東京地方検察庁の偽サイトを使用した特殊詐欺について
はじめに
2018年2月、東京地方検察庁の偽サイトを使用した特殊詐欺事件が各メディアで報じられました。
その後も同様の手口により金銭が窃取される事案が全国各地で発生しています。
ニュース記事などから入手可能な事案は以下の通りです。
発生日付 | 発生場所 | 被害者 | 被害額 | ソース |
2018年1月29日 ~ 2月13日 | 東京都内 | 30~40代の女性4人 | 約390万円 | 冒頭の記事 |
2018年3月 | 埼玉県所沢市 | 41歳の女性 | 350万円 | ※1 |
2018年3月 | 広島県廿日市市 | 30代の女性 | 不明 |
※2 |
2018年4月25日 | 埼玉県三郷市 | 33歳の女性 | 146万円 | ※1 |
2018年5月 | 鹿児島県内 | 女性 | 数十万円 | ※3 |
2018年5月25日 | 愛媛県伊方町 | 30代女性 | 100万円 | ※4 |
2018年6月4日 | 長崎県長崎市 | 30代女性 | 50万円 | ※5 |
2018年6月15日 | 静岡県沼津市 | 30代女性 | 約140万円 | ※6 |
2018年6月25日 | 青森県八戸市 | 30代女性 | 約100万円 | ※7 |
2018年7月17日 | 山形県山形市 | 30代女性 | 約100万円 | ※8 |
2018年11月30日 | 埼玉県和光市 | 38歳の女性 | 約199万円 | ※9 |
2019年3月18日 | 愛知県名古屋市中区 | 30代女性 | 148万円 | ※10 |
2019年4月10日 | 福岡県福岡市早良区 | 43歳の女性 | 100万円 | ※11 |
2019年5月8日 | 山梨県笛吹市 | 30代女性 | 50万円 | ※12 |
※1
※2
※3
https://www.city.satsumasendai.lg.jp/www/contents/1508631040318/files/3.pdf
※4
※5
※6
※7
※8
※9
※10
※11
※12
本記事では、東京地方検察庁の偽サイトを使用した特殊詐欺に関して現時点で確認できていることをまとめてみたいと思います。
東京地方検察庁の偽サイトについて
一連の特殊詐欺事件で使用されている東京地方検察庁の偽サイトは以下のような外観を持ちます。
一見すると本物のサイトと見分けがつきませんが、以下の2か所が本物サイトには存在しません。
一つ目はページ下部の[事件内容]リンク。
もう一つは画面右上の[調査中事件]リンクです。
[事件内容]リンクをクリックすると、架空のマネーロンダリング事件の内容を記載したPDFファイルがダウンロードされます。
上記画像は 2019年7月2日時点の最新版であり、以下の通り過去何度も更新されています。
日付 | 容疑者氏名(年齢) |
2018年2月16日 | 佐々木 一(37) |
2018年4月26日 | 高橋 誠(37) |
2018年6月18日 | 今井 優(37) |
2018年8月24日 | 田中 司(37) |
2019年2月11日 | 川本 優希(37) |
2019年2月11日 | 伊藤 真澄(37) |
2019年5月2日 | 米田 優希(37) |
2019年6月14日 | 島田 望(37) |
[調査中事件]リンクをクリックすると、今度は氏名と事件番号を入力させるフォームが登場します。
この入力フォームには適当な文字を入れたとしてもエラーが表示され、次に進むことができません。
ソースコードを見てみると、次に進むためのヒントがあります。
入力値を検証するための json ファイルが存在し、当該ファイルに定義された氏名と事件番号が入力値と一致する場合のみ、次の画面に遷移できるという仕掛けになっているようです。
json ファイル (../../data/source.json) には以下のような内容が定義されています。
※ 一部マスクしています。
ここで定義された、姓(lastname)、名(firstname)、事件番号(fhNum)を入力することで、先に進むことができます。
※ 確認する限り、事件番号は固定値(011046381849)で、姓名はいずれもUnicodeエスケープシーケンスで表現されています。
で、先に進むと、東京地方裁判所を模したハンコが押された”通達事項”なるページの登場です。
参考人の欄に、前頁で入力した氏名が表示される仕掛けになっています。
捜査に協力せよ、他言無用、正当な財産を所有することを証明せよ、と記載されています。
犯行の手口について
このような偽サイトを用意した上で、犯行グループは電話口で被害者を偽サイトに誘導し、フォームへの入力を促し、偽物の裁判所の文書を提示します。
被害者の口座が事件に使用されている可能性があり、口座凍結を回避するためには金融庁の口座に資金を移動することでその正当性を確認する必要がある、という何とも怪しげな文句で被害者に銀行口座の操作を実行させるようです。
実害には至らなかったものの、同様の手口に遭遇された方のブログが公開されています。
犯行グループは、『警視庁捜査一課』を名乗って、電話口でIPアドレスを伝えて偽サイトに誘導するようです。
(2018年秋以降は『警視庁捜査二課』を名乗っているようです。)
(2019/3/20 追記)
そして、犯人との電話でのやり取りを文字に起こして公開してくれている方もいました。
(これは面白い!)
