金融機関を装ったフィッシングについて(2019/12/25 暫定版)
はじめに
本記事は2019/12/25に暫定的に公開したものです。
完全版は別のURLで公開しておりますので、こちらもご覧ください。
金融機関を装ったフィッシング詐欺によるインターネットバンキングの不正送金がこの4カ月で急増しています。
11月の不正送金発生件数が573件、被害額が約7億7,600万円と、2012年以来最悪を記録したことを受けて、警察庁 サイバー犯罪対策プロジェクトが12月19日に注意喚起を公開しました。
記事中の不正送金事犯発生状況のグラフによると、8月に前月の倍の被害額、被害件数を記録した後、9月の1カ月間で昨年一年間に匹敵する被害額(4億円超)を記録するなど、急激に増加したことがわかります。
8月末以降、少なくとも6グループが国内の金融機関を装ったフィッシングサイトを手掛け、そのうち4グループがメールやSMSによるフィッシングサイトへ誘導を行っていたことが確認できています。
8月~12月の期間において同種の犯行を継続的に手掛けていた3グループについて、その特徴を見ていきたいと思います。
12月25日時点で、後述するグループAが29もの金融機関のフィッシングサイトを稼働させていることが確認できたため、グループAの詳細のみを記載した状態で本記事を先行して公開します。
グループB、グループCについては、日を改めて公開したいと思います。
各グループの概要
先ずは、各グループのザックリとした特徴を以下に記載します。
(比較のため、三井住友銀行のフィッシングサイトのキャプチャを掲載します)
グループA
SMSからフィッシングサイトに誘導する。
スマホのみをターゲットとしており、1サーバ上で複数金融機関のフィッシングサイトを稼働させ、時折内容が変更されるPC用のカモフラージュ画面を使用する点が特徴。
これまでターゲットとなった銀行:
- 三井住友銀行
- 三菱UFJ銀行
- みずほ銀行
- ゆうちょ銀行
- ジャパンネット銀行
- イオン銀行
- GMOあおぞらネット銀行
- 京都銀行
- りそな銀行
- 埼玉りそな銀行
- 関西みらい銀行
- 福岡銀行
- 琉球銀行
- 沖縄銀行
- 北海道銀行
フィッシングサイトの外観の一例:
グループB
メール、SMSからフィッシングサイトに誘導する。
スマホのみをターゲットとしており、固定的なPC用のカモフラージュ画面を使用。
フィッシングサイトを複数サーバに配置し、それらのサーバを隠ぺいする目的でリバースプロキシを使用する点が特徴。
インフラの違いから複数のグループに分かれている可能性あり。
9月後半に初めて観測され、その後継続的に活動を行っていたものの、12月5日頃から金融機関を騙ったフィッシングの活動は休止中。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
グループC
メールからフィッシングサイトに誘導する。
PC、スマホ双方をターゲットとする点が特徴的
今回の不正送金急増以前(3月頃)から銀行フィッシングを手掛けており、8月末に一旦終息したものの、11月から活動を再開中。
ターゲットとなった銀行:
グループD
SMSからフィッシングサイトに誘導する。
キャリア決済やカード情報の詐取を手掛けていたグループが10月上旬に一時的に銀行フィッシングを仕掛けていたものと思われる。
後述するグループFと共通点あり。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
グループE
フィッシングサイトへの誘導手段は未確認。
サイト閲覧時にお待ちくださいというメッセージを出す点が特徴的。
11/22~12/4の期間にフィッシングサイトを観測。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
グループF
佐川急便をテーマとしたAndroidマルウェアに感染した端末をフィッシングサイトに誘導するものと思われる。
グループDが使用していたフィッシングサイト、インフラを流用。
10月26日頃から観測。
ターゲットとなった銀行:
フィッシングサイトの外観の一例:
次に、これら各グループの最新の動向についてまとめてみます。
現在の銀行フィッシングの状況について
