View
4
Download
0
Category
Preview:
Citation preview
ジャパンネット銀行グ-SMSを利用したフィッシング(不正送金)-
2015年11月2015年11月
http://www japannetbank co jp/http://www.japannetbank.co.jp/
ジ
アジェンダ
1.ジャパンネット銀行について(1)会社概要(2)JNB-CSIRT組織概要(2)JNB CSIRT組織概要
2.SMSを利用したフィッシング(不正送金)(1)不審なSMSについて(1)不審なSMSについて(2)具体的な画面遷移(3)対処内容
今 事例 特徴(4)今回の事例の特徴
3.その他不正送金関連事案3.その他不正送金関連事案(1)パソコンでの事例1(金融マルウェア)(2)パソコンでの事例2(≠金融マルウェア)(3)スマートフォン(金融マルウェア?)(3)スマートフォン(金融マルウェア?)(4)不審な電話(5)不正送金の発覚を遅らせる
24.金融機関内の情報共有(金融ISACの取り組み)
1.ジャパンネット銀行について
(1)会社概要名称 :株式会社ジャパンネット銀行
事業内容 インタ ネ ト専業銀行
(1)会社概要
事業内容:インターネット専業銀行
所在地 :東京都新宿区西新宿2-1-1
資本金 :372億円(2015年3月末)資本金 :372億円(2015年3月末)
口座数 :305万口座(2015年10月末)
「日本初のインターネット専業銀行」「日本初のインターネット専業銀行」
・2000年9月19日設立
・2000年10月12日開業
当社のチャレンジ精神
・戦後初の普通銀行免許取得
・新たな形態の銀行の第一号
・日本初のインターネット専業銀行
3ITによる金融サービスの向上、並びに低コストと高度なセキュリティ技術の両立
1.ジャパンネット銀行について
(2)JNB CSIRT組織概要 10名で活動
JNB-CSIRT
JNB-CSIRTは「セキュリティインシデント管理手続」で規定
社内
リスク管理委員会
ミッションステートメント、活動方針、経営への報告事項、運営方法 情報共有ル ル(TLP)などを規定
カスタマーセンター情報 お客さま
(2)JNB-CSIRT組織概要 ・・・10名で活動
区分 概要体制整備 規程類整備
【JNB-CSIRT活動方針】
内体制と活動内
IT本部IT統括部
(システム対応)パッチ適用、アプリ、イ 改修等
勘定系技術
WEB技術
運営方法、情報共有ルール(TLP)などを規定
投資管理
OA統括
未然防⽌活動・不正送⾦、DDoS、情報漏えい対策・標的型メール訓練・ログ分析⾼度化・情報収集、外部組織との連携 等
発⽣時の態勢 ・マニュアル整備、警戒態勢 等
内容
各本部・事業部
インフラ改修等OA技術
情報情報確認splunk
サイバーセキュリティ対策室(事務局)
(メンバー)IT統括部:金子、飯塚、池田、二宮
岩本、小澤、藤川IT 本 部 島崎 千葉 後藤
【活動内容】インシデント統制・社内連絡、事象分析、ログ分析、対策勧告、啓蒙活動、情報収集、外部組織連携等
連絡窓口
(各部業務)法務、広報、顧客告知、モニタリング、顧客サポート等
情報
情報
連携
情報確認ログ調査
IT 本 部:島崎、千葉、後藤
外部活動への参加・ワーキンググループ(WGメンバー参加、講師など)・セミナー受講、各組織会合への参加、会員との親交 など
メーリングリストによる情報交換・セキュリティ事案の詳細情報・不正IPアドレス、URL等の情報・対策、他行CSIRTの対応状況など
金融ISAC 日本シーサート協議会(NCA) 警視庁 生活安全部サイバー犯罪対策課
国内金融機関130会員JNBは2014/8/1加盟
国内事業者103会員JNBは2013/10/4加盟
警視庁公安部サイバーテロ対策協議会
重要インフラ事業者54会員
関連する 共同対処協定書
4警察庁 生活安全局情報技術犯罪対策課
