tike blog

セキュリティで気になった事をダラダラと。

東京地方検察庁の偽サイトを使用した特殊詐欺について

 

 

 

はじめに

 

 

 

2018年2月、東京地方検察庁の偽サイトを使用した特殊詐欺事件が各メディアで報じられました。

 

 

www.itmedia.co.jp


 

 

その後も同様の手口により金銭が窃取される事案が全国各地で発生しています。

ニュース記事などから入手可能な事案は以下の通りです。

 

発生日付 発生場所 被害者 被害額 ソース
2018年1月29日 ~ 2月13日 東京都内 30~40代の女性4人 約390万円 冒頭の記事
2018年3月 埼玉県所沢市 41歳の女性 350万円 ※1
2018年3月 広島県廿日市市 30代の女性 不明

※2

2018年4月25日 埼玉県三郷市 33歳の女性 146万円 ※1
2018年5月 鹿児島県内 女性 数十万円 ※3
2018年5月25日 愛媛県伊方町 30代女性 100万円 ※4
2018年6月4日 長崎県長崎市 30代女性 50万円 ※5
2018年6月15日 静岡県沼津市 30代女性 約140万円 ※6
2018年6月25日 青森県八戸市 30代女性 約100万円 ※7
2018年7月17日 山形県山形市 30代女性 約100万円 ※8
2018年11月30日 埼玉県和光市 38歳の女性 約199万円 ※9
2019年3月18日 愛知県名古屋市中区 30代女性 148万円 ※10
2019年4月10日 福岡県福岡市早良区 43歳の女性 100万円 ※11
2019年5月8日 山梨県笛吹市 30代女性 50万円 ※12

 

※1

www.asahi.com

 

※2

https://www.com-net2.city.hiroshima.jp/sagotani/%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B/%E3%81%BE%E3%81%A1%E3%81%AE%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B/?action=common_download_main&upload_id=1757

 

※3

https://www.city.satsumasendai.lg.jp/www/contents/1508631040318/files/3.pdf

 

※4

www.sankei.com

 

※5

www.asahi.com

 

※6

www.chunichi.co.jp

 

※7

www.gaccom.jp

 

※8

www.gaccom.jp

 

※9

www.saitama-np.co.jp

 

※10

 

tokai-tv.com

 

※11

www.nishinippon.co.jp

 

※12

www3.nhk.or.jp

 

 

本記事では、東京地方検察庁の偽サイトを使用した特殊詐欺に関して現時点で確認できていることをまとめてみたいと思います。

 

 

 

東京地方検察庁の偽サイトについて

 

 

 

一連の特殊詐欺事件で使用されている東京地方検察庁の偽サイトは以下のような外観を持ちます。

 

f:id:tiketiketikeke:20180701231534p:plain

 

 

 一見すると本物のサイトと見分けがつきませんが、以下の2か所が本物サイトには存在しません。

 

 

一つ目はページ下部の[事件内容]リンク。

 

 

f:id:tiketiketikeke:20180701232324p:plain

 

 

もう一つは画面右上の[調査中事件]リンクです。

 

f:id:tiketiketikeke:20180701232754p:plain

 

 

 

[事件内容]リンクをクリックすると、架空のマネーロンダリング事件の内容を記載したPDFファイルがダウンロードされます。

 

 

 

 

f:id:tiketiketikeke:20190715155408p:plain



 

上記画像は 2019年7月2日時点の最新版であり、以下の通り過去何度も更新されています。

 

日付 容疑者氏名(年齢)
2018年2月16日 佐々木 一(37)
2018年4月26日 高橋 誠(37)
2018年6月18日 今井 優(37)
2018年8月24日 田中 司(37)
2019年2月11日 川本 優希(37)
2019年2月11日 伊藤 真澄(37)
2019年5月2日 米田 優希(37)
2019年6月14日 島田 望(37)

 

 

 

[調査中事件]リンクをクリックすると、今度は氏名と事件番号を入力させるフォームが登場します。

 

 

f:id:tiketiketikeke:20180702230926p:plain

 

 

この入力フォームには適当な文字を入れたとしてもエラーが表示され、次に進むことができません。

 

ソースコードを見てみると、次に進むためのヒントがあります。

 

 

f:id:tiketiketikeke:20180702231713p:plain

 

 

入力値を検証するための json ファイルが存在し、当該ファイルに定義された氏名と事件番号が入力値と一致する場合のみ、次の画面に遷移できるという仕掛けになっているようです。

