 209.126.103[.]139, 147.135.1[.]203
10 b.nwcdn[.]xyz 209.126.103[.]139, 147.135.1[.]203
11 beatchucknorris[.]com 209.126.103[.]59, 147.135.1[.]203
12 blozoo[.]net 147.135.1[.]203, 209.126.103[.]139
13 bolingbroke.werringtonlasborough[.]com 209.126.127[.]231, 209.126.103[.]59
14 bwinpoker24[.]com 147.135.1[.]203, 209.126.103[.]59
15 c.radxcomm[.]com 209.126.103[.]139, 209.126.127[.]231
16 cdn.adpoints[.]media 209.126.103[.]59, 209.126.127[.]231
17 cdn.avrti[.]xyz 147.135.1[.]203, 209.126.103[.]139
18 cdn.botthumb[.]com 147.135.1[.]203, 209.126.127[.]231
19 cdn.echoenabled[.]com 209.126.127[.]231, 209.126.103[.]59
20 cdn[.]inaudium[.]com 209.126.127[.]231, 209.126.103[.]59
21 cdn.muse-widgets[.]ru 209.126.103[.]59, 209.126.127[.]231
22 cdn.owlcdn[.]com 147.135.1[.]203, 209.126.103[.]59
23 cfs.u-ad[.]info 209.126.127[.]231, 147.135.1[.]203
24 chat-client-js.firehoseapp[.]com 147.135.1[.]203, 209.126.127[.]231
25 code.jguery[.]org 209.126.103[.]139, 147.135.1[.]203
26 con1.sometimesfree[.]biz 209.126.103[.]139, 209.126.103[.]59
27 connect.f1call[.]com 209.126.103[.]59, 209.126.103[.]139
28 d0.histats.12mlbe[.]com 209.126.127[.]231, 209.126.103[.]139
29 daljarrock.hurlinesswhitchurch[.]com 209.126.103[.]59, 209.126.103[.]139
30 dcts[.]pw 209.126.103[.]59, 147.135.1[.]203
31 dezaula[.]com 209.126.103[.]59, 147.135.1[.]203
32 dup.baidustatic[.]pw 209.126.103[.]59, 209.126.127[.]231
33 e.e708[.]net 147.135.1[.]203, 209.126.103[.]139
34 earsham.pontypriddcrick[.]com 209.126.103[.]139, 147.135.1[.]203
35 flipdigital[.]ru 209.126.127[.]231, 209.126.103[.]139
36 font4u[.]ga 147.135.1[.]203, 209.126.127[.]231
37 ga87z2o[.]com 147.135.1[.]203, 209.126.103[.]59
38 gamescale.vio[.]rocks 209.126.103[.]139, 209.126.103[.]59
39 getsocialbuttons[.]xyz 147.135.1[.]203, 209.126.103[.]59
40 godstrength[.]org 209.126.103[.]139, 209.126.103[.]59
41 hosted-oswa[.]org 209.126.127[.]231, 147.135.1[.]203
42 i.omeljs[.]info 209.126.103[.]139, 209.126.127[.]231
43 i.rfgdjs[.]info 147.135.1[.]203, 209.126.103[.]59
44 i.selectionlinksjs[.]info 209.126.103[.]139, 209.126.127[.]231
45 i3.putags[.]com 147.135.1[.]203, 209.126.127[.]231
46 ijquery9[.]com 209.126.103[.]59, 209.126.127[.]231
47 infinite-2.tcs3[.]co[.]uk 209.126.103[.]139, 147.135.1[.]203
48 infinite-3.tcs3[.]co[.]uk 209.126.103[.]59, 209.126.127[.]231
49 iplusfree[.]pro 209.126.127[.]231, 209.126.103[.]59
50 java.sometimesfree[.]biz 209.126.103[.]59, 209.126.103[.]139
