金融庁を騙ったフィッシングサイトについて調べた情報を掲載します。このフィッシングサイトを対象としたものかは不明ですが、2015年9月11日に金融庁は模倣サイトの注意喚起を行っています。
公式発表
- 2015年9月11日 金融庁ホームページを模倣したウェブサイトにご注意ください! (魚拓)
「模倣したウェブサイト」はフィッシングサイトか
確認できた金融庁を騙ったフィッシングサイトは2015年9月13日現在稼働中です。次の入力項目を通じて、銀行関係の情報を収集することを目的とした構成となっています。
マルウェア感染後にポップアップ表示される?
金融庁が注意喚起を掲載したのは最近ですが、7月にはこの手のフィッシングサイトは確認されていたようで無題な濃いログでも取り上げられていました。
- 金融庁 偽ポップアップ画面 危険ネットバンキングウイルス感染被害?(無題な濃いログ)
マルウェアに感染した端末が特定の銀行サイトに接続するとこの画面がポップアップすると記載があります。
感染した場合、IEのアドオンとして「JapenHelper Class」(Japanをタイポしてる?)として登録される模様。
対象と記載されている銀行
このマルウェアと思われるkrqsoft.dllを分析した記事によれば、次の銀行が対象と一覧がありました。感染経路についても記述があり、Exploit Kitによると報告されています。
| 対象URL | 銀行 | |
|---|---|---|
| ib.sevenbank.co.jp/IB/ | セブン銀行 | |
| www.direct.gunmabank.co.jp/ | 群馬銀行 | |
| www.parasol.anser.ne.jp/ | 横浜銀行 | |
| bb3.ib.finemax.net | 第三銀行 | |
| ib.keiyobank.co.jp | 京葉銀行 | |
| www.ib-channel.net | 三重銀行、愛媛銀行、東京スター銀行、大東銀行 | |
| ib.shinwabank.co.jp | 親和銀行 | |
| ib.higobank.co.jp | 肥後銀行 | |
| ib.kagin.co.jp | 鹿児島銀行 | |
| mib.miyagin.co.jp | 宮崎銀行 | |
| mp.resona-gr.co.jp | りそな銀行 | |
| www.inb.nantobank.chance.co.jp | 南都銀行 | |
| www.paranet.tottoribank.co.jp | 鳥取銀行 | |
| ib2.gogin.co.jp | 山陰合同銀行 | |
| www.inb.yamaguchibank.chance.co.jp | 山口銀行 |
piyokangoが確認したサンプルではさらに次の銀行も含まれていることを確認しています。
| 対象URL | 銀行 |
|---|---|
| bk.juroku.co.jp | 十六銀行 |
| bk02.jibunbank.co.jp | じぶん銀行 |
| direct1.82bank.co.jp | 八十二銀行 |
| direct3.smbc.co.jp | 三井住友銀行 |
| hd3.hokuyobank.co.jp | 北洋銀行 |
| ib.aeonbank.co.jp | イオン銀行 |
| ib.aozorabank.co.jp | あおぞら銀行 |
| ib.chibabank.co.jp | 千葉銀行 |
| ib.daishi-bank.co.jp | 第四銀行 |
| ib.fukuokabank.co.jp | 福岡銀行 |
| ib.hokkokubank.co.jp | 北國銀行 |
| ib.michinokubank.co.jp | みちのく銀行 |
| ib.surugabank.co.jp | スルガ銀行 |
| ib.tsukubabank.co.jp | つくば銀行 |
| ib1.awabank.co.jp | あわ銀行 |
| ib1.musashinobank.co.jp | 武蔵野銀行 |
| ib1.yamagatabank.co.jp | 山形銀行 |
| o2o.moneykit.net/TDGate1 | ソニー銀行 |
| pdirecta08.shinseibank.com | 新生銀行 |
| web1.ib.mizuhobank.co.jp | みずほ銀行 |
| www.105direct.105bank.com | 百五銀行 |
| www.aidirect.aichibank.co.jp | 愛知銀行 |
| www.direct.shizuokabank.co.jp | 静岡銀行 |
| www.ib.tominbank.co.jp | 都民銀行 |
| www.inb.114bank.chance.co.jp | 百十四銀行 |
| www.inb.joyobank.chance.co.jp | 常陽銀行 |
| www.inb.kitakyushubank.chance.co.jp | 北九州銀行 |
| www.ncb-direct.ncbank.co.jp | 西日本シティ銀行 |
金融庁の模倣サイトに検察庁に関連するキーワード
フィッシングサイトのソースコードに検察庁に関連するキーワードとして、「監察指導部情報提供窓口」や「Public Prosecutor's Office.」が確認出来ました。
「監察指導部情報提供窓口」で検索すると金融庁ではなく、検察庁が引っかります。
金融庁のフィッシングサイトに検察庁に関連する文言が埋め込まれている理由は定かではありませんが、今年6月に検察庁を騙ったフィッシング行為が確認されていると報じられていました。
- 2015年6月4日 検察庁ホームページの偽サイトにご注意ください。 (魚拓)
今回の金融庁の模倣サイトへどのように誘導されるのか等は明らかにされていませんが、仮に検察庁と同じ手口だとすれば電話での誘導行為が行われる可能性も考えられます。
- 銀行口座情報詐取する検察庁の偽サイトに注意 - 偽職員が電話でアクセスを指示 (Security NEXT,2015年6月)
フィッシングサイトへの誘導には、メールが利用されることが多いが、今回のケースでは、突然かかってくる偽職員の「電話」がきっかけとなる。検察庁の職員をかたり、同庁の偽サイトへアクセスさせ、最終的に銀行口座などを入力させるという。
http://www.security-next.com/059125
マルウェアのサンプル
更新履歴
- 2015年9月14日 PM 新規作成
