ジャパンネット銀行グ-SMSを利用したフィッシング（不正送金）-

2015年11月2015年11月

http://www japannetbank co jp/http://www.japannetbank.co.jp/

ジ

アジェンダ

１．ジャパンネット銀行について（１）会社概要（２）JNB-CSIRT組織概要（２）JNB CSIRT組織概要

２．SMSを利用したフィッシング（不正送金）（１）不審なSMSについて（１）不審なSMSについて（２）具体的な画面遷移（３）対処内容

今 事例 特徴（４）今回の事例の特徴

３．その他不正送金関連事案３．その他不正送金関連事案（１）パソコンでの事例１（金融マルウェア）（２）パソコンでの事例２（≠金融マルウェア）（３）スマートフォン（金融マルウェア？）（３）スマートフォン（金融マルウェア？）（４）不審な電話（５）不正送金の発覚を遅らせる

2４．金融機関内の情報共有（金融ISACの取り組み）

１.ジャパンネット銀行について

（１）会社概要名称 ：株式会社ジャパンネット銀行

事業内容 インタ ネ ト専業銀行

（１）会社概要

事業内容：インターネット専業銀行

所在地 ：東京都新宿区西新宿2-1-1

資本金 ：３７２億円（2015年3月末）資本金 ：３７２億円（2015年3月末）

口座数 ：３０５万口座（2015年10月末）

「日本初のインターネット専業銀行」「日本初のインターネット専業銀行」

・2000年9月19日設立

・2000年10月12日開業

当社のチャレンジ精神

・戦後初の普通銀行免許取得

・新たな形態の銀行の第一号

・日本初のインターネット専業銀行

3ITによる金融サービスの向上、並びに低コストと高度なセキュリティ技術の両立

１.ジャパンネット銀行について

（２）JNB CSIRT組織概要 10名で活動

JNB-CSIRT

JNB-CSIRTは「セキュリティインシデント管理手続」で規定

社内

リスク管理委員会

ミッションステートメント、活動方針、経営への報告事項、運営方法 情報共有ル ル（TLP）などを規定

カスタマーセンター情報 お客さま

（２）JNB-CSIRT組織概要 ・・・10名で活動

区分 概要体制整備 規程類整備

【JNB-CSIRT活動方針】

内体制と活動内

IT本部IT統括部

（システム対応）パッチ適用、アプリ、イ 改修等

勘定系技術

WEB技術

運営方法、情報共有ルール（TLP）などを規定

投資管理

OA統括

未然防⽌活動・不正送⾦、DDoS、情報漏えい対策・標的型メール訓練・ログ分析⾼度化・情報収集、外部組織との連携 等

発⽣時の態勢 ・マニュアル整備、警戒態勢 等

内容

各本部・事業部

インフラ改修等OA技術

情報情報確認splunk

サイバーセキュリティ対策室（事務局）

（メンバー）IT統括部：金子、飯塚、池田、二宮

岩本、小澤、藤川IT 本 部 島崎 千葉 後藤

【活動内容】インシデント統制・社内連絡、事象分析、ログ分析、対策勧告、啓蒙活動、情報収集、外部組織連携等

連絡窓口

（各部業務）法務、広報、顧客告知、モニタリング、顧客サポート等

情報

情報

連携

情報確認ログ調査

IT 本 部：島崎、千葉、後藤

外部活動への参加・ワーキンググループ（WGメンバー参加、講師など）・セミナー受講、各組織会合への参加、会員との親交 など

メーリングリストによる情報交換・セキュリティ事案の詳細情報・不正IPアドレス、URL等の情報・対策、他行CSIRTの対応状況など