(2019/3/20 追記終わり)
さらにTwitterではこんなツイートもありました。
050電話から警視庁捜査一課と名乗る人から電話かかって来た。相手の詐欺野郎、私のフルネーム知ってた。キモっ。
— ようこ (@youko11102000) June 25, 2018
情報提供してきた!
— 黒柴の徹子 (@tetsuko_shiba) June 27, 2018
内容はほぼコレ。
検察庁のコピーサイトに誘導して、実名が記載されている事件ページ?を見せつつ、預金を金融庁の査察用口座に移すよう言ってくる。
こんなこと考えて実行する頭があるなら他のことに役立てて稼いでは?https://t.co/gzIh2xs3lW
無理やり駆け足でまとめ
この偽サイトは常時公開されている訳ではなく、サイトを閉じた状態で前述の json ファイルを更新し、偽サイトをオープンな状態にした上で架電するという段取りを踏んでいるように見えます。
サイトが開いているのは、平日の午前10時~午後1時の時間帯が多いようです。
前述の報道内容から、ターゲットは30代~40代の女性であり、犯行グループはターゲットの氏名と連絡先を把握した上で攻撃を仕掛けてくるように見受けられます。
偽サイトのIPアドレスは時折変更されるようで、監視の目を掻い潜ろうとしているかのように見えます。
これまで以下のIPアドレスで公開されていた形跡が確認できています。
174.139.183.242
67.229.156.106
67.229.62.12
67.198.226.27
67.198.226.26
98.126.80.229
174.139.79.218
174.139.79.219
174.139.79.220
174.139.79.221
174.139.79.222
67.198.169.186
67.198.169.187
67.198.169.188
67.198.169.189
67.198.169.190
98.126.9.218
98.126.9.219
98.126.9.220
98.126.9.221
98.126.9.222
98.126.24.146
98.126.24.147
98.126.24.148
98.126.24.149
98.126.24.150
174.139.100.66
174.139.100.69
174.139.100.70
98.126.74.106
98.126.74.107
98.126.74.108
98.126.74.109
98.126.74.110
98.126.9.218
98.126.9.219
98.126.9.220
98.126.9.221
98.126.9.222
98.126.108.218
98.126.108.219
98.126.108.220
98.126.108.221
98.126.108.222
98.126.187.50
98.126.187.51
98.126.187.52
98.126.187.53
98.126.187.54
98.126.205.50
98.126.205.51
98.126.205.52
98.126.205.53
98.126.205.54
98.126.1.58 (2019年7月現在活動中)
98.126.1.59 (2019年7月現在活動中)
98.126.1.60 (2019年7月現在活動中)
98.126.1.61 (2019年7月現在活動中)
98.126.1.62 (2019年7月現在活動中)
98.126.9.218 (2019年7月現在活動中)
98.126.9.219 (2019年7月現在活動中)
98.126.9.220 (2019年7月現在活動中)
98.126.9.221 (2019年7月現在活動中)
98.126.9.222 (2019年7月現在活動中)
何れも AS35908(Krypt Technologies) 配下のIPアドレスです。
(2019/3/12 追記)
2019年3月12日現在、新たに以下の5件のIPアドレスで東京地方検察庁の偽サイトが稼働していることが確認できました。
98.126.24.146
98.126.24.147
98.126.24.148