51 jquery[.]im 209.126.103[.]139, 147.135.1[.]203
52 js.mp3rocketdownloadfiles[.]com 209.126.103[.]59, 209.126.103[.]139
53 js.nster[.]net 209.126.127[.]231, 147.135.1[.]203
54 js.trafficanalytics[.]online 209.126.103[.]139, 209.126.103[.]59
55 js2.sn00[.]net 209.126.103[.]139, 209.126.127[.]231
56 keit.kristofer[.]ga 147.135.1[.]203, 209.126.103[.]59
57 livestats[.]us 209.126.103[.]59, 209.126.103[.]139
58 log.widgetstat[.]net 209.126.103[.]59, 209.126.127[.]231
59 m.free-codes[.]org 209.126.103[.]59, 209.126.103[.]139
60 m.xfanclub[.]ru 209.126.103[.]59, 147.135.1[.]203
61 mediros[.]ru 209.126.127[.]231, 209.126.103[.]139
62 n299adserv[.]com 209.126.103[.]59, 209.126.103[.]139
63 narnia.tcs3[.]co[.]uk 209.126.127[.]231, 209.126.103[.]59
64 nstracking[.]com 147.135.1[.]203, 209.126.103[.]59
65 oasagm82wioi[.]org 209.126.103[.]59, 209.126.103[.]139
66 onlinemarketplace[.]top 209.126.103[.]139, 209.126.127[.]231
67 parts.kuru2jam[.]com 209.126.103[.]59, 209.126.127[.]231
68 phpadsnew.motoboerse[.]at 147.135.1[.]203, 209.126.103[.]59
69 pipardot[.]com 209.126.127[.]231, 147.135.1[.]203
70 pl105476.putags[.]com 147.135.1[.]203, 209.126.127[.]231
71 place2003.nighter[.]club 147.135.1[.]203, 209.126.103[.]59
72 s1.omnitor[.]ru 209.126.103[.]59, 209.126.127[.]231
73 sbdtds[.]com 209.126.127[.]231, 209.126.103[.]59
74 scorepresshidden[.]info 147.135.1[.]203, 209.126.127[.]231
75 script.affilizr[.]com 209.126.103[.]59, 209.126.103[.]139
76 sdb.dancewithme[.]biz 209.126.103[.]139, 147.135.1[.]203
77 security-service[.]su 209.126.103[.]59, 209.126.127[.]231
78 senderjs[.]net 147.135.1[.]203, 209.126.103[.]139
79 src.dancewithme[.]biz 209.126.127[.]231, 209.126.103[.]139
80 srv1.clk-analytics[.]com 209.126.103[.]139, 147.135.1[.]203
81 st.segpress.io 209.126.103[.]139, 209.126.103[.]59
82 stablemoney[.]ru 209.126.127[.]231, 209.126.103[.]59
83 stat.rolledwil[.]biz 209.126.103[.]59, 209.126.127[.]231
84 static.bh-cdn[.]com 209.126.103[.]139, 209.126.103[.]59
85 tag.imaginaxs[.]com 147.135.1[.]203, 209.126.103[.]59
86 themes.affect[.]lt 209.126.103[.]139, 147.135.1[.]203
87 trafficapi[.]nl 209.126.127[.]231, 209.126.103[.]59
88 traffictrade[.]life 147.135.1[.]203, 209.126.103[.]59
89 upgraderservices[.]cf 147.135.1[.]203, 209.126.127[.]231
90 upskirt-jp[.]net 209.126.103[.]139, 209.126.127[.]231
91 vclicks[.]net 209.126.103[.]59, 147.135.1[.]203
92 vstats[.]co 147.135.1[.]203, 209.126.103[.]59
93 w[.]topage[.]net 147.135.1[.]203, 209.126.103[.]59