金融ISAC 日本シーサート協議会（NCA） 警視庁 生活安全部サイバー犯罪対策課

国内金融機関130会員JNBは2014/8/1加盟

国内事業者103会員JNBは2013/10/4加盟

警視庁公安部サイバーテロ対策協議会

重要インフラ事業者54会員

関連する 共同対処協定書

4警察庁 生活安全局情報技術犯罪対策課

SMFG/JRI＋他行CSIRT

JPCERT/CC

重要インフラ事業者54会員JNBは2010/6/24加盟

る外部組織

共同対処協定書2012/12/19締結

全銀協 金融庁 日銀 EMC ヤフー

２.SMSを利用したフィッシング（不正送金）

（１）不審なSMSについて（１）不審なSMSについて

■2015年 7月 JNBを騙りパスワード変更を要求するSMSが送信された。

5

（２）実際の画面遷移について

２.SMSを利用したフィッシング（不正送金）

①ログイン情報の入力

（２）実際の画面遷移について

6

２.SMSを利用したフィッシング（不正送金）

②暗証番号、ワンタイムパスワード入力。③「お待ちください」のまま進まず。

よく見ると ＵＲＬ欄にログイン情報のよく見ると、ＵＲＬ欄にログイン情報の

一部が含まれている。

7

（３）対処内容

２.SMSを利用したフィッシング（不正送金）

①フィッシングサイトのテイクダウン依頼

（３）対処内容

②お客さまへの注意喚起（ホームページ、メール）

③各種ブラウザからの不正サイト報告

④フィッシング画面におとりデータ（ダミー情報）入力

→接続してきたIPアドレス（犯罪者と推測）をブロック

⑤関係機関への報告、他金融機関への情報連携。

8

（４）今回の事例の特徴

２.SMSを利用したフィッシング（不正送金）

（当初）

なぜか利用するブラウザ判定により偽ＪＮＢ or 偽他銀行 へ振り分け

（４）今回の事例の特徴

・なぜか利用するブラウザ判定により偽ＪＮＢ or 偽他銀行 へ振り分け

（改善１）（改善１）

・誤った判定ロジックを修正。どのブラウザでも偽ＪＮＢサイトに接続

（改善２）

・ドメイン（ＵＲＬ）に「ＪＮＢ」の文字列を含みそれっぽくなってきた。

（でも）

・日本語は変なまま日本語は変なまま

www.XXXXXX.com により ・・・「により」って

パスワードは定期に変更 ・・・「定期に」って

9

（１）パソコンでの事例１（金融マルウ ア）

３.その他不正送金関連事案

（１）パソコンでの事例１（金融マルウェア）

■ 2014年 7月 ログイン時にウイルス対策ソフトのインストールを求める。

「M Af 「N 「無料 布中 「JNB ゴ 記載「McAfee」「Norton」「無料配布中」「JNBのロゴ」の記載。

■ 2014年11月 上記と同じで「IBM Trusteer Rapport」の表示■ 2014年11月 上記と同じで「IBM Trusteer Rapport」の表示。

■ 2014年11月 ログイン時にワンタイムパスワードの入力を求める

ケースで入力後のメッセージが変化。

「XX時～XX時はｼｽﾃﾑﾒﾝﾃﾅﾝｽ中のため利用できない。」

※時間は2時間 PC カ 時刻を参照※時間は2時間。PCのローカル時刻を参照？

■ 2015年 1月 Firefoxで証明書エラー（sec error unknown issuer）■ 2015年 1月 Firefoxで証明書エラ （sec_error_unknown_issuer）。

