事案の発生
■問題発生サイト
サーバー設置先: GMO Internet (JP) 、サーバー証明書: Let's Encrypt - R3 (US) DV証明書
■被害企業
サーバー設置先: Internet Initiative Japan (JP) 、サーバー証明書: DigiCert Global G2 TLS RSA SHA256 2020 CA1 (US) OV証明書
■被害企業
サーバー設置先: Amazon (US) 、サーバー証明書: Cybertrust Japan SureServer EV CA G3 (JP) EV証明書
事案の概要
店頭ポスターやチラシ、DM等に掲載されたQRコードを読み込んで接続した画面に紛れて表示される不正な広告のボタンをタップして詐欺サイトに転送され、入力した個人情報やクレジットカード情報が詐欺サイト側に盗み取られた事案。
影響範囲
2023年10月27日~11月9日に、いなげや川崎土橋店およびいなげや川崎下小田中店で、ネットスーパーへの入会案内として店頭のポスターやチラシに掲載されたQRコードから入会サイトにアクセスしようとして広告のボタンをタップすると、詐欺サイトに転送される状態でした。
2023年9月26日にリニューアルされたオートバックス会員制度について案内する会員向けDMに掲載されたQRコードから、詳しい説明が記載されたホームページにアクセスしようとして広告のボタンをタップすると、詐欺サイトに転送される状態でした。
いなげやのお知らせによると、不正な広告のボタンをタップして転送される詐欺サイトは次の画面です。
この詐欺サイトはAWS(Amazonのクラウドサービス)にあり、ドメイン(contentlimitless.com)はDynadot(米カリフォルニアのドメイン登録業者)で取得されたもので、登録者の情報は非公開になっています。
Webサイト(https://www.contentlimitless.com/)へも問題なく接続でき、月額39.99ドルで映画、音楽、ゲーム、アプリを利用できると謳われていますがサービスとしての実体はなく、カード情報を取得する目的の詐欺サイトのようです。
いなげやのお知らせを見ると、QRコードからは最初にonl.laのURLに転送されていて、これはonl.jpの短縮URLサービスで生成されたもので、短縮URLから元のURLに変換する画面下部に不正な広告(OKボタンを表示する部分)が表示されていました。
ここで、元のURL(netsuper.rakuten.co.jp)の部分ではなく、不正な広告のOKボタンをタップしてしまうと詐欺サイトに転送されます。
この短縮URLサービスは月間4万件近く利用されているようですが、11月11日に不正広告を検知し、11月17日からはサービス停止中になっています。
この短縮URLサービスを提供しているサイトでは、他にも多くの(70種類)便利なツールが提供されています。
QRコードもここで作成できます。
とても便利なサイトですが、提供の主体については何も示されていません。
サーバー設置先: GMO Internet (JP) 、サーバー証明書: Let's Encrypt - R3 (US) DV証明書
ドメインは2016年8月に登録され、管理者はTsuyoshi Amanとされています。
2018年9月には、現在と同様のサービス(27種類で、短縮URLサービスは未提供)が提供され始めています。
ツールとして便利に使う分には問題ありませんが、短縮URLやQRコード等、他に提供するものについては、特に企業では慎重に扱うべきと考えます。
短縮URLについては、Enterpriseサービス(月額12万円!)も提供している、BitlyのFree版が安心できそうです。
QRコードはブラウザで作成する方法がおすすめです。
さて、今回の事案では、提供者不詳とはいえサイト自体には問題はなく、数多くの便利なツールを無償で提供する代わりに収益を得る手段としていた広告に問題がありました。
悪質な広告には他にも亜種があります。注意しましょう。
本事案についての詳細は、いなげや、オートバックスセブンが発行した次のリリースに掲載されています。
※過去のセキュリティ事案の一覧は下記に掲載し、随時更新しています。