2019年6月8日夜、クレジットカードの情報窃取を目的としたページが稼働していたと情報をいただきました。偽ページが稼働していたドメインやIPアドレスを調べたところ、いくつか興味深い情報が確認できたため、調べた内容をここではまとめます。
偽決済画面だらけのサーバー
- 情報提供頂いたURLではクレジットカード情報を窃取することを目的とした偽決済画面が稼働していた。
- サブドメインには決済代行サービスのペイジェントに似せた文字列が用いられていた。
- 偽決済画面はワイン販売を行っている会社名がフォーム上部(モザイク部)に掲載。
- この会社は2019年2月にWebサイトの改修を目的として一時閉鎖すると案内。
- 6月に新ドメインでECサイト再開。新ドメインへ移行した理由は「諸事情により」とのみ説明。
問題のドメインsearch-hot.com
を調べる
- 問題のページが稼働していたドメイン
search-hot.com
は2018年以降、クレジットカードの情報流出被害で偽決済画面が表示されるURLとして報告されていたものだった。
www.i-ori.jp
www.bunnyfa-yokohama.com
- 偽決済画面が表示される事例については徳丸さんの記事が詳しい。
- このドメインには2つのIPアドレスがこれまで紐づいていた。
167.179.73.64 45.63.95.198
- さらにIPアドレスを調べてみたところ、偽決済画面のページが複数設置されていた。
(1)167.179.73.64
についての調査
167.179.73.64
について調べたところ、以下の結果となった。
search-hot.com
ドメイン配下に設置された偽決済画面のページはURL中にepsilon_card3.php
が含まれており、決済代行サービス GMOイプシロンを利用するECサイトを狙っていたとみられる。- 伊織、バニーファミリー横浜の他、JA秋田しんせいの偽決済画面の設置されていた。
- JA秋田しんせいは2019年4月26日に「鳥海お取り寄せ便」利用者の情報流出があったと報告をしている。
- urlscan.ioでは次の調査履歴が残っており、被害報告が確認できないURLが3件*1含まれていた。
- いずれも偽決済画面らしきコンテンツは分析結果上から確認できなかったため、実際に設置されていたかどうかは定かではない。
- 洋菓子ウエストは「決済代行会社と類似したドメインURL」と説明していたが、似せたドメインは
pay.f-regi.co.com
が用いられていたとみられる。
(2)45.63.95.198
についての調査
45.63.95.198
、および周辺情報を調べたところ、複数の情報がかかった。興味深いものだけを抽出すると以下の結果となった。
この調査では次の複数の決済代行サービスに似せたドメインを確認した。
- CREDIX
- ヤマトフィナンシャル(クロネコWebコレクト)
- ルミーズ
- イオンクレジットサービス(イオンレジ)
- エフレジ(F-REGI)
この中で気になったのはクロネコWebコレクト、ルミーズに似せたドメイン。
クロネコWebコレクトに似せたドメインで気になったポイント
- ヤマトフィナンシャルからは2018年11月に注意喚起が行われている。
[PDF] 当社サイトを騙る偽装サイト(フィッシングサイト)への注意喚起
- この注意喚起から4か月後、ハーバルインデックスが注意喚起を公開している。
弊社が運営しております「Naturas Psychos Product」のサイトにおいても、「クロネコ web コレクト」リンク方式の決済サービスを行っており、セキュリティー強化のため 2019 年1月 26 日から「NaturasPsychos Product」サイトのサービス利用を停止してメンテナンスを行っております。
- 5月24日付でECサイトのリニューアルの案内を行っている。
長期に渡り、皆様にはご心配とご迷惑おかけし誠に申し訳ありません。
この度、かねてより準備を進めておりましたホームページのリニューアルが完了し、公開の運びとなりました。
安心してご購入いただけるようセキュリティ面の強化を目的とした
カートシステムのリニューアルを実施しております。
ルミーズに似せたドメインで気になったポイント
- ルミーズに似せたドメイン配下に偽入力フォームの存在を確認した。
- 当該フォーム中にパズル販売を行っている企業名が掲載されていた。
- この件との関係性は不明だが「システム不具合が発生したとして調査を行っている」と6月10日現在Webサイト上に掲載されている。
謝辞
- 今回は@ozuma5119さんより情報を頂きました。ありがとうございます。
- @ozuma5119さんの尽力により関係者への連絡が行われ問題のサイトはテイクダウンされたようです。
更新履歴
- 2019年6月10日 AM 新規公開
*1:同一サイトと思わしきものが1件含まれているように見え、実際には2件とみられる