[SECURITY] 国内のサイトで不正侵入による偽ブランドショップ開設多発

せっせとコメントスパムを受け付けている(公開はしない)ブログシステムを持ってて、最近、これがハニーポット的な使い方ができると気付いて以来、国内の不正侵入被害サイトをいち早く知ることができるようになったのですが、気が向いた時には通報してみてることはこれまでに、Facebookの近況にも書きました。

が、ちょっと飽きてきました。
某国会議員のサイトやスキーリゾートなんか直しゃしないし、直されてもお礼の返事もないですし。(お礼は期待してないけど)
あと、静岡県の外郭団体のサイトなんかは連絡先がないので通報すらできませんでした。

なので、ちょっと最近の傾向を紹介。

不正設置されるもの

ただ改竄したり、HTMLファイルを置くだけでなく、今年に入ってくらいからはPHPプログラムを置きはじめてます。
現物を捕獲できていないので機能はわかりませんが、見かけはPHPプログラムで偽ブランド品の偽オンラインショップのカタログを表示しているだけのようです。画像取得やフォームのPOST先は海外のサーバになっています。

不正設置されたページ(PHP)は、そのサイト上にブランド品のカタログのようなものを表示します。
画像やらフラッシュやらは、海外のサーバのを参照するようになってます。

Webサイトを検査してくれるサービス「aguse」で取得したサイトの表示イメージです。

victimsiteimage

aguseによると危険なプログラムなどの仕掛けはみつかりませんが、油断は禁物です。

PHPプログラムが置かれているということは、そのサイトのApache権限でできることは何でもできるということです。CMSでデータベースにアクセスしていれば、環境によってはそのデータベースへアクセスするための情報が盗めるかもしれません。CMSが使うデータベースへアクセスできるということは、そこのサイトを好き勝手に改竄できるということでもあります。

最近設置されているのを確認できたファイルは、cl.php, celine.php, prada.php, ysl.phpなどです。
それぞれ、セリーヌ、プラダ、イヴサンローランなどの高級ブランド用となってます。

先週くらいには、石垣島にある店や会社のサイトがまとめて設置されてます。おそらく同じ地元業者に頼んで作ったサイトなのでしょう。

目的は?

不正設置されたページから何かのアクションを取ると、別のサイトへ飛ぶようになっています。

最初に、ブログへのコメントスパムのことを述べましたが、コメントスパムではブランド品の紹介が書かれており、投稿者のサイトとして不正設置されたサイトのURLが書かれています。
不正設置されたサイトではなく、予め用意しているジャンプ先の偽ブランド偽ショップのURLを貼った方が良さそうな気もします。

そう考えると、不正設置をしてまでカタログをばら蒔く意味が解りません。
負荷分散なんでしょうか。
それともリンクファームなんでしょうか。

謎です…。

と思ったら、おそらく偽ショップと思われるコメントスパムが出てきました。まだ各社セキュリティ会社のレピュテーションは未評価ですが、日本の会社と見せかけて、ドメインは中国のレジストラで取られたもので、サーバも中国にあります。

悪意の攻撃者がお金を稼ぐ方法はランサムウェアや情報窃盗などいろいろありますが、偽ショップの場合は単純に詐欺と思われます。お金を振り込ませたり、カード番号を入力させてから商品は発送しないか、クズを送り付けるのではないかと予想
もちろん単純に偽ブランドの本物のショップの可能性もありますが、どっちみっちイケナイ会社でしょう。

まずコアに偽ブランド品のショップを作り、多数のサイトに不正設置したサイトからリンクを張ってアクセスを集めるという作戦かもしれません。それで集められるのかはSEOには詳しくないのでわかりませんが。

偽ブランド偽サイトはどんなもの?

注文はしてみていないのでわかりません。
いくつかをトレンドマイクロのSite Safety Centerで調べてみましたが、「危険」とされるものもあれば「安全」なショッピングサイトと表示する場合もあります。フラッシュを貼っていたりします。FlashPlayerの未知の脆弱性を突く攻撃が貼られてたらアウトです。
つまり、安全か危険かの判断は、頼りになりません。

すべて状況から推測するしかないのですが、まぁ、このような怪しげなサイトに注文する人は、お金を捨てる覚悟で冒険しているとしか思えません。

先ほど貼ったサイトイメージを見てみますと、まず右上のログイン画面のところ、「歓迎 [ログイン] または[登録] 」と書いてあります。
日本のサイトでは「歓迎」なんて、意外と使いません。

左側の真ん中付近に、小さな文字でゴチャゴチャと一生懸命アピールしてます。
「弊社のYSLバッグは全部イヴサンローランスーパーコピーです」と書いちゃってます。全部偽物だよと。
そして、「商品は絶対無事に到着できると保障します。ご安心で気楽買い物ください。」と変な日本語で、絶対に届けるからよ、と書いています。
まともなショップならばこんな「心配すんなよ」とは書きません。なぜならば、まともなネットショップならば安心して買えることは当たり前のことなのですから、あえて書くようなことはしないのが普通です。
安心させたければ、SSL証明書でもガッツリ使います。

他にも「検索製品」(正しくは商品検索)、「帰りの方針」(返品規定?)、「保証及び保証」

会社概要や連絡先も書かれていなかったり、書いてあっても実在が怪しまれる内容です。
住所が書かれていないため実在の確認はできませんが、2010年に設立された若い会社で、ドメインの登録が先々週にもかかわらず「弊社長年の豊富な経験と実績があり」と書かれています。会社方針に。それって方針じゃないのに。

だいたい偽ショップの共通点としては、最終的にcheapなんとか、というサイトに飛ぶこと、複数ブランドではなく、一つのブランドごとに専門の偽ショップを設置しているところです。
しかも「スーパーコピー」と称して偽物であることは自ら言っています。これは、偽物だから安く売ってるんだよ、偽物だから会社の身元は少しくらい隠してあるんだよ、でも商品は本当に渡すよ、というイメージを抱かせる意図かもしれません。

「電子商取引に関する法律」では、代表者や責任者の氏名、社命や営業所の住所、確実に連絡が可能な電話・FAX・メールアドレスの表記、その他もろもろが必要ですが、偽ショップはどれか、特に電話番号や住所が欠けています。これは1店舗で気張っていないからで、次々と偽ショップを開設していくのです。

もちろん、中国人が日本で頑張ろうとして、ちゃんと届ける偽ブランドショップを開設している可能性も無いわけではないですが、そうだとしても偽ブランドはだめでしょう。