はじめに
今年2月、東京地方検察庁の偽サイトを使用した特殊詐欺事件が各メディアで報じられました。
その後も同様の手口により金銭を窃取される事案が複数報道されています。
本記事では、東京地方検察庁の偽サイトを使用した特殊詐欺に関して現時点で確認できていることをまとめてみたいと思います。
東京地方検察庁の偽サイトについて
一連の特殊詐欺事件で使用されている東京地方検察庁の偽サイトは以下のような外観を持ちます。
一見すると本物のサイトと見分けがつきませんが、以下の2か所が本物サイトには存在しません。
一つ目はページ下部の[事件内容]リンク。
もう一つは画面右上の[調査中事件]リンクです。
[事件内容]リンクをクリックすると、架空のマネーロンダリング事件の内容を記載したPDFファイルがダウンロードされます。
上記画像は、2018年6月バージョンであり、他にも4月26日版(容疑者名:高橋 誠(37))と2月16日版(容疑者名:佐々木 一(37))の存在が確認できています。
[調査中事件]リンクをクリックすると、今度は氏名と事件番号を入力させるフォームが登場します。
この入力フォームには適当な文字を入れたとしてもエラーが表示され、次に進むことができません。
ソースコードを見てみると、次に進むためのヒントがあります。
入力値を検証するための json ファイルが存在し、当該ファイルに定義された氏名と事件番号と入力値が一致する場合のみ、次の画面に遷移できるという仕掛けになっているようです。
json ファイル (../../data/source.json) には以下のような内容が定義されています。
※ 一部マスクしています。
ここで定義された、姓(lastname)、名(firstname)、事件番号(fhNum)、を入力することで、先に進むことができます。
※ 確認する限り、事件番号は固定値(011046381849)で、姓名はいずれもUnicodeエスケープシーケンスで表現されています。
で、先に進むと、東京地方裁判所を模したハンコが押された”通達事項”なるページの登場です。
参考人の欄に、前頁で入力した氏名が表示される仕掛けになっています。
捜査に協力せよ、他言無用、正当な財産を所有することを証明せよ、と記載されています。
犯行の手口について
このような偽サイトを用意した上で、犯行グループは電話口で被害者を偽サイトに誘導し、フォームへの入力を促し、偽物の裁判所からの文書を提示することで、銀行口座の操作を実行させるようです。
実害には至らなかったものの、同様の手口に遭遇された方のブログが公開されています。
犯行グループは、『警視庁捜査一課』を名乗って、電話口でIPアドレスを伝えて偽サイトに誘導するようです。
さらにTwitterではこんなツイートもありました。
無理やり駆け足でまとめ
この偽サイトは常時公開されている訳ではなく、サイトを閉じた状態で前述の json ファイルを更新し、偽サイトをオープンな状態にした上で架電するという段取りを踏んでいるように見えます。
サイトが開いているのは、平日の午前11時~午後1時の時間帯が多いようです。
前述の報道内容から、ターゲットは30代~40代の女性であり、犯行グループはターゲットの氏名と連絡先を把握した上で攻撃を仕掛けてくるように見受けられます。
偽サイトのIPアドレスは時折変更されるようで、監視の目を掻い潜ろうとしているかのように見えます。
確認したところ、以下のIPアドレスで公開されていた形跡が確認できています。
174.139.183.242
67.229.156.106
67.229.62.12
67.198.226.27
何れも AS35908(Krypt Technologies) 配下のIPアドレスです。
これだけは憶えておきましょう
『050』番号からの『警視庁捜査一課』を名乗る電話は詐欺です。
ハンコ付きのWebページには何の効力もありません。
電話で人の口座を操作するなんぞ、失礼極まりありません。
知らない人からの電話は疑ってかかりましょう。
最後に
ザッと駆け足で書いたため、読みづらい点、まとまっていない点が多々あるかと思います。
今後少し時間をかけて整理していきますので、ご容赦ください。
以上