94 webeatyouradblocker[.]com 147.135.1[.]203, 209.126.103[.]59
95 webstats.xcellenzy[.]com 209.126.127[.]231, 209.126.103[.]59
96 widgets.wowzio[.]net 209.126.127[.]231, 209.126.103[.]59
97 www.acotemoi[.]com 147.135.1[.]203, 209.126.103[.]139
98 www.adsonflags[.]com 209.126.103[.]59, 209.126.127[.]231
99 www.agrkings[.]com 209.126.103[.]139, 147.135.1[.]203
100 www.apps4shopify[.]com 209.126.127[.]231, 209.126.103[.]59
101 www.auctionaffiliate[.]co 147.135.1[.]203, 209.126.103[.]139
102 www.caphyon-analytics[.]com 209.126.103[.]139, 209.126.103[.]59
103 www.frompariswithhate[.]org 209.126.127[.]231, 147.135.1[.]203
104 www.goodyear-coupons[.]com 209.126.103[.]139, 209.126.127[.]231
105 www.hmailserver[.]in 147.135.1[.]203, 209.126.103[.]139
106 www.kanpianjs[.]top 147.135.1[.]203, 209.126.103[.]59
107 www.ournet-analytics[.]com 209.126.103[.]139, 209.126.127[.]231
108 www.rarstats[.]com 209.126.103[.]139, 209.126.103[.]59
109 www.seo101[.]net 147.135.1[.]203, 209.126.103[.]139
110 www.spartan-ntv[.]com 209.126.103[.]139, 209.126.103[.]59
111 www.takoashi[.]net 147.135.1[.]203, 209.126.103[.]59
112 www.yys1982[.]com 209.126.127[.]231, 147.135.1[.]203
113 your-3[.]com 209.126.103[.]59, 209.126.103[.]139
114 yourmsrp[.]com 209.126.103[.]59, 209.126.103[.]139
115 zirve100[.]com 209.126.127[.]231, 209.126.103[.]139
116 s.orange81safe[.]com 209.126.103[.]139, 147.135.1[.]203
117 n298adserv[.]com 209.126.103[.]59, 209.126.127[.]231
118 stat.botthumb[.]com 147.135.1[.]203, 209.126.103[.]59
119 adblockdetector[.]com 209.126.103[.]59, 147.135.1[.]203
120 cdn.jquery[.]tools 209.126.103[.]59, 209.126.103[.]139
121 js.sn00[.]net 209.126.103[.]139, 209.126.103[.]59
122 cleantds[.]in 209.126.103[.]139, 209.126.127[.]231
123 wp.traffictrade[.]life 209.126.127[.]231, 147.135.1[.]203
124 www.insightio[.]us 209.126.103[.]139, 209.126.103[.]59
125 webto[.]mobi 209.126.103[.]139, 147.135.1[.]203
126 static.hot---jar[.]com 209.126.103[.]59, 209.126.103[.]139
127 appsyt.brightleaf[.]io 209.126.103[.]59, 147.135.1[.]203
128 w5983.lb.wa-track[.]com 209.126.103[.]139, 209.126.127[.]231
129 adrife[.]net 209.126.103[.]59, 209.126.127[.]231
130 www.andrewandjack[.]com 209.126.103[.]59, 209.126.127[.]231
131 da.adsvcs[.]com 209.126.103[.]59, 147.135.1[.]203
132 ssl.cdn.odinkod[.]ru 209.126.103[.]59, 209.126.127[.]231
133 nexutab[.]com 209.126.103[.]139, 209.126.127[.]231
134 st.stadsvc[.]com 209.126.103[.]59, 147.135.1[.]203

