俺より凄いやつしかいない。

技術的なことを書いていきたい。

佐川急便の偽サイト(フィッシングサイト)を調査した

概要

2018/07末頃から、佐川急便からの不在通知を偽ったフィッシングメール(迷惑メール)が送られ、メールを受け取った一部の人が、
メール内の偽サイト(フィッシングサイト)にアクセスし、自分の電話番号を入力してしまうという事例が発生しているらしいので、調査してみた。

偽の「佐川急便」SMSに新たな手口か--携帯電話番号を窃取 - ZDNet Japan

ドメイン情報

まずドメイン(登録された偽アドレス)を調べて驚きだったのが、佐川急便のフィッシングサイトのドメインは一つだけではなく、他にも200弱のフィッシング用と思われるドメインが存在していた。

さらに驚きだったのが、このドメイン登録者は全部で300近くのドメインを登録しており、その中にはsoftbankやdocomo、auを装ったフィッシングサイトも登録されていた。 このサイトは2018年4月頃に話題になったsoftbankを装ったフィッシングサイトと同じ手法のサイトだった。 当時流行ったサイトの持ち主と同一人物かは不明だが、フィッシングサイトを複数持っていることはわかった。

f:id:cyamax:20180811234535p:plain

f:id:cyamax:20180811234328p:plain

IPとの結びつきを調べると、ドメイン数300弱に対して、IPは40弱ほど結びついていた。

佐川急便のドメインに絞ると、200弱のドメイン数に対してIPアドレスは20弱だった。

フィッシングサイトとして登録されたアドレスの殆どが●●●.comのドメインだった。
.comのドメイン料金は安くはなく、一つのドメインを登録するのに1000円弱かかるので、この登録者はこのフィッシングサイトのドメイン登録料に最低30万円ほど払っている計算になる。

また登録されていたIPアドレスはHiNetとという中国のホスティング会社のものであり、IP自体は台湾を示していた。

ドメインの登録頻度

この登録者名で登録されているドメインを集計してみました(左の数字がその日に登録されたドメイン数)。 一日に何十件も追加しているのがわかります。

# 2018/07/01から2018/08/10までの情報
  32 2018-08-10
   9 2018-08-09
  10 2018-08-08
  34 2018-08-07
  23 2018-08-06
  21 2018-08-05
   1 2018-08-04
  21 2018-08-03
  20 2018-08-01
  21 2018-07-31
  18 2018-07-28
  34 2018-07-27
   1 2018-07-18
   1 2018-07-17
   2 2018-07-16
   1 2018-07-13
   1 2018-07-12
   1 2018-07-11
   3 2018-07-09

サイトの中身

トップページ(index.html)

偽サイトのトップページは本物のSAGAWAのトップページと見た目はほぼ同じ。 異なる部分としては問い合わせフォームの部分が微妙に異なるが、並べてみないとわからない。 f:id:cyamax:20180812004724p:plain

本物のサイトとコードを比較

f:id:cyamax:20180811235029p:plain 偽サイトは本物のサイトをそのままコピーして作成したようで、id名やclass名、コメントなどもそのままだった。

またサイト内の画像やcssファイルは本物のサイトを参照するようになっていた。

サイト内の一部リンクは、なぜか#(トップページ)に飛ばすようにしていたので、一部修正を加えている模様。 f:id:cyamax:20180811235057p:plain

apkファイルのコメントアウト

本物のサイトとは異なり、apkファイル(アプリファイル)をダウンロードさせるようなコードがコメントアウト(動かない)されて記載されていた。これについては後で言及。 f:id:cyamax:20180811235118p:plain

アクセス集計

中国のアクセス解析系のサイト。 これで訪問者のアクセス情報を解析していると思われる。

f:id:cyamax:20180811235134p:plain

携帯電話の認証(pp.html)

電話番号を入力して「認証コード送信」を押すと次のページに遷移する。 適当に「123」したら弾かれたので、コードをみると入力された値が11桁より小さいか判定していました。なので適当に0を11桁並べたら次のページにいける。

f:id:cyamax:20180811235345p:plain

「認証コード送信」を押すと、この時点で/servlet/SvNumにデータを送信(POST)している。 送信している内容は入力した電話番号だけの模様。

f:id:cyamax:20180811235512p:plain

そして3秒後に認証コード入力画面(pp2.html)に移動する。

認証コード(pp2.html)

ここで認証コードを入力する画面だが、偽サイトに電話番号を入力して検証していないので、本当に認証コードが届くのか不明。
また、認証コードが届いたとしても偽サイトに認証機能などはなく、ここに何の数字をいれてもすべてロード中の画面が表示されて、その後はなにも表示されない。 f:id:cyamax:20180811235553p:plain

「確認する」を押すとロード画面が出て、そのあとなにも変わらない。 f:id:cyamax:20180811235612p:plain

f:id:cyamax:20180811235626p:plain もともとは認証コードは4桁以上のバリデーションを入れていたようだが、意味が無いので外した模様。

このページで「確認する」のボタンを押すと、前のページで入力した電話番号と確認コードを送っている。
rotpwdとしてkkという変数を送っているが、この値(kk=0)がなにを意味するかは不明。

cookie

一応cookieも見てみたが、特に気になる項目はなかった。 f:id:cyamax:20180812003910p:plain

その他

偽サイトドメインの存在しないページすると以下のように中国語で表示された。
f:id:cyamax:20180811235924p:plain

Iサーバの言語も中国語。 f:id:cyamax:20180811235944p:plain

Googleトレンド

佐川急便の偽サイトは2018年の1月に一度出回って、そのあと音沙汰がなかったが、7-8月に入り再度活動した模様。 f:id:cyamax:20180812000000p:plain

apkファイル

2018年の1月の時点では偽サイトにアクセスした際に、上記で調べた内容以外にapkファイル(android向けアプリ)がダウンロードされ、端末にインストールすると様々な情報が取得されてしまうという被害があったが、今回私がアクセスした時点(2018/08/04)では、上記に記載したとおりindex.htmlのコード上ではダウンロードさせる部分はコメントアウトされており、 直接URLからダウンロードを試みたが、apkファイルはすでに存在しなかった。  ※ もしかしたらURLによってはダウンロードできるのかもしれない

まとめ

今回の場合の被害範囲は個人の電話番号を入力して認証コード送信ボタンを押した場合に、相手(偽サイトの作成者)に電話番号が送られてしまうことによる情報流出。
悪意のあるapkファイルが配布されていれば要注意だが、今回は確認できなかった。
また、Softbankなどの別会社のフィッシングサイトもあったので、今後このサイトを利用したフィッシングメールが送られるかもしれない。

所感

もう少し深いところまで調べても良かったかも。
複数のサーバとドメインを扱っているので、このフィッシング詐欺にお金をかけている印象。
クレジットカードのフィッシングとは異なり、取得されるのは電話番号だけなので、すぐに被害がでるわけではなさそう(迷惑メールが増えるぐらい?)。

SMS(ショートメッセージ)でもフィッシングメールが届くようなので、それって既に相手に電話番号がばれているのでは?と思ったけど、総当たりでメッセージを送って、有効な電話番号(SMSを見てフィッシングに引っかかってくれる)を取得するのが狙いなのかもしれない。