Upgrade to Pro — share decks privately, control downloads, hide ads and more …

国内を標的とした 銀行フィッシング詐欺の分析

国内を標的とした 銀行フィッシング詐欺の分析

A9d51d95da85158a55fc5b80a80f1f4c?s=128

Kyushu Student Association

February 12, 2020
Tweet

More Decks by Kyushu Student Association

Other Decks in Technology

Transcript

  1. ©Internet Initiative Japan Inc. 国内を標的とした 銀行フィッシング詐欺の分析 株式会社インターネットイニシアティブ 九州支社 サイバーセキュリティサービス課 今井

  2. ©Internet Initiative Japan Inc. 今日のテーマ

  3. ©Internet Initiative Japan Inc. 今日のテーマ 昨年の8月末から続く銀行フィッシング詐欺のア クター分析についてお話しします。

  4. ©Internet Initiative Japan Inc. 銀行フィッシングとは

  5. ©Internet Initiative Japan Inc. 銀行フィッシングとは インターネットバンキングの操作に必要な情報 (認証情報など)を騙し取るフィッシング詐欺 盗み取った情報は被害者の口座から預金を引き 出す(不正送金)目的で悪用される 2016年8月を最後に一旦活動が沈静化したもの

    の、2018年12月に再度観測され、2019年8月 末から年末にかけて爆発的な被害が発生
  6. ©Internet Initiative Japan Inc. 不正送金事犯発生状況 (令和元年12月末時点) 105 件 6700万 441件

    4億800万 397件 5億1900万 573件 7億7600万 (件数不明) 5500万 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 被害件数 被害額 33件 3800万 31件 2600万 28件 2800万 17件 1900万 21件 3000万 56件 3500万 48件 3100万 以下の情報を元に算出 警察庁 「令和元年の犯罪情勢【暫定値】」 警察庁 サイバー犯罪対策プロジェクト 「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について」
  7. ©Internet Initiative Japan Inc. 爆発的な被害をもたらしたものは... ワンタイムパスワードアプリ

  8. ©Internet Initiative Japan Inc. ワンタイムパスワードアプリとは インターネットバンキングの安全性を高める目 的で導入された「ワンタイムパスワード」を生 成するアプリケーション ワンタイムパスワードアプリの利用を開始する ためには、利用者自身の情報との紐づけが必要

    犯行グループは利用者になりすましてワンタイ ムパスワードアプリを有効化し、不正送金に悪 用
  9. ©Internet Initiative Japan Inc. ワンタイムパスワードアプリとは インターネットバンキング

  10. ©Internet Initiative Japan Inc. 銀行フィッシングの手口

  11. ©Internet Initiative Japan Inc. 【◦◦銀行】お客様がご利用の口座が 不正利用されている可能性がありま す。口座一時利用停止、再開手続き: https://xxxxx.com/ 銀行フィッシングの一例

  12. ©Internet Initiative Japan Inc. 銀行フィッシングの一例

  13. ©Internet Initiative Japan Inc. 銀行公式サイト 確認番号 コールバック 銀行フィッシングの一例 店番 口座番号

    氏名 生年月日 電話番号 偽サイト 被害者 店番 口座番号 氏名 生年月日 電話番号 犯行グループ
  14. ©Internet Initiative Japan Inc. アクターについて

  15. ©Internet Initiative Japan Inc. アクターについて 昨年8月以降、少なくとも6グループが銀行 フィッシング詐欺を行っていました。 この中でも継続した活動が認められた3グループ (グループA~C)についてその特徴を見ていきま す。

  16. ©Internet Initiative Japan Inc. グループA (yahulogin (雅虎login))

  17. ©Internet Initiative Japan Inc. グループAの特徴 一連の銀行フィッシングを最初に手掛けた グループ フィッシングサイトへの誘導方法として SMS(ショートメッセージ)を使用 スマホのみをターゲットとし、ターゲットデバ

