ジャパンネット銀行
グ
-SMSを利用したフィッシング(不正送金)-2015年11月
2015年11月
http://www japannetbank co jp/
http://www.japannetbank.co.jp/
ジ
アジェンダ
1.ジャパンネット銀行について
(1)会社概要 (2)JNB-CSIRT組織概要 (2)JNB CSIRT組織概要2.SMSを利用したフィッシング(不正送金)
(1)不審なSMSについて (1)不審なSMSについて (2)具体的な画面遷移 (3)対処内容 今 事例 特徴 (4)今回の事例の特徴3.その他不正送金関連事案
3.その他不正送金関連事案
(1)パソコンでの事例1(金融マルウェア) (2)パソコンでの事例2(≠金融マルウェア) (3)スマートフォン(金融マルウェア?) (3)スマートフォン(金融マルウェア?) (4)不審な電話 (5)不正送金の発覚を遅らせる 24.金融機関内の情報共有(金融ISACの取り組み)
1.ジャパンネット銀行について
(1)会社概要
名称 :株式会社ジャパンネット銀行 事業内容 インタ ネ ト専業銀行(1)会社概要
事業内容:インターネット専業銀行 所在地 :東京都新宿区西新宿2-1-1 資本金 :372億円(2015年3月末) 資本金 :372億円(2015年3月末) 口座数 :305万口座(2015年10月末) 「日本初のインターネット専業銀行」 「日本初のインターネット専業銀行」 ・2000年9月19日設立 ・2000年10月12日開業 当社のチャレンジ精神 ・戦後初の普通銀行免許取得 ・新たな形態の銀行の第一号 ・日本初のインターネット専業銀行 3 ITによる金融サービスの向上、並びに低コストと高度なセキュリティ技術の両立1.ジャパンネット銀行について
(2)JNB CSIRT組織概要
10名で活動
JNB-CSIRT JNB-CSIRTは「セキュリティインシデント管理手続」で規定 社 内 リスク管理委員会 ミッションステートメント、活動方針、経営への報告事項、 運営方法 情報共有ル ル(TLP)などを規定 カスタマーセンター 情報 お客さま(2)JNB-CSIRT組織概要 ・・・
10名で活動
区分 概要 体制整備 規程類整備 【JNB-CSIRT活動方針】 内 体制と活動 内 IT本部 IT統括部 (システム対応) パッチ適用、アプリ、 イ 改修等 勘定系技術 WEB技術 運営方法、情報共有ルール(TLP)などを規定 投資管理 OA統括 未然防⽌活動 ・不正送⾦、DDoS、情報漏えい対策 ・標的型メール訓練 ・ログ分析⾼度化 ・情報収集、外部組織との連携 等 発⽣時の態勢 ・マニュアル整備、警戒態勢 等 内 容 各本部・事業部 インフラ改修等 OA技術 情報 情報確認 splunk サイバーセキュリティ 対策室(事務局) (メンバー) IT統括部:金子、飯塚、池田、二宮 岩本、小澤、藤川 IT 本 部 島崎 千葉 後藤 【活動内容】 インシデント統制・社内連絡、事象分析、ログ分析、 対策勧告、啓蒙活動、情報収集、外部組織連携等 連絡窓口 (各部業務) 法務、広報、顧客告知、 モニタリング、顧客サポート等 情報 情報 連携 情報確認 ログ調査 IT 本 部:島崎、千葉、後藤 外部活動への参加 ・ワーキンググループ(WGメンバー参加、講師など) ・セミナー受講、各組織会合への参加、会員との親交 など メーリングリストによる情報交換 ・セキュリティ事案の詳細情報 ・不正IPアドレス、URL等の情報 ・対策、他行CSIRTの対応状況など 金融ISAC 日本シーサート協議会(NCA) 警視庁 生活安全部 サイバー犯罪対策課 国内金融機関130会員 JNBは2014/8/1加盟 国内事業者103会員 JNBは2013/10/4加盟 警視庁公安部 サイバーテロ対策協議会 重要インフラ事業者54会員 関連 す る 共同対処協定書 4 警察庁 生活安全局 情報技術犯罪対策課 SMFG/JRI +他行CSIRT JPCERT/CC 重要インフラ事業者54会員 JNBは2010/6/24加盟 る 外部組織 共同対処協定書 2012/12/19締結 全銀協 金融庁 日銀 EMC ヤフー2.SMSを利用したフィッシング(不正送金)
(1)不審なSMSについて
(1)不審なSMSについて
■2015年 7月 JNBを騙りパスワード変更を要求するSMSが送信された。
(2)実際の画面遷移について
2.SMSを利用したフィッシング(不正送金)
①ログイン情報の入力
(2)実際の画面遷移について
2.SMSを利用したフィッシング(不正送金)
②暗証番号、ワンタイムパスワード入力。③「お待ちください」のまま進まず。 よく見ると URL欄にログイン情報の よく見ると、URL欄にログイン情報の 一部が含まれている。 7(3)対処内容
2.SMSを利用したフィッシング(不正送金)
①フィッシングサイトのテイクダウン依頼(3)対処内容
②お客さまへの注意喚起(ホームページ、メール) ③各種ブラウザからの不正サイト報告 ④フィッシング画面におとりデータ(ダミー情報)入力 →接続してきたIPアドレス(犯罪者と推測)をブロック ⑤関係機関への報告、他金融機関への情報連携。 8(4)今回の事例の特徴
2.SMSを利用したフィッシング(不正送金)
(当初) なぜか利用するブラウザ判定により偽JNB or 偽他銀行 へ振り分け(4)今回の事例の特徴
・なぜか利用するブラウザ判定により偽JNB or 偽他銀行 へ振り分け (改善1) (改善1) ・誤った判定ロジックを修正。どのブラウザでも偽JNBサイトに接続 (改善2) ・ドメイン(URL)に「JNB」の文字列を含みそれっぽくなってきた。 (でも) ・日本語は変なまま日本語は変なまま www.XXXXXX.com により ・・・「により」って パスワードは定期に変更 ・・・「定期に」って 9(1)パソコンでの事例1(金融マルウ ア)
3.その他不正送金関連事案
(1)パソコンでの事例1(金融マルウェア)
■ 2014年 7月 ログイン時にウイルス対策ソフトのインストールを求める。 「M Af 「N 「無料 布中 「JNB ゴ 記載 「McAfee」「Norton」「無料配布中」「JNBのロゴ」の記載。■ 2014年11月 上記と同じで「IBM Trusteer Rapport」の表示 ■ 2014年11月 上記と同じで「IBM Trusteer Rapport」の表示。 ■ 2014年11月 ログイン時にワンタイムパスワードの入力を求める
ケースで入力後のメッセージが変化。
「XX時~XX時はシステムメンテナンス中のため利用できない。」
※時間は2時間 PC カ 時刻を参照
※時間は2時間。PCのローカル時刻を参照?
