フィッシング
国内金融機関利用者を狙うフィッシング詐欺をJC3と共同調査
トレンドマイクロのサイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センターでは、一般財団法人日本サイバー犯罪対策センター(JC3)及びその会員企業と協力し、フィッシング詐欺グループの分析を行っております。この度、これまでの調査結果について弊社およびJC3から発表することに合わせ、本ブログ記事では調査を通じて分類された国内金融機関を騙るフィッシングサイトの二大勢力についてその特徴を報告いたします。
トレンドマイクロのサイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センターでは、一般財団法人日本サイバー犯罪対策センター(JC3)及びその会員企業と協力し、フィッシング詐欺グループの分析を行っております。この度、これまでの調査結果について弊社およびJC3から発表することに合わせ、本ブログ記事では調査を通じて分類された国内金融機関を騙るフィッシングサイトの二大勢力についてその特徴を報告いたします。
図1:2020年に本調査で特定したフィッシングサイトのグループ別ドメイン数※
※ 本調査で確認したフィッシングサイト834ドメインを2021年4月の段階で整理 ダイナミックDNSサービスを悪用したフィッシングサイトはサービス種類毎に1ドメインとしてカウント
これまでの共同調査では、主に銀行などの金融機関を騙ったフィッシング詐欺グループをBP(Bank Phishing)、主にクレジットカード会社を騙ったフィッシング詐欺グループをCP(Credit card Phishing)、主に携帯電話会社を騙ったフィッシング詐欺グループをMP(Mobile Phishing)、その他識別符号窃取を狙ったフィッシング詐欺グループをIP(Identity Phishing)として、分類しナンバリングを行っています。2020年までの本調査ではフィッシングサイトの特徴から、全体で約50グループ、そのうちBPは10グループ以上、CPは20グループ以上に分類されました。今回はこれらの分類の中から、金融機関を狙ったBP系のうち特に多くの被害を及ぼしているBP1とBP6に焦点を絞り、その特徴をお伝えします。2020年の本調査の中では、BP1が255ドメイン、BP6が229ドメインのフィッシングサイトを稼働させていたことを観測しています。
BP1の特徴
BP1は下記の特徴があるフィッシンググループです。
フィッシングサイト・誘導手法の特徴
- 調査中に確認したグループの中で最も多くの金融機関を偽装している
- 金融機関を騙るSMSを使用してフィッシングサイトへ誘導する。2020年12月からはBP6が配布しているマルウェアが送信するSMSでBP1のサイトへの誘導事例を確認
- 大手銀行、地方銀行など多数の金融機関を標的とするがサイトの作りが共通している
- 同じドメインを使いまわし、時間帯によって表示される銀行のページが異なる
- 国内モバイル端末利用者を標的としており、PCやアクセス元が国外であると偽ページを表示し、検知回避を行う
規模
- 期間中に偽装した組織数がBPグループの中で最多
活動
- 少なくとも2019年8月末頃から国内金融機関利用者を狙ったフィッシング詐欺活動を観測
標的
- 大手銀行
- 信用金庫/地方銀行
- ネット銀行
- クレジットカード
- 携帯電話会社
- eコマース
BP1のフィッシングサイトではアクセス元の条件により、一般サイトを模した無害な「偽ページ」が表示される特徴があります。まず、PCからのアクセスの場合、もしくは、日本国外のIPからのアクセスの場合、偽ページを表示します。これは裏返すと、フィッシング詐欺の対象として日本国内のモバイル利用者を狙っていることを表していると言えます。また、同じIPアドレスから複数回続けてアクセスされた場合も偽ページを表示することがあります。これは、調査や追跡のアクセスを避けようとする意図があるものと考えられます。
偽ページは2019年11月から2021年2月初旬までに計3種類観測しています。偽ページの内容は、無関係のWebサイトのコンテンツをコピーして加工し作成されたものだと思われ、標的としているフィッシングサイトとは関連の無い内容が表示されます。
| バス駐車場予約システム案内の偽ページ 2019年11月初旬~2020年5月初旬 |
 |
| 事業紹介の偽ページ 2019年11月下旬~2019年12月中旬 |
