2014年6月11日に警視庁合同捜査本部がフィッシング事件の容疑者を逮捕した事を発表しました。ここではその関連情報をまとめます。
(1) 容疑
(2) 発端
- 2月に警視庁がゆうちょ銀行からフィッシングサイトが複数公開されているとの情報提供を受けたことによる。
(3) 捜査担当
- 合同捜査本部
- 警視庁サイバー犯罪対策課
- 愛媛県警
(4) 関与が疑われるフィッシングサイト
ゆうちょ銀行のフィッシング
件名:【重要】ゆうちょ銀行からのお知らせ
- -
お客様各位
ゆうちょダイレクトをご利用頂き有難うございます。
お客様へログイン画面リニューアルのお知らせです。
下記よりログインしてメッセージを確認して下さい。
URL
- -
ゆうちょ銀行カスタマーセンター
http://itpro.nikkeibp.co.jp/article/NEWS/20140220/538022/
お客様各位
http://internet.watch.impress.co.jp/docs/news/20140401_642364.html
ゆうちょダイレクトをご利用頂き有難うございます。
お客様へログイン画面リニューアルのお知らせです。
下記よりログインしてメッセージを確認して下さい。
URL
ゆうちょ銀行カスタマーセンター。
楽天銀行のフィッシングサイト
件名:【重要】楽天銀行からのご連絡
- -
楽天銀行カスタマーセンターでございます。
インターネットバンキングの不正送金に伴い、セキュリティの強化をいたします。
お客様のメールアドレスを下記サイトより設定してください。
URL
件名:【重要】楽天銀行からのご連絡
- -
楽天銀行カスタマーセンターでございます。
お客様の設定が完了致しました。
お客様のアカウントを確認してください。
URL
【以下推測メモ】3月以降のマルウェアを使った行為にも関与?
一部メディアでは余罪としてマルウェアを使った情報窃取が報じられている。
同容疑者が管理するメールアドレスから、ネットバンキングの情報を盗むウイルスが見つかり、同課は不正指令電磁的記録供用などの疑いで立件することも検討する。
http://www.nikkei.com/article/DGXNASDG1301L_T10C14A6CC0000/
他人の無線LAN回線を乗っ取り、匿名化ソフトを使ってウイルス付きメールを送っていたが、合同捜査本部はメールの通信履歴を解析し、匿名化ソフトの作者に協力を求めるなどして**容疑者を特定した。
http://sankei.jp.msn.com/affairs/news/140613/crm14061314520006-n1.htm
(容疑者名は伏せました。)
これについて@JojiHamadaさんのコメントが出ている。
"同容疑者が管理するメールアドレスから、ネットバンキングの情報を盗むウイルスが見つかり…"
これのこと:
http://t.co/UabMv6a0KJ
https://t.co/znOMMvWqyd
https://t.co/jaSxqNeO9v
— . (@JojiHamada) 2014, 6月 13今週もまたオンラインショップを狙うマルウェア付きメールが出回ってる。添付ファイルはgazou.exe, syouhin.exe, photo.exe, photo1.exe photo.2.exeなど。
— . (@JojiHamada) 2014, 3月 20差出人が「株式会社インフォレスト」のメールに添付されている「決済情報.exe」または「決済情報[数字].exe」はTrojan.KlovBot。http://t.co/UabMv6a0KJとhttps://t.co/znOMMvWqydに関係しているかと
— . (@JojiHamada) 2014, 6月 53月以降のマルウェア添付した不審メール
3月以降、マルウェアを使った手口が複数確認されていた。
- フィッシングサイトのURLや実行ファイルを添付してオンラインショップにメールで送り付ける。
- 文面は問合せや決済、請求を偽装した内容。2,3文程度で構成されている。
| 発表・報告時期 | 似たような手口が見られたフィッシングメール | 手口 |
|---|---|---|
| 3月7日頃 | オンラインショップ向け不審メール | 添付ファイル |
| 3月25日頃 | 不審メール | 添付ファイル |
| 5月13日頃 | 鹿野山ゴルフ倶楽部詐称メール | ハイパーリンク |
| 5月15日頃 | 東城陽ゴルフ倶楽部詐称メール | 不明 |
| 5月27日頃 | 浜松カントリークラブ不審メール | 添付ファイル |
| 6月2日頃 | フィッシングメール | ハイパーリンク |
| 6月3日頃 | 株式会社インフォレスト詐称メール | 添付ファイル |
| 6月9日頃 | 株式会社インクルード詐称メール | 添付ファイル |
オンラインショップ向け不審メール
3月7日頃にショップ向けに送信されていた不審メールの情報は以下サイトでまとめられている。
送信されていた文面
件名:商品破損
- -
注文した商品がこのように破損していました。
至急交換してください。
- -
添付ファイル:syouhiganzou.exe
http://www.symantec.com/connect/ja/blogs/online-stores-targeted-information-stealing-trojan
楽天からもオンラインショップに対して注意喚起が行われていた模様。
お世話になっております 楽天市場です。
http://shop.plaza.rakuten.co.jp/chrono925/diary/detail/201403100001
