不審なSMSが飛んできたので調べてみた件(その2) | reverse-eg-mal-memoのブログ
Amebaホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

reverse-eg-mal-memoのブログ

サイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存在。
medium(英語):https://sachiel-archangel.medium.com/

不審なSMSが飛んできたので調べてみた件(その2)

不審なサイトの調査に関する注意事項・・・

 

一応注意事項ですが、不審なサイトを自分で調査するのは、ある程度知識がない場合はおススメはできません

また、最低限でも専用の設備、環境は作って、そちらで調査してください。

私の場合、それ専用のPCを1台用意しています。さらにそのPCにVMでゲストPCを用意し、ゲストPCで調査しています。

これは、個人情報が無いPCを用意しておくことで、不測の動作をした場合でもこちらの情報が漏れないようにしているほか、環境が破壊されても被害の範囲が限定されるためです。

通常使っているマシンにVMをいれてゲストマシンだけクリーンにする方法はあまりおススメできません。WannaCryのようなワームが動作した場合、ネットワーク通信を経由してホストマシンに感染するケースが考えられます。

今回のケースも、ターゲットは概ねスマホだろうと予想してやっていますが、あくまで予想であって実際はPCでも危険というケースは考えられます。

基本は専門家に調査依頼してください。サイバーセキュリティ関係者は参考にしていただいて構いませんが、当然、何があっても自己責任であることは肝に銘じてください。

あと・・・この記事は、純真無垢で人を信用してしまう私が、ウッカリ騙されてイロイロアクセスしてしまった記事なので。仕方ない、これは仕方ない。

 

 

 

不審なサイトにアクセスしてしまった!

 

さて、純真無垢で人を信用してしまう私は、不審なSMSが飛んできたので調べてみた件(その1)で届いたSMSを見て、

「そうか、届け物があるのか。委託販売の薄い本とかポチった覚えはないけど。欲しいものリストとかも公開してないし。カラーコーンが届きまくる某Web漫画家みたいに、知らない人からカラーコーンが送られてきてたらヤだなぁ。」

と思いながら確認してみようと思いました。

 

 

このリンクをポチれば、スマホのブラウザで見れますが。

純真無垢で人を信用してしまう私は、このSMSにアッサリ騙され、おもむろにマルウェア調査用のPCを起動し、マルウェア調査用のゲストOSを起動して、AguseでURLを確認しました。

すると、前回の記事のとおり、URLはリダイレクトされているものの、佐川急便のドメインとは全然違うドメインへリダイレクトされていました。

 

しかし!ここは純真無垢で人を信用してしまう私

きっとそれでも本物だろうと、騙されてマルウェア調査用のゲストマシンで問題のURLにアクセスしてみました。

ウッカリこの時のトップの画面ショットが残ってなかったのですが、見た感じ佐川急便の本物のHP(ホームページ)のように見えます

こういった詐欺では、HPの見た目はいくらでも偽装できる、というわけです。もっとも、本物のHPと見比べてみると、やはり色々見劣りするのですが。

 

 

 

偽HPにある不審なアプリインストール手順

 

HPを下にスクロールすると、Androidスマホにアプリをインストールする方法が丁寧に書かれていました。

このアプリをインストールしろということのようです。

その内容をちょっと見ていきましょう。

 

 

 

トップページを下にスクロールしていくと、「設定マニュアル」というものが出てきました。

割と画像が大きくて、PCの画面だと見切れてしまうのですが、縦長のスマホの画面ならもうちょっと見やすいのかもしれません。

 

 

 

最初の項目を見ると、「Androidのホーム画面にある「設定」をタップし、セキュリティをタップします。」とありました。

とりあえず、私iPhoneユーザなんだけど?

そんなことはガン無視でAndroidユーザ向けの設定マニュアルが続きます。

ターゲットはAndroidユーザにのみ絞っているようですね。

 

 

 

2番目の項目を見ると、「セキュリティ項目の□面で「デバイス管理」の中にある「提供元不明のアプリ」をタップし、確認□面が表示されたら「OK」を押す。。」とあります。

とりあえず、□面って何?

多分文字化けしてるんだろうけども。

なお、この画面は、テキストも含めて画像だったので、このマニュアルを作成した段階で文字が化けたまま画像にしたようです。

句点が2つになっていたり、日本語の言い回しとして「押します」じゃなく「押す」だったり、他にも細かいツッコミどころはありますが、純真無垢で人を信用してしまう私はおおらかな気持ちでスルーしてあげます(日本語って難しいなぁ)

 

そして、最大のツッコミどころは、会社の公式アプリのはずのアプリをインストールする手順で、「提供元不明のアプリ」を許可する手順になっていることかな。

真っ当な会社が出しているアプリが「提供元不明のアプリ」になることはありません

もし、仮に本物のアプリがその手順で入れなきゃいけないのであれば、そんなアプリは使うべきではないでしょう。

iPhoneの場合、App Storeからのインストールのみで、こういった外部からのインストールは認められていないため、騙すに騙せないんでしょうな。

 

しかし、純真無垢で人を信用してしまう私は、そんなこともあるのかーとここも信用してしまいます。

 

 

 

 

あとは、「インストール」ボタンを押してアプリをダウンロードし、「sagawa.apk」というアプリをインストールしていくようになっています。

画面のメッセージには、「機器のステータスとIDの読み取り」や「テキストメッセージの受信」、「テキストメッセージの読み取り」、「SDカードコンテンツの読み取り」、「SDカードコンテンツを修正/削除する」などといった言葉が躍っていますが、ガン無視で進める手順になっています。

私はAndroidは持ってなくて専門外なのですが、この設定だとどこまでアクセス許可されるんでしょうね・・・?

 

さて、これでこのアプリのインストール方法は分かりました。

純真無垢で人を信用してしまう私は、疑いもせずこのアプリをインストール・・・

 

できねぇよ、iPhoneだって言ってんだろ!?

 

スマホ複数持ちなんてこともしていないし、そもそもAndroidのスマホ持ったことすらない・・・。

純真無垢で人を信用してしまう私は、このマルウェア臭満載のアプリのインストールをここで諦めてしまうのか!?

 

・・・長くなったので、ここでまたぶった切って続きます(続くのか?)