98.126.24.149
98.126.24.150
2018年2月の時点で、それまで活動中であった偽サイトが全てメンテナンス中のステータスとなりましたが、その際の状況を記載しておきます。
メンテナンス中のサイトにアクセスすると、以下の画面が表示されます。
さらに、通達事項のページにアクセスすると、ファイルが存在しないというエラー画面が表示されます。
一旦は沈静化したと思われましたが、新たな偽サイトが稼働を始めたことで、活動が再開する可能性があります。
また、これまでは平日日中帯にのみ偽サイトが稼働していましたが、2019年3月3日現在は日曜日の16時台に偽サイトが稼働していることが確認できたため、なりすまし電話を行う時間帯も変化する可能性があります。
引き続きご注意ください。
(2019/3/12追記 終り)
これだけは憶えておきましょう
『050』番号からの『警視庁捜査一課』もしくは『警視庁捜査二課』を名乗る電話は詐欺です。
ハンコ付きのWebページには何の効力もありません。
電話で人の口座を操作するなんぞ、失礼極まりありません。
知らない人からの電話は疑ってかかりましょう。
その他気になること(メモ)
本記事で取り上げた東京地方検察庁の偽サイトには、少し違和感を覚える特徴があります。
そのような点をメモとして残しておきます。
1. ルートディレクトリにアクセスした際に応答に含まれるmeta refreshのコメント
偽サイトのルートディレクトリにアクセスすると、以下の応答が返ってきます。
これにより、被害者にIPアドレスのみでアクセスさせ、偽サイトが存在するディレクトリに誘導するということを行っているようです。
気になるのは、metaタグの直前の中国語のコメントです。
この中国語は「以下の方法で他のページに移動」 という意味で、中国語で記載された初心者向けのHTML入門サイトでよく見るコメントです。
中国語を理解する人物が、うっかりコメント込みでコピペした結果とも考えられます。
2. 架空の事件を記載したPDFファイルのタイムスタンプ
架空のマネーロンダリング事件の内容を記載したPDFファイルは何れもWPS Officeで作成されているようです。
作成日付を確認すると、2018年6月版がGMT+4、2018年4月版がGMT+5の日時となっています。
このタイムゾーンの違いは、国外で作成されたものである可能性を感じさせます。
最後に
ザッと駆け足で書いたため、読みづらい点、まとまっていない点が多々あるかと思います。ご容赦ください。
また、本記事に記載した情報はTwitterで以下の方々とのやり取りの中で収集したものです。心より感謝致します。
@CheenaBlog
@NaomiSuzuki_
@58_158_177_102
@v_avenger
@catnap707
@tadmaddad
以上
更新履歴
2019年7月15日偽サイトのIPアドレスと架空の事件を示すPDFの内容を更新。
2018年7月3日 | 初版作成 |
2018年7月8日 | 事件一覧の追加、その他気になること(メモ)の追加、謝辞追加、その他文言修正。 |
2018年7月29日 | 事件一覧を更新。 |
2018年9月8日 | リンク切れの修正、事件内容PDFの更新。 |
2018年10月22日 | 偽サイトのIPアドレスを更新。 |
2018年10月31日 | 偽サイトのIPアドレスを更新。 |
2018年12月14日 | 事件一覧を更新、偽サイトのIPアドレスを更新。 |
2019年2月18日 | 2018年12月時点でアクティブだった5IPアドレスがメンテナンス中のステータスになったことを追記。 |
2019年3月3日 | 偽サイトのIPアドレスを更新。 |
2019年3月12日 | 偽サイトのIPアドレスを更新。 |
2019年3月20日 | 事件一覧の追加、@sakefrake さんのブログを追加。 |
2019年4月12日 | 事件一覧を更新。 |
2019年5月13日 | 事件一覧の追加、偽サイトIPアドレスの更新、謝辞追加、その他文言修正。 |
2019年5月29日 | 偽サイトのIPアドレスを更新。 |
2019年7月15日 | 偽サイトのIPアドレス、PDFファイルの内容を更新。 |