 

 

json ファイル (../../data/source.json) には以下のような内容が定義されています。

※ 一部マスクしています。

 

 

f:id:tiketiketikeke:20180702232910p:plain

 

 

ここで定義された、姓(lastname)、名(firstname)、事件番号(fhNum)を入力することで、先に進むことができます。

※ 確認する限り、事件番号は固定値(011046381849)で、姓名はいずれもUnicodeエスケープシーケンスで表現されています。

 

で、先に進むと、東京地方裁判所を模したハンコが押された”通達事項”なるページの登場です。

 

 

 

f:id:tiketiketikeke:20180702234002p:plain

 

 

 

参考人の欄に、前頁で入力した氏名が表示される仕掛けになっています。

捜査に協力せよ、他言無用、正当な財産を所有することを証明せよ、と記載されています。

 

 

犯行の手口について

 

 

このような偽サイトを用意した上で、犯行グループは電話口で被害者を偽サイトに誘導し、フォームへの入力を促し、偽物の裁判所の文書を提示します。

被害者の口座が事件に使用されている可能性があり、口座凍結を回避するためには金融庁の口座に資金を移動することでその正当性を確認する必要がある、という何とも怪しげな文句で被害者に銀行口座の操作を実行させるようです。

 

 

実害には至らなかったものの、同様の手口に遭遇された方のブログが公開されています。

 

 

ameblo.jp

 

 

 犯行グループは、『警視庁捜査一課』を名乗って、電話口でIPアドレスを伝えて偽サイトに誘導するようです。

 

(2018年秋以降は『警視庁捜査二課』を名乗っているようです。)

 

 

(2019/3/20 追記)

 

そして、犯人との電話でのやり取りを文字に起こして公開してくれている方もいました。

(これは面白い!)

sake.pupu.jp

 

 (2019/3/20 追記終わり)

 

 

さらにTwitterではこんなツイートもありました。

 

 

 

 

 

無理やり駆け足でまとめ

 

この偽サイトは常時公開されている訳ではなく、サイトを閉じた状態で前述の json ファイルを更新し、偽サイトをオープンな状態にした上で架電するという段取りを踏んでいるように見えます。

サイトが開いているのは、平日の午前10時~午後1時の時間帯が多いようです。

 

前述の報道内容から、ターゲットは30代~40代の女性であり、犯行グループはターゲットの氏名と連絡先を把握した上で攻撃を仕掛けてくるように見受けられます。

 

偽サイトのIPアドレスは時折変更されるようで、監視の目を掻い潜ろうとしているかのように見えます。

これまで以下のIPアドレスで公開されていた形跡が確認できています。

 

174.139.183.242
67.229.156.106
67.229.62.12
67.198.226.27
67.198.226.26
98.126.80.229
174.139.79.218
174.139.79.219
174.139.79.220
174.139.79.221
174.139.79.222
67.198.169.186
67.198.169.187
67.198.169.188
67.198.169.189
67.198.169.190
98.126.9.218
98.126.9.219
98.126.9.220
98.126.9.221
98.126.9.222
98.126.24.146
98.126.24.147
98.126.24.148
98.126.24.149
98.126.24.150
174.139.100.66
174.139.100.69
174.139.100.70
98.126.74.106
98.126.74.107
98.126.74.108
98.126.74.109
98.126.74.110
98.126.9.218
98.126.9.219
98.126.9.220
98.126.9.221
98.126.9.222
98.126.108.218
98.126.108.219
98.126.108.220
98.126.108.221
98.126.108.222
98.126.187.50
98.126.187.51
98.126.187.52
98.126.187.53
98.126.187.54
98.126.205.50
98.126.205.51
98.126.205.52
98.126.205.53
98.126.205.54
98.126.1.58 (2019年7月現在活動中)
98.126.1.59 (2019年7月現在活動中)
98.126.1.60 (2019年7月現在活動中)
98.126.1.61 (2019年7月現在活動中)
98.126.1.62 (2019年7月現在活動中)
98.126.9.218 (2019年7月現在活動中)
98.126.9.219 (2019年7月現在活動中)
98.126.9.220 (2019年7月現在活動中)
98.126.9.221 (2019年7月現在活動中)
98.126.9.222 (2019年7月現在活動中)

 

 

 

何れも AS35908(Krypt Technologies) 配下のIPアドレスです。

 

 

(2019/3/12 追記)

 

