Help us understand the problem. What is going on with this article?

すぐ貢献できる!偽サイトの探索から通報まで

『すぐ貢献できる!偽サイトの探索から通報まで』(Fighting Phishing Methods)の内容を「GitHubリポジトリ」でも公開しました。

本稿は、2018年7月2日に開催された Anti-Phishing Working Group 主催『巧妙化・国際化するオンライン詐欺やサイバー犯罪にどう対応していくのか?』にて講演された内容の解説記事です。

登壇資料

thumbnail

不特定多数を狙った偽サイト・フィッシング詐欺は未然に防ぐのが難しく、犯罪者にとっては期待利益が高い犯行のひとつです。こうした現状を打開しようと、個人のボランティア活動として、技能を活かし「サイバー空間の浄化活動(サイバーパトロール)」に貢献されている方が数多くいらっしゃいます。本セミナーでは、誰かのために貢献してみたいとの志をお持ちの方へ、フリーツールを使った偽サイトの探索から得られた情報の通報先についてLIVE形式でご紹介いたします。

犯罪抑止のための打ち手

犯罪を抑止する方法は、犯罪から得られる便益を減らし、露見した時の損失を増やすことである。<省略>抑止のためには成功確率を下げればよい。

犯罪者にとって一番の痛手とは、誘導を狙っていた詐欺サイトが「テイクダウン(閉鎖)」され、自らも法執行機関によって「検挙」されるという不利益を被ることです。

Pro bono publico:プロボノ

職務上の専門的な知識や経験、技能を社会貢献のために無償もしくはわずかな報酬で提供する活動

活動における基本的心得

  1. 安全を第一に
  2. インターネットの実態を知る
  3. 秘密の保持
  4. 最新情報の共有
  5. 関連機関・団体等との連携
  6. 活動記録の保存
  7. 実社会での活動

偽サイト探索を行う上では、安全に活動できるための知識・技能を身に付けることが必要不可欠です。言い換えると、サイバー犯罪者の調査は、多くのリサーチャーが認識しているよりも危険な場合があります。
そこで、OPSEC(Operations Security)の確保について検討します。

OPSEC(作戦保全, 運用上のセキュリティ)

目的

任務・作戦・活動に関するセンシティブな機密情報を識別・統制・秘匿にすること。および、その任務・作戦・活動を敵が侵害する能力を無効化または緩和すること。

National Security Agency 「PURPLE DRAGON: The Origin and Development of the United States OPSEC Program

OPSECを実現するための5ステップ

Operations Security INTELLIGENCE THREAT HANDBOOK」より。

  1. 重要な情報を特定する
  2. 潜在的な脅威を分析する
  3. 自分の弱点を知る
  4. リスクを評価する
  5. 対策を講じる
  • どの程度保護すべき情報なのか理解しておく。
  • 露出した場合の個人的または職業的な影響について想像力を働かせる。

露出した際の影響を検討すべき事項(一例)

  • 氏名
  • 居住地 / 職場
  • 誕生日
  • メールアドレス / パスワード
  • 金融情報
  • 電話番号(個人 / 職場)
  • 所属(職業)
  • サイバー空間上に残された活動の軌跡
  • ソーシャルメディア(投稿/写真/動画/各種アプリケーションの使用歴)
  • 家族/同僚/友人

偽サイト調査における注意事項

  • 組織のネットワークまたはプロキシから偽サイトにアクセスする
    • 犯罪者はあなたが何をしているのかを簡単に知ることができます。犯罪者に痕跡を辿られることが無いように匿名化した通信経路を確保すべきです。
  • 偽サイトの誘導URLから個人識別情報の除去を怠る
    • 偽サイトのURLには、どのメールアドレスに送ったリンクからアクセスされたかを知るための「トラッキングURL」の機構を悪用している場合があります。また、 「URLクエリパラメータ」中にメールアドレスや個人氏名が含まれている場合もあります。このような個人の識別に繋がる情報は適切にマスク処理を行った上で対応すべきです。

cosive, Watching Them Watching You: Opsec for Security Investigators, https://www.cosive.com/blog/2019/12/3/watching-them-watching-you-opsec-for-security-investigators, 2019/12/17