SMFG/JRI+他行CSIRT
JPCERT/CC
重要インフラ事業者54会員JNBは2010/6/24加盟
る外部組織
共同対処協定書2012/12/19締結
全銀協 金融庁 日銀 EMC ヤフー
2.SMSを利用したフィッシング(不正送金)
(1)不審なSMSについて(1)不審なSMSについて
■2015年 7月 JNBを騙りパスワード変更を要求するSMSが送信された。
5
(2)実際の画面遷移について
2.SMSを利用したフィッシング(不正送金)
①ログイン情報の入力
(2)実際の画面遷移について
6
2.SMSを利用したフィッシング(不正送金)
②暗証番号、ワンタイムパスワード入力。③「お待ちください」のまま進まず。
よく見ると URL欄にログイン情報のよく見ると、URL欄にログイン情報の
一部が含まれている。
7
(3)対処内容
2.SMSを利用したフィッシング(不正送金)
①フィッシングサイトのテイクダウン依頼
(3)対処内容
②お客さまへの注意喚起(ホームページ、メール)
③各種ブラウザからの不正サイト報告
④フィッシング画面におとりデータ(ダミー情報)入力
→接続してきたIPアドレス(犯罪者と推測)をブロック
⑤関係機関への報告、他金融機関への情報連携。
8
(4)今回の事例の特徴
2.SMSを利用したフィッシング(不正送金)
(当初)
なぜか利用するブラウザ判定により偽JNB or 偽他銀行 へ振り分け
(4)今回の事例の特徴
・なぜか利用するブラウザ判定により偽JNB or 偽他銀行 へ振り分け
(改善1)(改善1)
・誤った判定ロジックを修正。どのブラウザでも偽JNBサイトに接続
(改善2)
・ドメイン(URL)に「JNB」の文字列を含みそれっぽくなってきた。
(でも)
・日本語は変なまま日本語は変なまま
www.XXXXXX.com により ・・・「により」って
パスワードは定期に変更 ・・・「定期に」って
9
(1)パソコンでの事例1(金融マルウ ア)
3.その他不正送金関連事案
(1)パソコンでの事例1(金融マルウェア)
■ 2014年 7月 ログイン時にウイルス対策ソフトのインストールを求める。
「M Af 「N 「無料 布中 「JNB ゴ 記載「McAfee」「Norton」「無料配布中」「JNBのロゴ」の記載。
■ 2014年11月 上記と同じで「IBM Trusteer Rapport」の表示■ 2014年11月 上記と同じで「IBM Trusteer Rapport」の表示。
■ 2014年11月 ログイン時にワンタイムパスワードの入力を求める
ケースで入力後のメッセージが変化。
「XX時~XX時はシステムメンテナンス中のため利用できない。」
※時間は2時間 PC カ 時刻を参照※時間は2時間。PCのローカル時刻を参照?
■ 2015年 1月 Firefoxで証明書エラー(sec error unknown issuer)■ 2015年 1月 Firefoxで証明書エラ (sec_error_unknown_issuer)。
IEではログイン画面と別に電話番号の入力を求める。
10
3.その他不正送金関連事案
(2)パソコンでの事例2(≠金融マルウ ア)(2)パソコンでの事例2(≠金融マルウェア)■2015年3月の事例
・アドレス欄は「maikosof」と表示 EVSSLの緑色を維持・アドレス欄は「maikosof」と表示。EVSSLの緑色を維持。
■2015年4月の事例
・店番号、口座番号、ワンタイムパスワードの入力欄ありとの連絡あり。店番号、口座番号、ワンタイムパスワ ドの入力欄ありとの連絡あり。
・WEBインジェクションされたようにも思えたが、
当該お客さまは、IBM Trusteer Rapportのインストールあり。
・IEのプロキシ設定確認も、「proxy.pac」等の設定は空欄。
11
3.その他不正送金関連事案
(3)スマ トフォン(金融マルウ ア?)(3)スマートフォン(金融マルウェア?)