    イス以外からのリクエストを特徴的なカモフ ラージュ画面に誘導 HTML上のリソースパスとして “/static/yahulogin”を(一時期まで)使用
  18. ©Internet Initiative Japan Inc. グループAによる初期のフィッシングサイト グループAによる初期の銀行フィッシングサイト を urlscan.io で見てみます。 https://urlscan.io/

  19. ©Internet Initiative Japan Inc. グループAによる初期のフィッシングサイト 彼らの特徴の一つであるリソースパスを元に検索 します。

  20. ©Internet Initiative Japan Inc. グループAによる初期のフィッシングサイト 条件に該当するスキャン結果一覧

  21. ©Internet Initiative Japan Inc. グループAによる初期のフィッシングサイト 8月23日に初めて解析されたことがわかります

  22. ©Internet Initiative Japan Inc. グループAによる初期のフィッシングサイト リソース一覧から特徴的なリソースパスが確認でき ます。

  23. ©Internet Initiative Japan Inc. PC用カモフラージュ画面 彼らの特徴の一つであるPC用のカモフラージュ 画面を見てみます。 HTTPリクエストのUser-Agentヘッダを検査し、 ターゲットデバイス(iOS、Android)に該当しな い場合にカモフラージュ画面を表示するというも

    ので、9月から実装されました。 この実装は解析の回避を目的としたものだと思わ れます。
  24. ©Internet Initiative Japan Inc. PC用カモフラージュ画面(9月)

  25. ©Internet Initiative Japan Inc. PC用カモフラージュ画面(10月)

  26. ©Internet Initiative Japan Inc. PC用カモフラージュ画面(11月)

  27. ©Internet Initiative Japan Inc. PC用カモフラージュ画面(12月~)

  28. ©Internet Initiative Japan Inc. グループAの余罪 先ほどご説明したリソースパスから、銀行フィッシ ング以前に手掛けていたフィッシングサイトの存在 も確認できます。

  29. ©Internet Initiative Japan Inc. グループAの余罪

  30. ©Internet Initiative Japan Inc. グループAの余罪

  31. ©Internet Initiative Japan Inc. グループAの余罪

  32. ©Internet Initiative Japan Inc. グループAの余罪

  33. ©Internet Initiative Japan Inc. グループAの最近の状況 最大のターゲットであった某メガバンクの対抗措 置を受けて、信用金庫を含む地方銀行のフィッシ ングも手掛けるようになった。 1月に入って活動が停滞するかに見えたが、春節 (1月25日)以降活動が活発化。

    2月4日以降、福岡の某地方銀行を騙ったフィッシ ングを複数観測。 直近では三菱UFJ銀行、イオン銀行、三井住友銀 行のフィッシングサイトが稼働していることが確 認されている。
  34. ©Internet Initiative Japan Inc. 本日観測されたグループAのフィッシングサイト

  35. ©Internet Initiative Japan Inc. グループB (ceshi (测试))

  36. ©Internet Initiative Japan Inc. グループBの特徴 9月末から銀行フィッシングに参入 フィッシングサイトへの誘導方法として SMS(ショートメッセージ)とメールを併用 グループAと同様、特徴的なカモフラージュ画 面を使用

    HTML上のリソースパスとして “/ceshi/”を使用 Webサーバの隠ぺいを意図したインフラ構成 HTML上の入力フォームの要素名に中国語のピン インに類似した文字列を使用
  37. ©Internet Initiative Japan Inc. リソースパス

  38. ©Internet Initiative Japan Inc. フォーム要素名

  39. ©Internet Initiative Japan Inc. インフラ構成 グループBのフィッシングサイトのドメインの名 前解決を行うと... CNAMEレコードとして aaaa.cdns.vip という

    ホスト名が設定されています。
  40. ©Internet Initiative Japan Inc. インフラ構成 CNAMEに設定されたホストに直接アクセスする と...