12月13日に三井住友銀行から一連のフィッシングに対する対抗措置が開始されました。
これは、ワンタームカード有効化後の利用開始を翌日1時まで保留するというものです。
有効な対抗措置だったためか、これ以降三井住友銀行をターゲットとしたフィッシングをほとんど見かけなくなりました。
これを受けてグループAは、新たに地方銀行をメインターゲットとした活動に移行しました。
しかし、12月19日に沖縄での被害がWebニュース等に掲載され世間がザワついたことが影響したのか、北海道銀行のフィッシングが観測されたのを最後に12月20日以降目立った活動が見られません。
2019年12月25日に再びグループAがフィッシングサイトを稼働させていることが確認できました。
この件については "各グループ詳細" の項目で触れたいと思います。
グループCについては引き続き活動を継続しており、12月23日、12月24日、12月25日にはジャパンネット銀行のフィッシングサイトに誘導するメールがばら撒かれています。
グループFについては、Androidマルウェア MoqHao に感染したAndroid端末からの誘導を狙ったものと思われますが、複数の金融機関を装ったフィッシングサイトの稼働が時折観測されています。
9月後半から活発に活動していたグループBは12月4日を最後に活動を休止しており、グループD、グループEは一時的な活動のみで現在では新たな活動を見ることはありません。
期間中特に活発な動きを見せていたグループA、グループBと合わせて、直近で活動が観測されているグループCについて詳細を見ていきたいと思います。
各グループ詳細
(カッコ()内は筆者の勝手な呼称)
グループA (yahulogin)
期間中最も活発な活動を行っていたのがグループAです。
そして、後発組の参入が9月末から始まったことを考えると、9月に発生した被害額、4億円の大半はこのグループに流れたものと思われます。
このグループは、元々クレジットカード情報の詐取やキャリア決済の悪用を狙ったフィッシングを国内で手掛けていました。
特にクレジットカード情報を狙ったフィッシングサイトには "セキュリティ安全手続きます" という不思議なキーワードが度々観測されています。
その当時のキャプチャをいくつかご紹介します。
彼らが最初に手掛けたと思われる三菱UFJ銀行のスキャン結果がurlscan.io に残っています。
スキャン日時は8月23日となっています。
一連の不正送金の急増は8月後半から始まったと推測できます。
彼らはその後複数の金融機関を騙ったフィッシングを手掛け、これまでに15もの金融機関を騙った活動が確認されています。
それぞれの画面キャプチャは以下の通りです。
彼らが仕掛けるフィッシングサイトには、同一サーバ上で複数ブランドを稼働するという傾向がありますが、各サイトの画像やCSS、jsなどのリソースを格納するフォルダ名に特徴があります。
10月中頃までは/static/yahulogin というフォルダ名を好んで使用していました。
10月13日頃には、トップページにdアカウントの偽ページを配置し、使用中の銀行を選択させた上で閲覧者を該当のフィッシングサイトに誘導するという構成変更が行われました。
各銀行フィッシングサイトはDoCoMoを模したドメインのサブディレクトリ配下に格納するという構成で、トップのdアカウントのフィッシングサイトは、このグループが銀行フィッシングを手掛ける前に使用していたものでした。
実際のディレクトリ構成は @KesaGataMe0 さんのツイートをご覧ください。
ID/PW/NW暗証番号入力後の各金融機関の口座登録サイト情報です。
— KesagataMe (@KesaGataMe0) 2019年10月16日
docomemo[.]com/japannetbank.co.jp →ジャパンネット
docomemo[.]com/bk.mufg.jp →三菱UFJ
docomemo[.]com/smbc.co.jp →三井住友
docomemo[.]com/jp-bank.japanpost.jp →ゆうちょ #Phishing #MUFG #SMBC #ゆうちょ銀行 pic.twitter.com/BwG8VtoRQI
展開に無理があることが明らかだったため、この方式は数日で姿を消しました。
その後、yahuloginの文言を使用することはなくなり、銀行名を示すディレクトリ名を使用するようになりました。