2019年3月12日現在、新たに以下の5件のIPアドレス東京地方検察庁の偽サイトが稼働していることが確認できました。

 

98.126.24.146
98.126.24.147
98.126.24.148
98.126.24.149
98.126.24.150

 

2018年2月の時点で、それまで活動中であった偽サイトが全てメンテナンス中のステータスとなりましたが、その際の状況を記載しておきます。

 

メンテナンス中のサイトにアクセスすると、以下の画面が表示されます。

 

 

f:id:tiketiketikeke:20190218235414p:plain

 

 

さらに、通達事項のページにアクセスすると、ファイルが存在しないというエラー画面が表示されます。

 

 

f:id:tiketiketikeke:20190218235520p:plain

 

一旦は沈静化したと思われましたが、新たな偽サイトが稼働を始めたことで、活動が再開する可能性があります。

また、これまでは平日日中帯にのみ偽サイトが稼働していましたが、2019年3月3日現在は日曜日の16時台に偽サイトが稼働していることが確認できたため、なりすまし電話を行う時間帯も変化する可能性があります。

引き続きご注意ください。

 

 

 (2019/3/12追記 終り)

 

  

これだけは憶えておきましょう

 

 

『050』番号からの『警視庁捜査一課』もしくは『警視庁捜査二課』を名乗る電話は詐欺です。

 

ハンコ付きのWebページには何の効力もありません。

 

電話で人の口座を操作するなんぞ、失礼極まりありません。

 

知らない人からの電話は疑ってかかりましょう。

 

 

その他気になること(メモ)

 

 

本記事で取り上げた東京地方検察庁の偽サイトには、少し違和感を覚える特徴があります。

そのような点をメモとして残しておきます。

 

1. ルートディレクトリにアクセスした際に応答に含まれるmeta refreshのコメント

 

偽サイトのルートディレクトリにアクセスすると、以下の応答が返ってきます。

 

f:id:tiketiketikeke:20180708180818p:plain

 

これにより、被害者にIPアドレスのみでアクセスさせ、偽サイトが存在するディレクトリに誘導するということを行っているようです。

 

気になるのは、metaタグの直前の中国語のコメントです。

この中国語は「以下の方法で他のページに移動」 という意味で、中国語で記載された初心者向けのHTML入門サイトでよく見るコメントです。

中国語を理解する人物が、うっかりコメント込みでコピペした結果とも考えられます。

 

 

2. 架空の事件を記載したPDFファイルのタイムスタンプ
 

架空のマネーロンダリング事件の内容を記載したPDFファイルは何れもWPS Officeで作成されているようです。

作成日付を確認すると、2018年6月版がGMT+4、2018年4月版がGMT+5の日時となっています。

 

このタイムゾーンの違いは、国外で作成されたものである可能性を感じさせます。

 

 

最後に

 

ザッと駆け足で書いたため、読みづらい点、まとまっていない点が多々あるかと思います。ご容赦ください。

 

また、本記事に記載した情報はTwitterで以下の方々とのやり取りの中で収集したものです。心より感謝致します。

 

@CheenaBlog
@NaomiSuzuki_
@58_158_177_102
@v_avenger
@catnap707
@tadmaddad

 

 

以上 

 

 

更新履歴

2019年7月15日偽サイトのIPアドレスと架空の事件を示すPDFの内容を更新。

2018年7月3日 初版作成
2018年7月8日 事件一覧の追加、その他気になること(メモ)の追加、謝辞追加、その他文言修正。
2018年7月29日 事件一覧を更新。
2018年9月8日 リンク切れの修正、事件内容PDFの更新。
2018年10月22日 偽サイトのIPアドレスを更新。
2018年10月31日 偽サイトのIPアドレスを更新。
2018年12月14日 事件一覧を更新、偽サイトのIPアドレスを更新。
2019年2月18日 2018年12月時点でアクティブだった5IPアドレスがメンテナンス中のステータスになったことを追記。
2019年3月3日 偽サイトのIPアドレスを更新。
2019年3月12日 偽サイトのIPアドレスを更新。
2019年3月20日 事件一覧の追加、@sakefrake さんのブログを追加。
2019年4月12日 事件一覧を更新。
2019年5月13日 事件一覧の追加、偽サイトIPアドレスの更新、謝辞追加、その他文言修正。
2019年5月29日 偽サイトのIPアドレスを更新。
2019年7月15日 偽サイトのIPアドレス、PDFファイルの内容を更新。