 

 

 

ドメイン登録日一覧

 

 

# ドメイン 直前のドメイン削除日 最新のドメイン登録(移転)日 現在のネームサーバ
1 newor[.]net 2018/11/9 2018/12/17 mynameserver1.com
2 viralheadlines[.]net 2018/8/21 2018/11/22 mynameserver1.com
3 u-ad[.]info 2016/4/21 2017/6/25 mynameserver1.com
4 abtrcking[.]com 2018/9/3 2018/11/15 mynameserver1.com
5 adrenalinecdn[.]com 2018/5/26 2018/8/3 mynameserver1.com
6 airjss[.]com 2018/7/23 2018/8/31 mynameserver1.com
7 behavioralmailing[.]com 2018/10/14 2018/11/21 mynameserver1.com
8 suppressedvoice[.]com   2018/10/26 mynameserver1.com
9 nwcdn[.]xyz   2018/7/22 mynameserver3.com
10 beatchucknorris[.]com 2018/4/29 2018/8/16 mynameserver1.com
11 blozoo[.]net 2017/1/22 2017/2/28 mynameserver1.com
12 werringtonlasborough[.]com   2018/7/30 mynameserver1.com
13 bwinpoker24[.]com 2018/4/29 2018/8/31 mynameserver1.com
14 radxcomm[.]com 2018/6/24 2018/8/5 mynameserver1.com
15 adpoints.media   1900/1/0  
16 avrti[.]xyz   2018/8/25 mynameserver3.com
17 botthumb[.]com 2018/11/22 2018/11/30 mynameserver1.com
18 echoenabled[.]com 2016/12/15 2017/3/8 mynameserver1.com
19 inaudium[.]com 2017/4/28 2017/6/5 mynameserver1.com
20 muse-widgets[.]ru   2018/10/6  
21 owlcdn[.]com 2018/1/30 2018/3/9 mynameserver1.com
22 firehoseapp[.]com 2018/1/30 2018/3/9 mynameserver1.com
23 jguery[.]org 2018/4/21 2018/6/8 mynameserver1.com
24 sometimesfree[.]biz 2018/10/6 2018/11/10 mynameserver1.com
25 f1call[.]com 2018/5/19 2018/7/5 mynameserver1.com
26 12mlbe[.]com 2017/1/24 2017/2/15 mynameserver1.com
27 hurlinesswhitchurch[.]com 2017/7/1 2017/9/21 mynameserver1.com
28 dcts[.]pw   2016/12/24  
29 dezaula[.]com 2018/3/16 2018/7/18 mynameserver1.com
30 baidustatic[.]pw      
31 e708[.]net 2018/1/10 2018/2/16 mynameserver1.com
32 pontypriddcrick[.]com 2017/7/1 2017/9/21 mynameserver1.com
33 flipdigital[.]ru   2018/12/5  
34 font4u[.]ga      
35 ga87z2o[.]com 2018/3/31 2018/5/8 mynameserver1.com
36 vio[.]rocks      
37 getsocialbuttons[.]xyz 2018/8/15 2018/11/26 mynameserver3.com
38 godstrength[.]org 2018/4/14 2018/7/15 mynameserver1.com
39 hosted-oswa[.]org 2018/9/25 2018/11/9 mynameserver1.com
40 omeljs[.]info 2017/8/7 2017/12/11 mynameserver1.com
41 rfgdjs[.]info 2017/5/28 2017/12/11 mynameserver1.com
42 selectionlinksjs[.]info 2016/7/7 2018/8/16 mynameserver1.com
43 putags[.]com 2017/12/24 2018/1/30 mynameserver1.com
44 ijquery9[.]com 2018/6/30 2018/8/6 mynameserver1.com
45 tcs3[.]co[.]uk      
46 iplusfree[.]pro 2018/7/13 2018/8/21 mynameserver1.com
47 jquery[.]im      
48 mp3rocketdownloadfiles[.]com 2018/12/4 2018/12/5 mynameserver1.com
49 nster[.]net 2018/12/5 2018/12/6 mynameserver1.com
50 trafficanalytics[.]online      
51 sn00[.]net 2018/2/13 2018/5/9 mynameserver1.com
52 kristofer[.]ga      
53 livestats[.]us 2016/7/3 2017/2/16 mynameserver1.com
54 widgetstat[.]net 2018/2/14 2018/8/12 mynameserver1.com
55 free-codes[.]org 2018/1/31    
56 xfanclub[.]ru   2016/8/2  
57 mediros[.]ru   2018/8/12  
58 n299adserv[.]com 2017/11/12 2018/3/30 mynameserver1.com
59 nstracking[.]com 2016/1/2 2017/2/17 mynameserver1.com
60 oasagm82wioi[.]org 2018/1/21 2018/8/25 mynameserver1.com
61 onlinemarketplace[.]top      
62 kuru2jam[.]com 2018/3/2 2018/4/8 mynameserver1.com