彼らのもう一つの特徴が、PC用のカモフラージュ画面の存在です。
彼らのターゲットはスマートフォンユーザであり、PCユーザは対象にしていませんでした。
UserAgentを検査し、ターゲットデバイスに該当しない場合にカモフラージュ画面を表示するというテクニックを使います。
このカモフラージュ画面はこれまで何度か変更されています。
グループAがフィッシングサイトに誘導する最新のSMSの文面をご紹介します。
12月25日の活動再開について
12月19日の北海道銀行のフィッシングを手掛けて以降、静かな状態を維持していたグループAが12月25日に新たな手法で29もの金融機関を装ったフィッシングサイトを稼働させていることが確認できました。
注目すべきは、過去観測されていなかった13件の新たな金融機関のフィッシングサイトが稼働している点です。
この13件は何れも地方銀行や信用金庫で、ワンタイムパスワードアプリを提供している金融機関でした。
更に、13件の金融機関は何れも関西地方の金融機関である点は見逃すことができません。
12月25日 15:00時点でフィッシングサイトの稼働が確認できている金融機関は以下の通りです。
- 池田泉州銀行
- 紀陽銀行
- 但馬銀行
- 南都銀行
- 尼崎信用金庫
- 大阪信用金庫
- 大阪シティ信用金庫
- 北おおさか信用金庫
- きのくに信用金庫
- 京都信用金庫
- 京都中央信用金庫
- 滋賀中央信用金庫
- 大和信用金庫
- 三菱UFJ銀行
- 三井住友銀行
- みずほ銀行
- りそな銀行
- 埼玉りそな銀行
- 関西みらい銀行
- ゆうちょ銀行
- イオン銀行
- ジャパンネット銀行
- GMOあおぞら銀行
- 住信SBIネット銀行
- 福岡銀行
- 京都銀行
- 北海道銀行
- 琉球銀行
- 沖縄銀行
今回は10月中旬に観測された手法を発展させたもので、dアカウント、Amazon、楽天の各フィッシングサイトをランディングページとし、ログイン後に金融機関を選択させた上で該当の金融機関のフィッシングページに遷移するというものでした。
金融機関のフィッシングサイトはサブディレクトリ配下に格納されるという構成を取ります。
詳細を見てみたいと思います。
各ランディングページは以下の通りです。
これらのランディングページで認証情報を入力しログインボタンを押下すると、金融機関を選択する画面に遷移します。
ここには11の金融機関がリストアップされていますが、ここに掲載されていない金融機関も含めて、29もの金融機関のフィッシングサイトがサブディレクトリで稼働しています。
これまで観測されたなかった13の金融機関のフィッシングサイトを見てみます。
先ほども触れましたが、今回新たにフィッシングサイトの存在が確認できた金融機関は何れも関西地方の金融機関です。
グループAは12月12日以降、福岡、沖縄、北海道といった地方を対象としたフィッシングを展開しています。
SNS等を見ても、異なる地方の住人に対して誤ってSMSが配信されたというような反応はなく、フィッシングのターゲットとなった金融機関の所在地近辺の住人に対してピンポイントでSMSが配信されているように見受けられます。
グループAの手元には住所と携帯電話番号がセットになった情報があり、地域を絞ったSMSの配信ができる状況にあるのではないかと推測します。
今回関西地方の金融機関がターゲットとなっているため、関西にお住いの方は十分にご注意頂ければと思います。
ここには書ききれなかったグループAの詳細情報は以下のTwitterスレッドをご参照下さい。
過去に SMBC TypeA の系統の銀行 #フィッシングサイト に関してチョロチョロとツイートしてきましたが、今後はこのスレッドに統一します。
— tike (@tiketiketikeke) 2019年12月9日
過去のスレッドをいくつか。
9月分https://t.co/EHYGprw6uM
まとめ
今回はグループAが大掛かりなフィッシングを仕掛けたため、急遽作成途中で公開しました。
他グループの詳細等については、また日を改めて公開したいと思います。
最後までご覧いただきありがとうございました。
以上
更新履歴
| 2019年12月25日 | 初版作成 |
| 2019年12月25日 | グループCの概要を修正 |
