5月16日(金) 18:00に以下のSMSが届いた
- SBI証券の会員ではないのと以下の特徴からすぐにフィッシングと分かった
- 先頭の謎のアンダーバー「__SBI_証券」
- リンクされているURL、特にTLD「vmsipfq.top」
- 最後の謎のGoogleマップへのリンク
- 電話番号:+243はコンゴ、SMSのSaaSサービスまたはスプーフィングされている可能性あり?
- アクセスするとSBI証券のログインページと全く同じ見た目のサイトになっていた
- vmsipfq.topは「101.32.115.110」に名前解決される
- vmsipfq.topのWhoisによれば、レジストラは「Hefei Juming Network Technology Co., Ltd」で中国のレジストラ
Domain Name: vmsipfq.top
Registry Domain ID: D20250516G10001G_46740822-top
Registrar WHOIS Server: whois.jumi.com
Registrar URL: http://www.jumi.com
Updated Date: 2025-05-16T02:24:39Z
Creation Date: 2025-05-16T02:24:38Z
Registry Expiry Date: 2026-05-16T02:24:38Z
Registrar: Hefei Juming Network Technology Co., Ltd
Registrar IANA ID: 3758
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +86.01058813521
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: serverHold https://icann.org/epp#serverHold
Domain Status: addPeriod https://icann.org/epp#addPeriod
- 証明書は5/16にLet’s Encryptで取得
初期の所感
- 以下のタイムスタンプ(UTC)から攻撃自体が自動化されている可能性が高い
- 2025-05-16 02:24:38 ドメイン取得
- 2025-05-16 02:50:12 証明書取得
- 2025-05-16 09:00:00 フィッシングメール送信
- ホスティング業者・レジストラ業者がともに中国であることから中国発の攻撃の可能性が高い
VirusTotal
- VirusTotalで同IPアドレスを見ると、以下のホスト名が浮かび上がる(ABC順)
akrydpsc.top
bgvculkb.top
bjbfcaio.top
bryrsqn.top
btsifjn.top
catpalf.top
cismnqcm.top
cmfvtrh.top
cvioste.top
ebevpuwy.top
ecvocqxi.top
egfqzqh.top
envumhnx.top
erepclv.top
fhsxcpfh.top
gdvmmxog.top
gklzvyg.top
gndjpmf.top
hbkvjmim.top
hiokillc.top
hlzrdttk.top
hmctddt.top
hreyqlul.top
jwrqfjpr.top
kpgutyzt.top
kywcechr.top
llfkuljb.top
lnzivcay.top
lusxtkve.top
mgxotgp.top
mtntuji.top
nulrhpxk.top
nvtgjoi.top
obdugesm.top
prgxigk.top
qlivkkdq.top
rdgosen.top
rjpeqbqw.top
rukwmwgp.top
rybqsgv.top
sbisec-bkf.top
sbisec-cpp.top
sbisec-dch.top
sbisec-fhv.top
sbisec-krw.top
sbisec-leo.top
sbisec-lim.top
sbisec-npo.top
sbisec-onh.top
sbisec-vgh.top
sg184.bll10.xyz
snhuhux.top
srgehxu.top
ssmyxnq.top
ssvkhugn.top
tsdgcsit.top
tukpuhgn.top
ufqzxvb.top
ukunzlcd.top
ummjkgha.top
vaqkwjl.top
vblmmlk.top
vfuqwkf.top
vkkwtcib.top
vmsipfq.top
vukvbpe.top
wguoylf.top
xkcyvfq.top
yoanctt.top
zospjxso.top
zzvmvip.top
- ほとんどが.topというTLDを利用している
URLScan.IO
akzwgnue.top
bbrxszlf.top
cetddgyb.top
cudcbane.top
cvioste.top
dbdnsfpk.top
fftpqres.top
hbwsusht.top
hlsqugde.top
ihkkvwqf.top