  41. ©Internet Initiative Japan Inc. インフラ構成 Fikkerとは、中国製のリバースプロキシ/Webキャッ シュ用のソフトウェアであることがわかりました。 オリジンサーバ リバースプロキシ ユーザ

    ユーザ ユーザ
  42. ©Internet Initiative Japan Inc. インフラ構成 censys.io により前述したフォーム要素名からオ リジンサーバを検索します。 https://censys.io/

  43. ©Internet Initiative Japan Inc. インフラ構成 前述した特殊なフォーム要素名で検索を行うと、 米国にオリジンサーバがいることが確認できまし た。

  44. ©Internet Initiative Japan Inc. インフラ構成 Censys.ioで検索したサーバのSSLサーバ証明書 には偽サイトのFQDNがコモンネームに設定され ていました。

  45. ©Internet Initiative Japan Inc. インフラ構成 グループBのインフラの変遷

  46. ©Internet Initiative Japan Inc. PC用カモフラージュ画面

  47. ©Internet Initiative Japan Inc. グループBの最近の状況 グループAとは異なり、某メガバンクの対抗措置 の後は一時撤退。クレジットカード情報を狙った フィッシングに移行。 2月上旬にPayPayのフィッシング詐欺を展開した 後、銀行フィッシングの活動を再開した。

    2月12日現在、三井住友銀行のフィッシングサイ トが稼働していることが確認されている。
  48. ©Internet Initiative Japan Inc. 昨日と今日観測されたグループBのフィッシングサイト

  49. ©Internet Initiative Japan Inc. グループC (secret)

  50. ©Internet Initiative Japan Inc. グループCの特徴 昨年8月末以前も銀行フィッシングを手掛け ていたが、グループAの参入前に活動を停止 昨年10月半ばから活動を再開 PCとスマートフォン双方をターゲットとする HTMLの難読化を行う

    フィッシングサイトへの誘導方法としてメー ルを使用 ThinkPHPという中国産のフレームワークを使用
  51. ©Internet Initiative Japan Inc. HTMLの難読化

  52. ©Internet Initiative Japan Inc. HTMLの難読化 難読化を解く処理はJavaScriptとして実装されて います。

  53. ©Internet Initiative Japan Inc. HTMLの難読化 難読化を解くと、以下のようなコードが出力され ます。

  54. ©Internet Initiative Japan Inc. ThinkPHP 存在しないコンテンツをリクエストすると... ThinkPHPのエラー画面が表示されました。

  55. ©Internet Initiative Japan Inc. グループCの最近の状況 特定の金融機関を装ったフィッシングメールを 日々に配信中。 特定の金融機関をターゲットとして毎日決まった 時間にメールを配信し続けている。 1月中旬からはゆうちょ銀行を騙ったフィッシン

    グを継続中。
  56. ©Internet Initiative Japan Inc. 本日観測されたグループCのフィッシングサイト

  57. ©Internet Initiative Japan Inc. 今後の銀行フィッシングの展望 インターネットバンキングを利用したことがない 新規のユーザを狙ったフィッシング詐欺に代わ り、既存のユーザを狙ったフィッシングが継続す るものと思われる 昨年ほどの爆発的な被害は発生しないと思われる

    が、8月以前と同程度の被害額で推移する可能性 あり ただし、他グループよりも豊富な資金力があり研 究熱心なグループAには要注意。
  58. ©Internet Initiative Japan Inc. 今日のまとめ フィッシングサイトを早期に検知することで、 メール(SMS)配信前、もしくは配信中に注意喚起 を行うことが可能 フィッシング詐欺の犯行グループにはそれぞれ癖 があるため、次に何が来るかという予測が可能

    不審なメールやSMSを受け取った場合はTwitterで の情報提供をお願いします。(#フィッシングメー ル #詐欺メール)
  59. ©Internet Initiative Japan Inc. 最後に一言 ログイン画面に誘導するメール、SMSは全て詐欺だ と思ってください。 真偽を確かめようとした時点で負けです。 気になる時は、検索サイトやブックマークなどから 公式サイトを確認してください。

  60. ©Internet Initiative Japan Inc. ご清聴ありがとうございました!