IEではログイン画面と別に電話番号の入力を求める。

10

３.その他不正送金関連事案

（２）パソコンでの事例２（≠金融マルウ ア）（２）パソコンでの事例２（≠金融マルウェア）■2015年3月の事例

・アドレス欄は「maikosof」と表示 EVSSLの緑色を維持・アドレス欄は「maikosof」と表示。EVSSLの緑色を維持。

■2015年4月の事例

・店番号、口座番号、ワンタイムパスワードの入力欄ありとの連絡あり。店番号、口座番号、ワンタイムパスワ ドの入力欄ありとの連絡あり。

・WEBインジェクションされたようにも思えたが、

当該お客さまは、IBM Trusteer Rapportのインストールあり。

・IEのプロキシ設定確認も、「proxy.pac」等の設定は空欄。

11

３.その他不正送金関連事案

（３）スマ トフォン（金融マルウ ア？）（３）スマートフォン（金融マルウェア？）

■2014年7月 ログイン後の操作時にウイルス対策ソフトのインストールを

求められたと 電あり （A d id）求められたとの入電あり。（Android）

インストールすると「お使いの端末は利用できません」、

その後フリーズして 元の画面に戻ったその後フリ ズして、元の画面に戻った。

■2015年1月 ホーム画面設置の当社アイコンクリック時に

「緊急事態が起きています。詐欺の疑いがありますので

ワンタイムパスワードを入力してください。」と表示。

（iOS J ilB kはし な と 申し出）（iOS、JailBreakはしていないとの申し出）

その後 再現確認も事象再発せずその後、再現確認も事象再発せず。

12

３.その他不正送金関連事案

（４）不審な電話（４）不審な電話

■2015年 4月 JNBや警察を騙り、ワンタイムパスワード詐取を狙う不審な電話

・お客さまの申し出（例）。① JNBの○○（非通知）より『口座情報が見られている、別途、警察から連絡する』② 警察（非通知）より連絡があり『口座が操作されている。』③ JNBの××（非通知）より『口座凍結した方が良い。』④ キャッシュカード、トークンを手元に準備させる。など④ キャッシ カ 、 クンを手元 準備さ る。な⇒お客さまは途中で切断も最終的にワンタイムパスワード詐取を狙うものと推測。

・補足情報補足情報①当社の電話番号（03-6739-5000）の偽装事例あり。海外の偽装サービスと推測。

お客さまの電話機の表示は 81-3-6739-5000（参考）http://allabout.co.jp/gm/gc/48282/2/②携帯電話（090 2153 06XX）に折り返しかけさせようとする手口もあり②携帯電話（090-2153-06XX）に折り返しかけさせようとする手口もあり。③犯罪者は片言ではない。（日本人が架電と推測される）

■2015年 7月 JNBを騙り不審な電話 やりとり型の手口をやめ

13

■2015年 7月 JNBを騙り不審な電話。やりとり型の手口をやめ、1回の電話でワンタイムパスワード詐取を狙う手口に変化。

４.金融機関内の情報共有（金融ISACの取り組み）

（１）IP＆UAの情報共有の目的について（１）IP＆UAの情報共有の目的についてなりすましログイン有無の調査により・不正送金の早期検知

UA：UserAgent（OS、ブラウザ情報）

（例）Mozilla/5.0 (Windows NT 6.1;

Trident/7 0; rv:11 0) like Gecko不正送金の早期検知・注意喚起による不正送金の未然防止

（２）共有情報ごとの利用目的

Trident/7.0; rv:11.0) like Gecko

Windows NT6.1・・・Windows 7rv:11.0 ・・・Internet Explorer 11.0

※利用端末のOS・ブラウザの推測が可能

（偽装可能なため注意）（２）共有情報ごとの利用目的 （偽装可能なため注意）

No 共有情報 利用目的

1 不正送金に使われた IP＆UA なりすましログイン有無の調査

2 アグリゲ シ ンのIP＆UAなりすましログインでないことの

2 アグリゲーションのIP＆UAなりすま グイン な早期切り分け

3 VPS等サービスのIP＆UA等

なりすましログインの判断材料

（後押しの材料）4 中華系ブラウザのUA

155 その他怪しいUA

まとめ

今回学んだこと

・スピーディな対処には事前の作業分担決め、スピ ディな対処には事前の作業分担決め、平常時の訓練が重要

・SMSを使ったフィッシングは不正送金の手 すぎな手口の１つにすぎない

・他組織との情報交換は極めて重要

（攻撃手口 対処方法を事前に把握可能）（攻撃手口、対処方法を事前に把握可能）