■2014年7月 ログイン後の操作時にウイルス対策ソフトのインストールを
求められたと 電あり (A d id)求められたとの入電あり。(Android)
インストールすると「お使いの端末は利用できません」、
その後フリーズして 元の画面に戻ったその後フリ ズして、元の画面に戻った。
■2015年1月 ホーム画面設置の当社アイコンクリック時に
「緊急事態が起きています。詐欺の疑いがありますので
ワンタイムパスワードを入力してください。」と表示。
(iOS J ilB kはし な と 申し出)(iOS、JailBreakはしていないとの申し出)
その後 再現確認も事象再発せずその後、再現確認も事象再発せず。
12
3.その他不正送金関連事案
(4)不審な電話(4)不審な電話
■2015年 4月 JNBや警察を騙り、ワンタイムパスワード詐取を狙う不審な電話
・お客さまの申し出(例)。① JNBの○○(非通知)より『口座情報が見られている、別途、警察から連絡する』② 警察(非通知)より連絡があり『口座が操作されている。』③ JNBの××(非通知)より『口座凍結した方が良い。』④ キャッシュカード、トークンを手元に準備させる。など④ キャッシ カ 、 クンを手元 準備さ る。な⇒お客さまは途中で切断も最終的にワンタイムパスワード詐取を狙うものと推測。
・補足情報補足情報①当社の電話番号(03-6739-5000)の偽装事例あり。海外の偽装サービスと推測。
お客さまの電話機の表示は 81-3-6739-5000(参考)http://allabout.co.jp/gm/gc/48282/2/②携帯電話(090 2153 06XX)に折り返しかけさせようとする手口もあり②携帯電話(090-2153-06XX)に折り返しかけさせようとする手口もあり。③犯罪者は片言ではない。(日本人が架電と推測される)
■2015年 7月 JNBを騙り不審な電話 やりとり型の手口をやめ
13
■2015年 7月 JNBを騙り不審な電話。やりとり型の手口をやめ、1回の電話でワンタイムパスワード詐取を狙う手口に変化。
4.金融機関内の情報共有(金融ISACの取り組み)
(1)IP&UAの情報共有の目的について(1)IP&UAの情報共有の目的についてなりすましログイン有無の調査により・不正送金の早期検知
UA:UserAgent(OS、ブラウザ情報)
(例)Mozilla/5.0 (Windows NT 6.1;
Trident/7 0; rv:11 0) like Gecko不正送金の早期検知・注意喚起による不正送金の未然防止
(2)共有情報ごとの利用目的
Trident/7.0; rv:11.0) like Gecko
Windows NT6.1・・・Windows 7rv:11.0 ・・・Internet Explorer 11.0
※利用端末のOS・ブラウザの推測が可能
(偽装可能なため注意)(2)共有情報ごとの利用目的 (偽装可能なため注意)
No 共有情報 利用目的
1 不正送金に使われた IP&UA なりすましログイン有無の調査
2 アグリゲ シ ンのIP&UAなりすましログインでないことの
2 アグリゲーションのIP&UAなりすま グイン な早期切り分け
3 VPS等サービスのIP&UA等
なりすましログインの判断材料
(後押しの材料)4 中華系ブラウザのUA
155 その他怪しいUA
まとめ
今回学んだこと
・スピーディな対処には事前の作業分担決め、スピ ディな対処には事前の作業分担決め、平常時の訓練が重要
・SMSを使ったフィッシングは不正送金の手 すぎな手口の1つにすぎない
・他組織との情報交換は極めて重要
(攻撃手口 対処方法を事前に把握可能)(攻撃手口、対処方法を事前に把握可能)
Recommended