63 motoboerse[.]at      
64 pipardot[.]com 2018/12/18 2018/12/26 mynameserver1.com
65 nighter[.]club 2018/9/29 2018/12/19 mynameserver1.com
66 omnitor[.]ru   2018/8/12  
67 sbdtds[.]com 2016/12/2 2017/2/15 mynameserver1.com
68 scorepresshidden[.]info 2018/11/19 2018/11/24 mynameserver1.com
69 script.affilizr[.]com 2017/4/18 2017/6/26 mynameserver1.com
70 dancewithme[.]biz 2018/10/19 2018/11/25 mynameserver1.com
71 security-service[.]su   2018/8/12  
72 senderjs[.]net 2018/12/19 2018/12/27 mynameserver1.com
73 clk-analytics[.]com 2018/8/30 2018/10/9 mynameserver1.com
74 segpress[.]io      
75 stablemoney[.]ru   2018/1/10  
76 rolledwil[.]biz 2017/5/12 2017/7/6 mynameserver1.com
77 bh-cdn[.]com 2018/9/16 2018/10/24 mynameserver1.com
78 imaginaxs[.]com 2018/6/7 2018/8/21 mynameserver1.com
79 affect[.]lt   2017/12/3  
80 trafficapi[.]nl      
81 traffictrade[.]life 2018/8/15 2018/9/27 mynameserver1.com
82 upgraderservices[.]cf      
83 upskirt-jp[.]net 2018/12/19 2018/12/27 mynameserver1.com
84 vclicks[.]net 2018/7/15 2018/8/24 mynameserver1.com
85 vstats[.]co 2017/8/1 2017/8/3 cloudflare.com
86 topage[.]net 2018/11/19 2018/11/25 mynameserver1.com
87 webeatyouradblocker[.]com 2017/2/23 2017/5/15 mynameserver1.com
88 xcellenzy[.]com 2017/11/11 2018/2/14 mynameserver1.com
89 wowzio[.]net 2018/1/29 2018/1/30 mynameserver1.com
90 acotemoi[.]com   2018/12/11 mynameserver1.com
91 adsonflags[.]com 2018/9/1 2018/10/9 mynameserver1.com
92 agrkings[.]com 2017/2/10 2017/4/4 mynameserver1.com
93 apps4shopify[.]com 2018/9/24 2018/11/9 mynameserver1.com
94 auctionaffiliate[.]co 2016/4/1 2017/2/17 mynameserver1.com
95 caphyon-analytics[.]com 2018/3/21 2018/8/16 mynameserver1.com
96 frompariswithhate[.]org 2018/1/31    
97 goodyear-coupons[.]com 2017/1/10 2017/4/4 mynameserver1.com
98 hmailserver[.]in   2015/1/24  
99 kanpianjs[.]top      
100 ournet-analytics[.]com 2016/6/11 2018/8/16 mynameserver1.com
101 rarstats[.]com 2018/10/6 2018/11/21 mynameserver1.com
102 seo101[.]net 2018/1/31 2018/3/10 mynameserver1.com
103 spartan-ntv[.]com 2018/1/27 2018/3/6 mynameserver1.com
104 takoashi[.]net 2018/6/15 2018/7/22 mynameserver1.com
105 yys1982[.]com 2018/8/22 2018/10/6 mynameserver1.com
106 your-3[.]com   2018/11/21 mynameserver1.com
107 yourmsrp[.]com 2018/7/14 2018/8/21 mynameserver1.com
108 zirve100[.]com 2016/12/24 2017/2/15 mynameserver1.com
109 orange81safe[.]com 2018/9/20 2018/10/28 mynameserver1.com
110 n298adserv[.]com 2018/11/12 2018/12/26 mynameserver1.com
111 adblockdetector[.]com 2016/12/1 2017/2/13 mynameserver1.com
112 jquery[.]tools      
113 cleantds[.]in   2016/4/27  
114 insightio.us 2017/7/8 2017/8/13 mynameserver1.com
115 webto[.]mobi   2016/9/1  
116 hot---jar[.]com   2018/11/18 mynameserver1.com
117 brightleaf[.]io   2018/8/24  
118 wa-track[.]com 2018/6/8 2018/6/14 mynameserver1.com
119 adrife[.]net 2017/8/3 2018/3/18 mynameserver1.com
120 andrewandjack[.]com 2018/10/10 2018/11/21 mynameserver1.com
121 adsvcs[.]com 2018/10/8 2018/11/21 mynameserver1.com
122 odinkod[.]ru   2017/4/3  
123 nexutab[.]com 2018/5/5 2018/7/8 mynameserver1.com
124 stadsvc[.]com 2018/10/8 2018/11/18 mynameserver1.com

