アジェンダ 1. ジャパンネット銀行について (1) 会社概要 (2)JNB-CSIRT 組織概要 2.SMS を利用したフィッシング ( 不正送金 ) (1) 不審な SMS について (2) 具体的な画面遷移 (3) 対処内容 (4) 今回の事例の特徴 3. その他不正送金関連事案 (1) パソ

ジャパンネット銀行

グ

-SMSを利用したフィッシング（不正送金）-2015年11月

2015年11月

http://www japannetbank co jp/

http://www.japannetbank.co.jp/

ジ

アジェンダ

１．ジャパンネット銀行について

（１）会社概要 （２）JNB-CSIRT組織概要 （２）JNB CSIRT組織概要

２．SMSを利用したフィッシング（不正送金）

（１）不審なSMSについて （１）不審なSMSについて （２）具体的な画面遷移 （３）対処内容 今 事例 特徴 （４）今回の事例の特徴

３．その他不正送金関連事案

３．その他不正送金関連事案

（１）パソコンでの事例１（金融マルウェア） （２）パソコンでの事例２（≠金融マルウェア） （３）スマートフォン（金融マルウェア？） （３）スマートフォン（金融マルウェア？） （４）不審な電話 （５）不正送金の発覚を遅らせる 2

４．金融機関内の情報共有（金融ISACの取り組み）

１.ジャパンネット銀行について

（１）会社概要

名称 ：株式会社ジャパンネット銀行 事業内容 インタ ネ ト専業銀行

（１）会社概要

事業内容：インターネット専業銀行 所在地 ：東京都新宿区西新宿2-1-1 資本金 ：３７２億円（2015年3月末） 資本金 ：３７２億円（2015年3月末） 口座数 ：３０５万口座（2015年10月末） 「日本初のインターネット専業銀行」 「日本初のインターネット専業銀行」 ・2000年9月19日設立 ・2000年10月12日開業 当社のチャレンジ精神 ・戦後初の普通銀行免許取得 ・新たな形態の銀行の第一号 ・日本初のインターネット専業銀行 3 ITによる金融サービスの向上、並びに低コストと高度なセキュリティ技術の両立

１.ジャパンネット銀行について

（２）JNB CSIRT組織概要

10名で活動

JNB-CSIRT JNB-CSIRTは「セキュリティインシデント管理手続」で規定 社 内 リスク管理委員会 ミッションステートメント、活動方針、経営への報告事項、 運営方法 情報共有ル ル（TLP）などを規定 カスタマーセンター 情報 お客さま

（２）JNB-CSIRT組織概要 ・・・

10名で活動

区分 概要 体制整備 規程類整備 【JNB-CSIRT活動方針】 内 体制と活動 内 IT本部 IT統括部 （システム対応） パッチ適用、アプリ、 イ 改修等 勘定系技術 WEB技術 運営方法、情報共有ルール（TLP）などを規定 投資管理 OA統括 未然防⽌活動 ・不正送⾦、DDoS、情報漏えい対策 ・標的型メール訓練 ・ログ分析⾼度化 ・情報収集、外部組織との連携 等 発⽣時の態勢 ・マニュアル整備、警戒態勢 等 内 容 各本部・事業部 インフラ改修等 OA技術 情報 情報確認 splunk サイバーセキュリティ 対策室（事務局） （メンバー） IT統括部：金子、飯塚、池田、二宮 岩本、小澤、藤川 IT 本 部 島崎 千葉 後藤 【活動内容】 インシデント統制・社内連絡、事象分析、ログ分析、 対策勧告、啓蒙活動、情報収集、外部組織連携等 連絡窓口 （各部業務） 法務、広報、顧客告知、 モニタリング、顧客サポート等 情報 情報 連携 情報確認 ログ調査 IT 本 部：島崎、千葉、後藤 外部活動への参加 ・ワーキンググループ（WGメンバー参加、講師など） ・セミナー受講、各組織会合への参加、会員との親交 など メーリングリストによる情報交換 ・セキュリティ事案の詳細情報 ・不正IPアドレス、URL等の情報 ・対策、他行CSIRTの対応状況など 金融ISAC 日本シーサート協議会（NCA） 警視庁 生活安全部 サイバー犯罪対策課 国内金融機関130会員 JNBは2014/8/1加盟 国内事業者103会員 JNBは2013/10/4加盟 警視庁公安部 サイバーテロ対策協議会 重要インフラ事業者54会員 関連 す る 共同対処協定書 4 警察庁 生活安全局 情報技術犯罪対策課 SMFG/JRI ＋他行CSIRT JPCERT/CC 重要インフラ事業者54会員 JNBは2010/6/24加盟 る 外部組織 共同対処協定書 2012/12/19締結 全銀協 金融庁 日銀 EMC ヤフー