iqcmfbjf.top
iqymxihi.top
lcnfqros.top
lumcczhn.top
my-sbi-sbi4sec-co-jp.com
mysbi-sbi4sec-co-jp.com
nrojfjtp.top
nulrhpxk.top
okwevywu.top
ruteujaa.top
sbi-4seccojp.com
sbisec-cpp.top
titubofk.top
tjsgfyzx.top
tkyegzoe.top
xedjpule.top
xurfenxs.top
ynxckxuv.top
yoanctt.top
zgpnmxxs.top
zigibesw.top
また上記のFQDNに紐づくIPアドレスも取得できた
43.167.238.21 - TencentのIPアドレス
196.251.88.108 - CheapyHostのIPアドレス
my-sbi-sbi4sec-co-jp.com
mysbi-sbi4sec-co-jp.com
sbi-4seccojp.com
sbi4seccojp.com
usobufogmlf.com
ajkghkpq.top
akzwgnue.top
atm999.top
bbrxszlf.top
blsmwkhg.top
cetddgyb.top
cpjbihlh.top
cqcgwgye.top
cudcbane.top
dbdnsfpk.top
dxnwqphm.top
eensknho.top
efhhhlww.top
ekdrdwwt.top
ektlsyhn.top
eubnbyrb.top
euxdzlnv.top
fcpblqbt.top
fftpqres.top
fmbrpcqf.top
fpefieyl.top
garqrpif.top
gfbhwrix.top
gnmoylee.top
gpbkqksx.top
hbwsusht.top
hkgzizmb.top
hlsqugde.top
htqtpjve.top
ihkkvwqf.top
imjzvvmu.top
iqcmfbjf.top
iqymxihi.top
iwujnmym.top
jidcyqce.top
jkfrmuvk.top
jmsxtmrz.top
kqhvxdyr.top
lcnfqros.top
lgtrgsuy.top
losckfla.top
lrenuuse.top
lumcczhn.top
lzblnkmb.top
mbmydkhe.top
ngdahhny.top
nieqevfe.top
nixsgubx.top
nmvqliin.top
nomura-mvs.top
nomura-scx.top
nrojfjtp.top
ntvrhlwo.top
nuuqsuei.top
okwevywu.top
ovjotvxx.top
pbipvhwv.top
pmcegqiu.top
pskrhjkh.top
rglydbtu.top
rluesewd.top
ruteujaa.top
sbqqvhd.top
sbydrcrl.top
snvbyxr.top
ssesekrf.top
titubofk.top
tjsgfyzx.top
tkyegzoe.top
tpheiwjw.top
ubtqbjnu.top
vdzmtai.top
viqxqehm.top
vnvqchaw.top
vxgbhoct.top
www.dxnwqphm.top
www.hbwsusht.top
www.nuuqsuei.top
www.vnvqchaw.top
xedjpule.top
xjiwubwf.top
xurfenxs.top
yhtxrmmo.top
yjjsjwzr.top
ynxckxuv.top
zgpnmxxs.top
zigibesw.top
Google検索でinurl:"/sbisec"を試したが、いずれのフィッシングサイトも寿命が短く、他のサイトからリンクされていないため、本家以外は出てこなかった。
https://www.google.com/search?q=inurl:%22/sbisec%22
-
それぞれのドメイン取得日時・レジストラ、証明書発行、CA、名前解決されるIPアドレスをまとめてみた
-
nomuraの文字列もあり、野村證券もターゲットになっている可能性がある
-
5/6からほぼ毎日のようにアクティブであり、手順は自動化ないしはマニュアル化されている可能性が高い
-
名前解決できないホスト名が多いことからドメインは使い捨てと思われる
-
直近で利用しているレジストラは
Hefei JumingとGname.comとなっている -
証明書はすべてLet’s Encryptから発行されている
-
TLDはほぼすべてが.topである
-
これらのことから、Let’s EncryptのCertificate Transparency(※)を監視し、新しく取得された.topを監視し、IPアドレスの収集および/sbisecのパスをチェックすることで新しいドメインが能動的に見つけられるかもしれない
※ 新たに取得された証明書の情報を公開する仕組み(https://letsencrypt.org/ja/docs/ct-logs/ 参照)
Views: 0