 |
| 不正アクセス対策に関する偽ページ 2019年12月中旬~ (今回の調査期間後となる2021年3月中旬まで確認) |
 |
表:2020年に確認したBP1の偽ページ一覧
下図はBP1の偽ページが表示されるドメインの流れを可視化したものです。調査では一部のドメインで異なる偽ページの内容が表示されたことが分かり、フィッシング詐欺グループが手法を変化させていることが分かります。
図2:BP1偽ページを観測したドメインの関係性
異なる金融機関を標的とするフィッシングサイトであっても、その作りは共通している部分があり、同じフィッシング詐欺グループによるものと判断しています。
図3:BP1の金融機関を騙るフィッシングサイトソースには別の金融機関が標的でも共通する部分がある
BP1は同じドメインを使いまわし、複数の金融機関を標的にすることを確認しています。下図は同じドメインで稼働していたフィッシングサイトにおいて、標的の金融機関別に色分けして図示したものですが、同じ日の時間帯に応じて標的を切り替えていることがわかります。
図4:時間帯によってフィッシングサイトの標的が切り替わる例
金融機関を狙うフィッシンググループの中で最も多くの金融機関に偽装しており、観測したドメイン数も最多であり、最も活動を警戒する必要があるグループの1つです。BPグループの標的数量を可視化した結果を下図に示します。図では、観測した標的種類(なりすました企業数)が多いほど円を大きく表示しています。
図5:主なBPグループの標的数量を可視化
BP6
BP6は下記の特徴があるフィッシンググループです。
フィッシングサイト・誘導手法の特徴
- Androidマルウェア「XLOADER(別名:Moqhao)」との関連が高いフィッシングサイトを設置している
- XLOADER感染時にこのグループのサイトに誘導される
- XLOADER感染端末が発するSMS(不在通知を装った内容など)から誘導する
規模
- 期間中の設置しているフィッシングドメイン数はBP1の次に多く、偽装している組織数も上位3位以内である
活動
- 少なくとも2019年10月頃から、国内金融機関利用者を狙ったフィッシング詐欺活動を観測
標的
- 大手銀行
- ネット銀行
- クレジットカード
- 携帯電話会社
- 消費者金融
- eコマース
- 宅配事業者
BP6はAndroidマルウェア「XLOADER(別名:Moqhao)」と関連が深いと考えられるフィッシング詐欺グループです。XLOADER感染端末が送信するSMSに記載されるURLには、フィッシングサイトが直接記載されるのではなく、フィッシングサイトに誘導するためのリダイレクターが記載されることがあります。リダイレクターとして、正規のダイナミックDNSサービスが悪用される事例を観測しています。このリダイレクターは、頻繁に切り替えて検知を逃れる目的と、誘導先のフィッシングサイトがダウンした場合に別の誘導先に切り替えることが出来る利点があることから、サイバー犯罪者にとって都合の良い手法になっているものと推測されます。
図6:BP6のリダイレクターにより誘導するフィッシングサイトの可視化
図7:BP6のリダイレクターによりフィッシングサイトへ誘導開始する状況
図8:BP6リダイレクターの難読化されたJavaScriptの一例
2020年12月からXLOADERを経由し、BP6のフィッシングサイトではなくBP1のフィッシングサイトへ誘導する事例を多数確認しています。このことから、BP6とBP1は協力関係にあるグループ、もしくは同一のグループであると考えられます。
図9:BP6リダイレクターからBP1フィッシングサイトへ誘導されるケースを可視化
BP6は、BP1と同じく国内金融機関を狙うフィッシング詐欺グループの中で最も活動が盛んなグループの1つであり、調査期間中に最も多くの不正ドメインを設置していることが確認できています。当社としても、BP1とBP6、両グループの協力関係の動向を注視しています。
BP1とつながりがある可能性のあるグループ
BP1は金融機関を中心としたフィッシング詐欺を行っているグループだと考えていましたが、2020年7月中旬に確認されたフィッシングサイトでは、大手eコマースサイトを騙るフィッシングサイトにてBP1の特徴の1つである偽ページを確認しました。そのため、当社ではBP1と関連があるグループまたは同一のグループであると考えています。
大手eコマースサイトを騙るフィッシングサイトのサイトソースには固有の特徴があり、同じ特徴を持つフィッシングサイトは非常に多く稼働しています。
