問題のドメインsearch-hot.comを調べる

• 問題のページが稼働していたドメインsearch-hot.comは2018年以降、クレジットカードの情報流出被害で偽決済画面が表示されるURLとして報告されていたものだった。

www.i-ori.jp
www.bunnyfa-yokohama.com

• 偽決済画面が表示される事例については徳丸さんの記事が詳しい。

blog.tokumaru.org

• このドメインには2つのIPアドレスがこれまで紐づいていた。

167.179.73.64
45.63.95.198

• さらにIPアドレスを調べてみたところ、偽決済画面のページが複数設置されていた。

（１）167.179.73.64についての調査

• 167.179.73.64について調べたところ、以下の結果となった。

• search-hot.comドメイン配下に設置された偽決済画面のページはURL中にepsilon_card3.phpが含まれており、決済代行サービス GMOイプシロンを利用するECサイトを狙っていたとみられる。
• 伊織、バニーファミリー横浜の他、JA秋田しんせいの偽決済画面の設置されていた。

• JA秋田しんせいは2019年4月26日に「鳥海お取り寄せ便」利用者の情報流出があったと報告をしている。
  • [PDF] ショッピングサイトの不正アクセスによるお客様情報流出に関するお詫びとお知らせ

• urlscan.ioでは次の調査履歴が残っており、被害報告が確認できないURLが3件*1含まれていた。
• いずれも偽決済画面らしきコンテンツは分析結果上から確認できなかったため、実際に設置されていたかどうかは定かではない。

• 洋菓子ウエストは「決済代行会社と類似したドメインURL」と説明していたが、似せたドメインはpay.f-regi.co.comが用いられていたとみられる。

www.ginza-west.co.jp

クロネコWebコレクトに似せたドメインで気になったポイント

• ヤマトフィナンシャルからは2018年11月に注意喚起が行われている。

[PDF] 当社サイトを騙る偽装サイト(フィッシングサイト)への注意喚起

• この注意喚起から4か月後、ハーバルインデックスが注意喚起を公開している。

弊社が運営しております「Naturas Psychos Product」のサイトにおいても、「クロネコ web コレクト」リンク方式の決済サービスを行っており、セキュリティー強化のため 2019 年１月 26 日から「NaturasPsychos Product」サイトのサービス利用を停止してメンテナンスを行っております。

• 5月24日付でECサイトのリニューアルの案内を行っている。

長期に渡り、皆様にはご心配とご迷惑おかけし誠に申し訳ありません。
この度、かねてより準備を進めておりましたホームページのリニューアルが完了し、公開の運びとなりました。
安心してご購入いただけるようセキュリティ面の強化を目的とした
カートシステムのリニューアルを実施しております。

ルミーズに似せたドメインで気になったポイント

• ルミーズに似せたドメイン配下に偽入力フォームの存在を確認した。

• 当該フォーム中にパズル販売を行っている企業名が掲載されていた。
• この件との関係性は不明だが「システム不具合が発生したとして調査を行っている」と6月10日現在Webサイト上に掲載されている。