最近ユーザを装った不審なメールが届いたとの報告を複数店舗様より
受けております。
3月25日頃に確認されていた不審メール
3月25日頃に「ご注文明細.exe」を添付した不審メールが確認されている。
「ご注文明細.exe」と思われる情報
- http://totalhash.com/analysis/1293f8061c610eadaaa82330ff6dee7d5688b926
- https://www.virustotal.com/ja/file/0e67c141d6940ca43189529b9923f8aa628b20e57996eb4507836781a7cb8e17/analysis/
通信先は次の通り。
DNS requests
https://www.virustotal.com/ja/file/0e67c141d6940ca43189529b9923f8aa628b20e57996eb4507836781a7cb8e17/analysis/
matu1212.no-ip.biz (183.176.9.62)
鹿野山ゴルフ倶楽部詐称メール
鹿野山ゴルフ倶楽部が発表している情報は次の通り。
- 5月14日 当倶楽部を騙る迷惑メールにご注意ください
送信されていた文面1
支払額が違います。
https://www.facebook.com/permalink.php?story_fbid=743264645713103&id=205827669456806
ご確認をお願い致します。
送信されていた文面2
件名:請求額の件
- -
ご予約の件についてのご連絡です。
決済情報のご確認をお願い致します。
東城陽ゴルフ倶楽部詐称メール
東城陽ゴルフ倶楽部詐称メールでは次の不審メールの注意喚起が出されている。
- 5月16日 迷惑メール送信のご報告とお詫び
送信されていた文面
支払い額ですが請求額と異なっております。
http://higashijoyo.com/news/index.php?e=142
再度確認して下さい。
浜松カントリークラブ不審メール
浜松カントリークラブでも不審メールの注意喚起が出されている。
- 5月28日 浜松カントリークラブ 新着情報
送信されていた文面
件名:ご予約のご案内
- -
お客様のご予約状況のご確認のご案内です。
お客様のご予約内容状況、決済情報をご確認下さい。
個人情報を添付しておりますのでお取扱い注意願います。
ゴルフカントリークラブ
- -
添付ファイル:ご予約のご案内.exe
http://www.hamamatsu-cc.jp/image/top/letter20140529.pdf
株式会社インフォレスト詐称メール
送信に利用されている「ohgiya@shikoku.ne.jp」で検索をかけると「扇屋食品株式会社」が出てくる。このサイトには不審なメールに関する情報が公開されている。
- 6月3日 (PDF)弊社のメールアドレスを装った不審なメールにご注意ください。
送信されていた文面
件名:ご注文決済のお知らせ
- -
お客様のご注文の決済が完了致しましたのでお知らせ致します。
お客様の決済情報を添付しておりますのでお間違いがないかご確認をお願い致しま
す。
尚、決済情報に間違いがある場合ご連絡をお願い致します。
確認されている添付ファイルは次のファイルが確認されている。
- 決済情報.exe
- 決済情報[数字].exe
6月2日のフィッシングメール
したらば掲示板に次の書込みがある。
476 :本音で語る名無しさん:2014/06/02(月) 08:49:49
http://jbbs.shitaraba.net/bbs/read.cgi/shop/960/1400731593/476
ウィルスサイトのメールが 件名:問い合わせ で届いたので注意喚起
この商品を至急探しているのですがありますか?
数量は5個ほしいのですが在庫があれば注文したいのでよろしくお願い致します。
URL
・クリック後はexeファイルへの誘導有
・元のドメインを表示してもウィルスが入るので、詮索もしない方がいい。
楽天のメールアドレスのみに届くので注意
Virustotalを見ると「syouhingazou.exe」をダウンロードさせるサイトであったことが分かる。
株式会社インクルード詐称メール
東城陽ゴルフ倶楽部の差出人アドレス「raccoorn@m・andpartners.com」で検索すると次のツイートが引っかかった。添付ファイルは「決済情報33.exe」となっている。
【拡散希望】
この画像みたいなスパムが送られているみたいです。会社名は色々みたいですが、アドレスは "raccoorn@m-andpartners.com"か、類似のものみたいなので、気を付けて下さい。触らず削除ですよ! pic.twitter.com/3G0cJYyoPE
— M-Lee (@m_lee_7238) 2014, 6月 10なお、株式会社インクルードのWebサイトでは次の掲載がされている。
弊社名を騙った迷惑メールにご注意ください(2014年6月9日)
http://www.include.co.jp/
弊社名と同一の「株式会社インクルード」の名が記載された、「決済完了のお知らせ」等の迷惑メールが配信されているという連絡が多数寄せられています。
配信されているメールおよび業者と弊社は一切関係ございません。これらのメールには充分ご注意ください。
既にサイバー犯罪対策推進本部(警察)にて通報をさせていただいております。
本件の迷惑メールを受信した場合は、お住まいの最寄りの警察に通報するよう指導を受けております
何卒、宜しくお願い申し上げます。
楽天ショップアカウントがのっとられてスパムメールが送られていた?