■ 2015年 1月 Firefoxで証明書エラー(sec error unknown issuer) ■ 2015年 1月 Firefoxで証明書エラ (sec_error_unknown_issuer)。
IEではログイン画面と別に電話番号の入力を求める。
3.その他不正送金関連事案
(2)パソコンでの事例2(
≠
金融マルウ ア)
(2)パソコンでの事例2(
≠
金融マルウェア)
■2015年3月の事例 ・アドレス欄は「maikosof」と表示 EVSSLの緑色を維持 ・アドレス欄は「maikosof」と表示。EVSSLの緑色を維持。 ■2015年4月の事例 ・店番号、口座番号、ワンタイムパスワードの入力欄ありとの連絡あり。店番号、口座番号、ワンタイムパスワ ドの入力欄ありとの連絡あり。 ・WEBインジェクションされたようにも思えたが、当該お客さまは、IBM Trusteer Rapportのインストールあり。 ・IEのプロキシ設定確認も、「proxy.pac」等の設定は空欄。
3.その他不正送金関連事案
(3)スマ トフォン(金融マルウ ア
?
)
(3)スマートフォン(金融マルウェア
?
)
■2014年7月 ログイン後の操作時にウイルス対策ソフトのインストールを 求められたと 電あり (A d id) 求められたとの入電あり。(Android) インストールすると「お使いの端末は利用できません」、 その後フリーズして 元の画面に戻った その後フリ ズして、元の画面に戻った。 ■2015年1月 ホーム画面設置の当社アイコンクリック時に 「緊急事態が起きています。詐欺の疑いがありますので ワンタイムパスワードを入力してください。」と表示。 (iOS J ilB kはし な と 申し出) (iOS、JailBreakはしていないとの申し出) その後 再現確認も事象再発せず その後、再現確認も事象再発せず。 123.その他不正送金関連事案
(4)不審な電話
(4)不審な電話
■2015年 4月 JNBや警察を騙り、ワンタイムパスワード詐取を狙う不審な電話 ・お客さまの申し出(例)。 ① JNBの○○(非通知)より『口座情報が見られている、別途、警察から連絡する』 ② 警察(非通知)より連絡があり『口座が操作されている。』 ③ JNBの××(非通知)より『口座凍結した方が良い。』 ④ キャッシュカード、トークンを手元に準備させる。など ④ キャッシ カ 、 クンを手元 準備さ る。な ⇒お客さまは途中で切断も最終的にワンタイムパスワード詐取を狙うものと推測。 ・補足情報補足情報 ①当社の電話番号(03-6739-5000)の偽装事例あり。海外の偽装サービスと推測。 お客さまの電話機の表示は 81-3-6739-5000(参考)http://allabout.co.jp/gm/gc/48282/2/ ②携帯電話(090 2153 06XX)に折り返しかけさせようとする手口もあり ②携帯電話(090-2153-06XX)に折り返しかけさせようとする手口もあり。 ③犯罪者は片言ではない。(日本人が架電と推測される) ■2015年 7月 JNBを騙り不審な電話 やりとり型の手口をやめ 13 ■2015年 7月 JNBを騙り不審な電話。やりとり型の手口をやめ、 1回の電話でワンタイムパスワード詐取を狙う手口に変化。4.金融機関内の情報共有(金融ISACの取り組み)
(1)IP&UAの情報共有の目的について
(1)IP&UAの情報共有の目的について
なりすましログイン有無の調査により ・不正送金の早期検知 UA:UserAgent(OS、ブラウザ情報) (例)Mozilla/5.0 (Windows NT 6.1;Trident/7 0; rv:11 0) like Gecko
不正送金の早期検知
・注意喚起による不正送金の未然防止
(2)共有情報ごとの利用目的
Trident/7.0; rv:11.0) like Gecko Windows NT6.1・・・Windows 7 rv:11.0 ・・・Internet Explorer 11.0 ※利用端末のOS・ブラウザの推測が可能 (偽装可能なため注意)