図10:大手eコマースサイトを騙ったフィッシングサイトの特徴ある部分
仮にBP1と大手eコマースサイトを騙るフィッシングサイトのグループが同じだと考えると、同じドメインを利用してクレジットカード会社を騙るフィッシング詐欺も確認していることから、BP1はクレジットカード情報を主な標的としている、非常に多くのCPグループとつながりがある、もしくは同一の巨大なグループの可能性があると考えています。
図11:BP1と関係がある可能性があるフィッシング詐欺グループを可視化
フィッシングサイトの模倣と効率化
フィッシングサイトに残された痕跡から、標的としている正規サイトからデータをコピーして、変更しフィッシングサイトを作成していることがうかがえます(図:)。このようにフィッシングサイトは、正規サイトのデータを元にフィッシングサイトを構築していることが多いため、見た目から見抜くことは不可能だと言えるでしょう。
図12: 正規サイトからデータをコピーしたことを示す痕跡の一例 (BP6が設置したとみられる詐欺サイト)※
※本調査中に確認したフィッシングサイトの情報から抜粋。”saved from url=”から始まる文字列は、特定のWebブラウザでWebサイトを保存した際に付加されるという特徴があり、フィッシングサイト構築者が正規Webサイトを保存したとみられる。
また以下の図は正規サイトからのコピーだけではなく、不審なサイトからコピーしてフィッシングサイトを複製していると思われるケースを示しています。これらはサイバー犯罪者がフィッシングサイト構築の効率化を図り、正規サイトだけでなく他の不審サイトからもコピーを行っていることを表す痕跡と言えます。
図13: 別の不審サイトからデータをコピーしたことを示す痕跡(BP6が設置したとみられる事例)※
※本調査中に確認されたフィッシングサイトの情報から抜粋。”HTTrack”が含まれる文字列は、オープンソースのWebサイトコピーツール「HTTrack」でWebサイトを保存した際に付加される。
国内のクレジットカード会社を騙ったフィッシングサイトから、フィッシングキット(フィッシングサイトの構築ツール)を使用したと見られる痕跡が見つかっています。BPグループにおいても特徴あるファイルのパスが複数フィッシングサイト間で共通する、トップページの標的ブランド以外のブランドを狙ったページが残存しているケースを確認しています。このことから、BPグループにおいてもフィッシングキットまたは構築したフィッシングサイトの使い回しをして効率化を図っていると思われます。
図14:国内のクレジットカード会社を騙ったフィッシングサイトから見つかったフィッシングキットの痕跡例
被害に遭わないためには
フィッシング詐欺の被害に遭わないためには、まず落ち着いて行動することが重要です。
フィッシング詐欺グループが送信するSMSやメールは「口座に対し、第三者からの不正なアクセスを検知しました」「セキュリティ強化のため、更新手続きをお願いします」等と称して、インターネット利用者を不安に陥れて貴重な財産を窃取しようと昼夜問わず目論んでいます。
ID、パスワード、口座番号、クレジットカード番号等の秘密情報・個人情報を入力する場合は、面倒であっても一旦手を止めて入力しようとしているWebサイトが本物なのかどうか、確認することを心掛けましょう。
具体的には、以下の点に注意してください。
フィッシングサイトは正規サイトをコピーして作られることが多いため、見た目で見分けることは不可能と考えてください
多くのフィッシングサイトがHTTPSで稼働していることを確認しています。HTTPSであるかどうかで正規サイトかどうかを判断しないでください
金融機関のサイトを利用する場合には、SMSで示されるリンクをクリックして直接アクセスせず、ブックマークからアクセスを行うことを検討してください。もしくはご利用している金融機関が専用アプリを提供する場合は、そちらの利用を検討してください
ID、パスワード、口座番号、クレジットカード番号等の秘密情報・個人情報を入力する場合は、必ず入力前にURLを確認して普段ご利用している金融機関のドメインと一致するか確認してください。フィッシング詐欺グループによっては、必要な情報を窃取した後に、正規サイトにリダイレクトして盗まれたことに気づかれないようにしようとするものがあります。このような場合、入力後に不審に思ってもURLを確認して判断することができません
