orangeitems’s diary

40代ITエンジニアが毎日何か書くブログ

全国銀行協会の偽サイトをこっそり確認してみた

f:id:orangeitems:20180208004544j:plain

偽サイトあらわる

全国銀行協会の偽サイト(フィッシングサイト)が現れたそうです。

正しいURLは、

https://www.zenginkyo.or.jp/

です。偽サイトのほうは

http://www.zenginkyo.com/

です。偽サイトのほうには行かないようにしてくださいね。

私は仕事で知識があるので今回確認をしますが、サイトによってはウイルスなどが仕掛けられている場合もあります。アクセスすらしないほうがいいです。

 

ITmediaの報道はこちら。

www.itmedia.co.jp

スポンサーリンク

 

画面比較

本物

これが本物。

f:id:orangeitems:20180208000043p:plain

ニセモノ

かしこいSafariブラウザはきちんと、アクセスするなと教えてくれました。今回は調査のため続行します。

f:id:orangeitems:20180208000410p:plain

 

金融犯罪の手口、とかがコンテンツにありますがなんとも皮肉なサイトです。

f:id:orangeitems:20180208000603p:plain

よーくみると、一部表が微妙に崩れていますが、まー気づかないですね。これ。最近のはよくできてるなあ・・。ちょっとスタイルシートがおかしいぐらいな感じですが、すぐ修正できそうな感触です。ただ、いろんなリンクがエラーで押せなかったりして、触っていると不自然さは感じますが。あと、リリースが11月で止まっているのもおかしいといえばおかしい。

 

偽サイトのドメイン情報

さて、ここからは調査に入ります。

ドメインの公開登録情報(whois)です。

Domain Name: ZENGINKYO.COM
Registry Domain ID: 2192119930_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2017-11-26T11:33:12Z
Creation Date: 2017-11-26T11:20:42Z
Registry Expiry Date: 2018-11-26T11:20:42Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: 480-624-2505
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Name Server: NS1.DNS.COM
Name Server: NS2.DNS.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

>>> Last update of whois database: 2018-02-07T15:12:53Z <<< 

こちらからわかること。

・www.godaddy.comというホスティング業者でこのドメインを取ったようです。かつ、ドメインの所有者がわからないように、このホスティング事業者が代わりに管理者を名乗っているようです。多分に、webサーバーもgodaddyから一緒に借りたんだと思います。

・godaddy自体は、下記の記事の通り上場しています。業態とするとお名前.comに近いのかなと思いますが、グローバルに展開していて、まあ怪しい会社ではなさそうです。

itpro.nikkeibp.co.jp

・ちなみに、IPアドレスは、103.74.193.37です。どこかなー。

実は、IPアドレスというのは、どの通信事業者に貸し出されているかわかってしまいます。今回はここで調査します。

www.ip-domain-search.com

で、結果を見ると・・。

(略)

role: baud linker network co limited administrator
address: UNIT 04, 7/F BRIGHT WAY TOWER NO. 33 MONG KOK RD KL, Hongkong hongkong 700000
country: HK
phone: +85227935511
fax-no: +85227935511
e-mail: abuse@sondercloud.com
admin-c: BLNC1-AP
tech-c: BLNC1-AP
nic-hdl: BLNC1-AP
mnt-by: MAINT-BLNCL-HK
last-modified: 2017-12-04T03:52:54Z
source: APNIC

% Information related to '103.74.193.0/24AS133199'

route: 103.74.193.0/24
origin: AS133199
descr: baud linker network co., limited
UNIT 04, 7/F BRIGHT WAY TOWER NO. 33 MONG KOK RD KL
mnt-by: MAINT-BLNCL-HK
last-modified: 2016-10-28T04:11:07Z
source: APNIC

% This query was served by the APNIC Whois Service version 1.88.15-43 (WHOIS-JP3)

むむ、住所らしきものが見えますね。 香港の住所です。

Google Mapがこの住所の景色を教えてくれたので記念撮影しておきます。

f:id:orangeitems:20180208003611p:plain

この中央のビルが、このIPアドレスの持ち主の事業者がいるビルです。sondercloud.comという業者も、HPがありまして。中国語ですが雰囲気的にはデータセンターやってそうなので、ここがgodaddyに場所とインターネットを貸してるんでしょうね。

 

まあ香港に住んでる人が、香港でサーバー借りてフィッシングサイト作るってのも変なのですが、じゃあ誰が借りてんのここ、クレジットカードは誰の名義になってんのってやっていくと、足がつくと思います。

 

あーちなみに、今気づいたんですが、404が中国語。

f:id:orangeitems:20180208005529p:plain

ほぼサーバーは香港説で確定。しかも建てたのは中国人 or 香港人かなあ・・(中国語できる日本人もいるからなりすましかもしれませんけどね)。

 

しかし、香港といっても古い街並みはあるんですね。エキゾチックな感じがします。ほんとインターネットになって、物事が地球規模になっていると思います。