２.SMSを利用したフィッシング（不正送金）

（１）不審なSMSについて

（１）不審なSMSについて

■2015年 7月 JNBを騙りパスワード変更を要求するSMSが送信された。

（２）実際の画面遷移について

２.SMSを利用したフィッシング（不正送金）

①ログイン情報の入力

（２）実際の画面遷移について

２.SMSを利用したフィッシング（不正送金）

②暗証番号、ワンタイムパスワード入力。③「お待ちください」のまま進まず。 よく見ると ＵＲＬ欄にログイン情報の よく見ると、ＵＲＬ欄にログイン情報の 一部が含まれている。 7

（３）対処内容

２.SMSを利用したフィッシング（不正送金）

①フィッシングサイトのテイクダウン依頼

（３）対処内容

②お客さまへの注意喚起（ホームページ、メール） ③各種ブラウザからの不正サイト報告 ④フィッシング画面におとりデータ（ダミー情報）入力 →接続してきたIPアドレス（犯罪者と推測）をブロック ⑤関係機関への報告、他金融機関への情報連携。 8

（４）今回の事例の特徴

２.SMSを利用したフィッシング（不正送金）

（当初） なぜか利用するブラウザ判定により偽ＪＮＢ or 偽他銀行 へ振り分け

（４）今回の事例の特徴

・なぜか利用するブラウザ判定により偽ＪＮＢ or 偽他銀行 へ振り分け （改善１） （改善１） ・誤った判定ロジックを修正。どのブラウザでも偽ＪＮＢサイトに接続 （改善２） ・ドメイン（ＵＲＬ）に「ＪＮＢ」の文字列を含みそれっぽくなってきた。 （でも） ・日本語は変なまま日本語は変なまま www.XXXXXX.com により ・・・「により」って パスワードは定期に変更 ・・・「定期に」って 9

（１）パソコンでの事例１（金融マルウ ア）

３.その他不正送金関連事案

（１）パソコンでの事例１（金融マルウェア）

■ 2014年 7月 ログイン時にウイルス対策ソフトのインストールを求める。 「M Af 「N 「無料 布中 「JNB ゴ 記載 「McAfee」「Norton」「無料配布中」「JNBのロゴ」の記載。

■ 2014年11月 上記と同じで「IBM Trusteer Rapport」の表示 ■ 2014年11月 上記と同じで「IBM Trusteer Rapport」の表示。 ■ 2014年11月 ログイン時にワンタイムパスワードの入力を求める

ケースで入力後のメッセージが変化。

「XX時～XX時はｼｽﾃﾑﾒﾝﾃﾅﾝｽ中のため利用できない。」

※時間は2時間 PC カ 時刻を参照

※時間は2時間。PCのローカル時刻を参照？

■ 2015年 1月 Firefoxで証明書エラー（sec error unknown issuer） ■ 2015年 1月 Firefoxで証明書エラ （sec_error_unknown_issuer）。

IEではログイン画面と別に電話番号の入力を求める。

３.その他不正送金関連事案

（２）パソコンでの事例２（

≠

金融マルウ ア）

（２）パソコンでの事例２（

≠

金融マルウェア）

■2015年3月の事例 ・アドレス欄は「maikosof」と表示 EVSSLの緑色を維持 ・アドレス欄は「maikosof」と表示。EVSSLの緑色を維持。 ■2015年4月の事例 ・店番号、口座番号、ワンタイムパスワードの入力欄ありとの連絡あり。店番号、口座番号、ワンタイムパスワ ドの入力欄ありとの連絡あり。 ・WEBインジェクションされたようにも思えたが、