楽天ショップ出店者が情報交換をしていると思われるしたらば掲示板には次の書き込みがある。ショップで使用するアカウントがのっとられてフィッシングメールが送られていた可能性がある。
620 :本音で語る名無しさん:2014/05/14(水) 08:20:50
小林○○から
請求額が違います。どうなっているんでしょうか。
確認してください。
http://********/*******/seikyu3怪しいリンク付きのメールが来たんですけど
http://jbbs.shitaraba.net/bbs/read.cgi/shop/960/1398945275/620
クリックしないほうがいいですよね
他の店舗さんも来たところありますか?
629 :本音で語る名無しさん:2014/05/14(水) 11:27:06
http://jbbs.shitaraba.net/bbs/read.cgi/shop/960/1398945275/629
>>628
なんで発信者は ***@shop.rakuten.co.jp となってるのかな。
ソースを見る限りはちゃんとrakuten.co.jpからの発信となってる、
要は、安心メアドも結局安心できないね。
630 :本音で語る名無しさん:2014/05/14(水) 12:00:33
http://jbbs.shitaraba.net/bbs/read.cgi/shop/960/1398945275/630
>>629
うちも発信者***@shop.rakuten.co.jpでした。
最初は楽天出店者の人が買ったのかと思ってしまい念入りに検索をしてましたが、
629さんの店にも届いたんですね。
内容がRONともここのスレ情報とも若干違ってたので、やっぱり怪しい確定ですね。
スレに書き込んでみてよかったですw
648 :本音で語る名無しさん:2014/05/14(水) 14:18:48
http://jbbs.shitaraba.net/bbs/read.cgi/shop/960/1398945275/648
RONで、
●●@shop.rakuten.co.jp から迷惑メールって書いてるけど、
楽天の安心メアドの設定法からみると
http://www.rakuten.co.jp/●●/
から迷惑メールが来たって事だよな・・・
652 :本音で語る名無しさん:2014/05/14(水) 14:55:16
スノボ屋は
●●2@shop.rakuten.co.jp にアドレス変更して
安心して元のアドレスから迷惑メール送ったら
●●@shop.rakuten.co.jp から送信になっちゃった。ぬか床屋は
http://jbbs.shitaraba.net/bbs/read.cgi/shop/960/1398945275/652
新しいアドレス作って迷惑メール送信したら
●●_2@shop.rakuten.co.jp になって送信されちゃったんだね。
IPアドレス「183.176.9.62」はのっとられた無線LAN?
株式会社インフォレスト詐称メールや決済情報.exeの通信先は共通のIPアドレス「183.176.9.62」が含まれている模様。
株式会社インフォレスト詐称メール
- Yahoo!知恵袋に張り付けられたメールヘッダより。
Received: from user-PC (opt-183-176-9-62.client.pikara.ne.jp [183.176.9.62]) (Authenticated sender: ohgiya@shikoku.ne.jp) by access07.SiriusCloud.jp (Postfix) with ESMTPA id D5F92400F0B65 for <******@yahoo.com>; Tue, 3 Jun 2014 01:25:55 +0900 (JST)
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10130048815
- 決済情報.exeのVirusTotalより。
DNS requests
https://www.virustotal.com/en/file/72bfa2d4639d8e5bbf4444fc35b88dc6421bfd0339944b8604be746580017203/analysis/
matu1212matu.noip.me (183.176.9.62)
6月2日頃に確認されたフィッシングメール
- syouhingazou.exeのVirustotalより。
DNS requests
https://www.virustotal.com/en/file/c085f0277a167803f70a2ba698871840875b72df420514da90a99d9d8cabc826/analysis/1401693307/
matu1212matu.noip.me (183.176.9.62)
IP Location
「183.176.9.62」の場所を検索すると次の通り。
逮捕された男性の所在は次の様に報じられている。
警視庁サイバー犯罪対策課は13日までに、松山市和泉南1、無職、XXXX容疑者XXを不正アクセス禁止法違反の疑いで逮捕した。
http://www.nikkei.com/article/DGXNASDG1301L_T10C14A6CC0000/
他人の無線LANを使っていた模様。
容疑者は他人の無線LAN回線を乗っ取り、匿名化ソフトを使ってウイルス付きメールを送っていた
http://sankei.jp.msn.com/affairs/news/140613/crm14061314520006-n1.htm
更新履歴
- 2014/06/15 PM 新規作成
- 2014/06/16 AM 情報追加。
*1:偽サイトでネット銀ID入手=容疑で男逮捕、不正送金被害も―警視庁,時事通信,2014/06/15アクセス:魚拓
*2:“フィッシングサイト”でID不正入手,NNN,2014/06/15アクセス:魚拓
*3:ネットID不正取得:ゆうちょ銀偽サイト開設 容疑で逮捕 /愛媛,毎日新聞,2014/06/15アクセス
*4:銀行の偽サイト作成しIDなど入手、容疑の男逮捕,TBS,2014/06/15アクセス:魚拓
*5:13のフィッシングサイト開設、2百万不正送金,読売新聞,2014/06/15アクセス:魚拓