 

 

 

不審スクリプトURL一覧

 

 

# 不審スクリプトのURL
1 hxxp://1.newor[.]net/www/delivery/delivery3.js
2 hxxp://2.api.viralheadlines[.]net/js/mass
3 hxxp://3.newor[.]net/www/delivery/delivery3.js
4 hxxp://a01.u-ad[.]info/page/JS.php
5 hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js
6 hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js
7 hxxp://airjss[.]com/data-uri.js
8 hxxp://api.behavioralmailing[.]com/js/data.js
9 hxxp://b.nwcdn[.]xyz/placement.js
10 hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js
11 hxxp://blozoo[.]net/js/ranktool/analyze.js
12 hxxp://bwinpoker24[.]com/door.js
13 hxxp://c.radxcomm[.]com/AdvWindow/getWin/ed839af81cb935b63b6110da3a9af267
14 hxxp://cdn.adpoints[.]media/production/ads/652.js
15 hxxp://cdn.avrti[.]xyz/s.js
16 hxxp://cdn.inaudium[.]com/js/adtctr.js
17 hxxp://cdn.echoenabled[.]com/clientapps/v2/backplane.js
18 hxxp://cdn.inaudium[.]com/js/adtctr.js
19 hxxp://cdn.muse-widgets[.]ru/mwsuperanimate.js
20 hxxp://cdn.owlcdn[.]com/google/analytics/analytics.js
21 hxxp://cfs.u-ad[.]info/cfspushadsv2/request
22 hxxp://chat-client-js.firehoseapp[.]com/chat-min.js
23 hxxp://code.jguery[.]org/jquery-2.2.1.min.js
24 hxxp://con1.sometimesfree[.]biz/c.js
25 hxxp://connect.f1call[.]com/static/api.js
26 hxxp://d0.histats.12mlbe[.]com/cgi-bin/mle.cgi
27 hxxp://daljarrock.hurlinesswhitchurch[.]com/blest.js
28 hxxp://dcts[.]pw/dictus.js
29 hxxp://dezaula[.]com/dezaula.js
30 hxxp://dup.baidustatic[.]pw/js/ds.js
31 hxxp://e.e708[.]net/cpc/index.php
32 hxxp://earsham.pontypriddcrick[.]com/embroiders.js?ref=
33 hxxp://flipdigital[.]ru/bcRX/src.js
34 hxxp://gamescale.vio[.]rocks/app/embed/
35 hxxp://getsocialbuttons[.]xyz/get-social.js
36 hxxp://hosted-oswa[.]org/piwik/piwik.js
37 hxxp://i.omeljs[.]info/omel/javascript.js
38 hxxp://i.rfgdjs[.]info/opt_content.js
39 hxxp://i.selectionlinksjs[.]info/obfy/javascript.js
40 hxxp://i3.putags[.]com/c4/5a/d0/c45ad0245f5cbeaaf368ef6bbfddb41c.js
41 hxxp://ijquery9[.]com/common.js
42 hxxp://infinite-2.tcs3[.]co[.]uk/Themes/InfiniteV2/jquery.js
43 hxxp://infinite-3.tcs3[.]co[.]uk/themes/infinitev3/totop.js
44 hxxp://java.sometimesfree[.]biz/counter.js
45 hxxp://jquery[.]im/jquery.geo.js
46 hxxp://js.nster[.]net/00/12/69.js
47 hxxp://js.trafficanalytics[.]online/js/js.js
48 hxxp://js2.sn00[.]net/00/37/20.js
49 hxxp://keit.kristofer[.]ga/71HXRp
50 hxxp://livestats[.]us/812X
51 hxxp://log.widgetstat[.]net/event.php
52 hxxp://m.free-codes[.]org/gh.php
53 hxxp://m.xfanclub[.]ru/c/45558.js
54 hxxp://mediros[.]ru/get2.php