当該お客さまは、IBM Trusteer Rapportのインストールあり。 ・IEのプロキシ設定確認も、「proxy.pac」等の設定は空欄。

３.その他不正送金関連事案

（３）スマ トフォン（金融マルウ ア

？

）

（３）スマートフォン（金融マルウェア

？

）

■2014年7月 ログイン後の操作時にウイルス対策ソフトのインストールを 求められたと 電あり （A d id） 求められたとの入電あり。（Android） インストールすると「お使いの端末は利用できません」、 その後フリーズして 元の画面に戻った その後フリ ズして、元の画面に戻った。 ■2015年1月 ホーム画面設置の当社アイコンクリック時に 「緊急事態が起きています。詐欺の疑いがありますので ワンタイムパスワードを入力してください。」と表示。 （iOS J ilB kはし な と 申し出） （iOS、JailBreakはしていないとの申し出） その後 再現確認も事象再発せず その後、再現確認も事象再発せず。 12

３.その他不正送金関連事案

（４）不審な電話

（４）不審な電話

■2015年 4月 JNBや警察を騙り、ワンタイムパスワード詐取を狙う不審な電話 ・お客さまの申し出（例）。 ① _{JNBの○○（非通知）より『口座情報が見られている、別途、警察から連絡する』} ② 警察（非通知）より連絡があり『口座が操作されている。』 ③ _{JNBの××（非通知）より『口座凍結した方が良い。』} ④ キャッシュカード、トークンを手元に準備させる。など ④ キャッシ カ 、 クンを手元 準備さ る。な ⇒お客さまは途中で切断も最終的にワンタイムパスワード詐取を狙うものと推測。 ・補足情報補足情報 ①当社の電話番号（_{03-6739-5000）の偽装事例}あり。海外の偽装サービスと推測。 お客さまの電話機の表示は _{81-3-6739-5000}（参考）http://allabout.co.jp/gm/gc/48282/2/ ②携帯電話（_{090 2153 06XX）に折り返しかけさせようとする手口もあり} ②携帯電話（_{090-2153-06XX）に折り返しかけさせようとする手口もあり。} ③犯罪者は片言ではない。（日本人が架電と推測される） ■2015年 7月 JNBを騙り不審な電話 やりとり型の手口をやめ 13 ■2015年 7月 JNBを騙り不審な電話。やりとり型の手口をやめ、 1回の電話でワンタイムパスワード詐取を狙う手口に変化。

４.金融機関内の情報共有（金融ISACの取り組み）

（１）IP＆UAの情報共有の目的について

（１）IP＆UAの情報共有の目的について

なりすましログイン有無の調査により ・不正送金の早期検知 UA：UserAgent（OS、ブラウザ情報） （例）Mozilla/5.0 (Windows NT 6.1;

Trident/7 0; rv:11 0) like Gecko

不正送金の早期検知

・注意喚起による不正送金の未然防止

（２）共有情報ごとの利用目的

Trident/7.0; rv:11.0) like Gecko Windows NT6.1・・・Windows 7 rv:11.0 ・・・Internet Explorer 11.0 ※利用端末のOS・ブラウザの推測が可能 （偽装可能なため注意）

（２）共有情報ごとの利用目的

（偽装可能なため注意） No 共有情報 利用目的 1 不正送金に使われた IP＆UA なりすましログイン有無の調査 2 アグリゲ シ ンのIP＆UA なりすましログインでないことの 2 アグリゲーションのIP＆UA なりすま グイン な 早期切り分け 3 VPS等サービスのIP＆UA等 なりすましログインの判断材料 （後押しの材料） 4 中華系ブラウザのUA 15 5 その他怪しいUA

まとめ

今回学んだこと

・スピーディな対処には事前の作業分担決め、

スピ ディな対処には事前の作業分担決め、

平常時の訓練が重要

・SMSを使ったフィッシングは不正送金の

手

すぎな

手口の１つにすぎない

・他組織との情報交換は極めて重要

（攻撃手口 対処方法を事前に把握可能）

（攻撃手口、対処方法を事前に把握可能）