メールの場合、表示されているURLとクリックした後のURLが異なる場合がありますので、見た目でURLを確認しても不十分です。クリックした後に再度URLを確認してください。不審に思った場合は、SMS同様にブックマークまたは専用アプリからアクセスしてください
モバイル端末を利用してURLを確認する場合、表示されるURLが短くドメイン全てを確認できない場合があります。フィッシング詐欺グループによっては、非常に長いものを用いて表示される部分を正規サイトのドメインと全く同じにするグループがあります。その場合はURLバーをタップして、ドメイン全てを確認することを検討してください。もしくはブックマークまたは専用アプリでアクセスすることを検討してください
URLの安全性を都度確認する場合、セキュリティ会社などが提供している無料のツールも利用できます。また、端末に不正なWebサイトへのアクセスをブロックするセキュリティ製品を導入する事も有効です。
フィッシング詐欺の被害に遭ったと思った場合は、即座にご利用している金融機関に連絡して状況を伝えてください。フィッシング詐欺グループによっては、情報を窃取してから非常に早く不正送金を行う場合があります。金融機関に連絡してから、落ち着いて最寄りの警察にご相談ください
各金融機関においても、フィッシング詐欺や不正送金から口座利用者や自社の資産を保護するため、サイバー犯罪者の動向の把握や手口の情報共有を各社連携して業界全体で行うことが重要です。従来の大手銀行・都市銀行に加えて、様々な業態の企業が金融業界に進出する中、業界横断的にこうした連携を進めるには、JC3などのサイバーセキュリティ関連組織が中心となる情報連携スキームに参画することも有意義と言えるでしょう。
謝辞
今回の分析にあたりJC3様、JC3会員企業の金融機関様、eコマース事業者様、サイバーセキュリティ事業者様の多大なるご協力を頂きました。改めて、御礼申し上げます。
トレンドマイクロでは、本分析の結果判明した悪意あるサイトについて、当社製品のブロックを強化しユーザを保護しています。これからも引き続き脅威情報の調査や分析の結果を元に当社製品を強化し、ユーザ保護に活用してまいります。
YARAルール
今回分類したBP1のフィッシングサイトを判定するためのYARAルールを以下に示します。
=====================================================================
rule bus_fake : phish {
meta:
info = “[BP1] bass stop fake page”
strings:
$s1 =”c-flex–rev”
$s2 =”saco00201″
$s3 =”バス駐車場”
condition:
all of them
}
rule fusei_fake : phish {
meta:
info = “[BP1] fusei access fake page”
strings:
$s1 =”<title>不正アクセスとは?被害事例、被害有無のチェック方法と有効な対策</title>”
$s2 =”<div class=\”container\”>”
condition:
all of them
}
rule passvalue_change : phish
{
meta:
info = “[BP1] possible related BP1 (appeared fusei-access) “
strings:
$s1 = “passvaluechange();”
$s2 = “if(passele.value)”
$s3 = “passcleanshow();”
$s4 = “passcleanhidden();”
$s5 = /clearpass\(\)\s?{/
condition:
4 of them
}
rule jquery_post : phish {
meta:
info = “[BP1] bank phishing “
strings:
$s1 =”$.post(\”/submit\”,{Origin:”
condition:
all of them
}
=====================================================================
調査・執筆:
サイバーセキュリティ・イノベーション研究所 スレット・インテリジェンス・センター
記事構成:
岡本 勝之(セキュリティエバンジェリスト)