55 hxxps://n299adserv[.]com/js/show_ads_supp.js
56 hxxp://narnia.tcs3[.]co[.]uk/themes/narnia/narnia.1/getjs.asp
57 hxxp://nstracking[.]com/js/TrackingV2.js
58 hxxp://oasagm82wioi[.]org/css/js/style.php
59 hxxp://onlinemarketplace[.]top/client.js
60 hxxp://parts.kuru2jam[.]com/js/wind_chime.js
61 hxxp://pipardot[.]com/pd.js
62 hxxp://s1.omnitor[.]ru/1fed79f0c2c92588b739f9e9f3be7bc6.js
63 hxxp://sbdtds[.]com/acounter.js
64 hxxp://script.affilizr[.]com/js/affilizr.js
65 hxxp://sdb.dancewithme[.]biz/db.js
66 hxxps://security-service[.]su/src/hirschs.co.za.js
67 hxxp://src.dancewithme[.]biz/src.js
68 hxxp://srv1.clk-analytics[.]com/i/
69 hxxp://st.segpress[.]io/segpress/focus/1.js
70 hxxp://stablemoney[.]ru/113962.js
71 hxxp://stat.rolledwil[.]biz/stat.php
72 hxxp://static.bh-cdn[.]com/msf/loader.js
73 hxxp://tag.imaginaxs[.]com/script/14567725196/preload.js
74 hxxp://themes.affect[.]lt/bodega/wp-content/themes/bodega/js/jquery.nivo.slider.pack.js
75 hxxp://trafficapi[.]nl/static/main.js
76 hxxp://traffictrade[.]life/scripts.js
77 hxxp://upgraderservices[.]cf/drupal.js
78 hxxp://upskirt-jp[.]net/piwik/piwik.js
79 hxxps://w.topage[.]net/box.js
80 hxxp://webstats.xcellenzy[.]com/piwik.js
81 hxxp://widgets.wowzio[.]net/widgets/jscript
82 hxxps://www.adsonflags[.]com/js/show_ads_ecpmband.js
83 hxxp://www.agrkings[.]com/ads-api
84 hxxps://www.apps4shopify[.]com/header-notification-bar/assets/js/countdown.js
85 hxxp://www.caphyon-analytics[.]com/aws.js
86 hxxp://www.frompariswithhate[.]org/t.js
87 hxxp://www.hmailserver[.]in/iser/
88 hxxp://www.kanpianjs[.]top/dy/home.js
89 hxxp://www.ournet-analytics[.]com/top20md.js
90 hxxp://www.rarstats[.]com/piwik.js
91 hxxp://www.seo101[.]net/apntrack.js
92 hxxp://www.spartan-ntv[.]com/tag/pera/nat.js
93 hxxp://www.takoashi[.]net/js/ConvertTree.js
94 hxxp://www.takoashi[.]net/js/CreateCommentsTree.js
95 hxxp://www.takoashi[.]net/js/CreateTrackBacksTree.js
96 hxxp://www.takoashi[.]net/js/CreateCategoryTree.js
97 hxxp://www.yys1982[.]com/468.js
98 hxxp://yourmsrp[.]com/piwik//piwik.js
99 hxxp://zirve100[.]com/CounterV4.js
100 hxxp://s.orange81safe[.]com/scr1_wrp.js
101 hxxp://stat.botthumb[.]com/piwik.js
102 hxxp://cdn.jquery[.]tools/latest.min.js
103 hxxp://js.sn00[.]net/00/17/93.js
104 hxxp://cleantds[.]in/coupe.php
105 hxxp://w5983.lb.wa-track[.]com/wa.js
106 hxxp://www.andrewandjack[.]com/untitledthemes/kinley/lite.js
107 hxxp://da.adsvcs[.]com/adsvcs/adsvcs.js
108 hxxp://st.stadsvc[.]com/stadsvc/stadsvc.js

 

以上 

 

 

更新履歴
2019年1月26日 初版作成