Cyber OPSEC確保のためのツールとヒント

代表的な詐欺サイト

フィッシング詐欺サイト

フィッシング(Phishing)とは、実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です。

偽ショッピングサイト

偽ショッピングサイト(FakeStore)とは、実在する企業のサイトに似せた・そのままコピーした「なりすましECサイト」や、ショッピングサイトにてお金を振り込んだにもかかわらず商品が送られてこない「詐欺サイト」の総称です。

サポート詐欺サイト

サポート詐欺(Tech Support Scam)とは、サイト上でウイルス感染やシステムの異常などを示す表示するサイトです。利用者の不安をあおり、画面上に表示されているサポート電話に問い合わせをさせ、サポート契約の名目で金銭を詐取する詐欺行為です。

Japanese Keyword Hack

「Japanese Keyword Hack」とは、SEOスパム(検索エンジンで自身のウェブサイトが検索結果の上位に表示させるように、何らかの仕掛け)の一種です。
犯罪者はランダムに生成されたディレクトリに自動生成の日本語テキストを含む新しいページを作成します。このページには、犯罪者が誘導を望むページ(例えば、偽ブランド商品を販売しているストアへのアフィリエイトリンク)が設置されます。これにより、感染したページのタイトルと説明に日本語の単語が表示され、「SERP(Search Engine Result Pages)」が乗っ取られることになります。

犯罪者が被害者を詐欺サイトへ誘導する手口

手口 代表的な事例
検索エンジン(Googleなど)の検索結果より誘導 偽ショッピングサイトやサポート詐欺サイト、マルウェア感染など
メール(フィッシングメール)やSMS(スミッシング)、電話による被害者への直接接触により誘導 IDやパスワード、銀行口座、クレジットカード番号などの詐取

クローキング

詐欺師は、偽サイトがブロックリストに追加されないようにするため、「クローキング(Cloaking)」手法を使用することがあります。クローキングとは、ユーザーや検索エンジンに対しそれぞれ異なるコンテンツや URL を表示する行為です。これにより、特定の条件がそろっている場合のみ偽サイトを表示させます。調査目的による偽サイトの接続を妨害している場合があります。

探索に有効な無償利用可能なウェブサービス

傾向を知る

データの収集

リポジトリ

ドメイン名の探索

派生ドメイン名

スクリーンショット取得

状態取得・調査

死活監視

サイト評価

リバース WHOIS

IPアドレス

ドメイン Historical Data

ホスティングプロバイダの特定

電子証明書の登録情報

最新の情報源については「普段の調査で利用するOSINTまとめ」をオススメします。

探索に有効な無償利用可能なツール

悪性ドメインのハンティング方法

  1. DN Pedia」を使い、ブランド名や特徴的な単語をクエリに検索する
  2. dnstwister」を使い、ホモグラフィック攻撃、タイポスクワッティング攻撃の兆候を確認する
  3. HostingDetector.com」/「DomainTools Whois Lookup」/「DomainBigData」を使い、WHOIS情報を深掘りする
  4. Google Safe Browsing API」/「VirusTotal」を使い評判を確認する

フィッシングサイトの通報

被害 通報窓口
フィッシングと思しきメールを受け取った フィッシング対策協議会, info@antiphishing.jp
ネット犯罪に遭遇 警察庁 サイバー犯罪相談窓口
迷惑メールを受け取った 迷惑メール相談センター
偽装品の販売に遭遇 一般社団法人 ユニオン・デ・ファブリカン
商品やサービスなど消費生活全般に関する苦情や問合せ 独立行政法人国民生活センター 消費生活センター
自社ブランドになりすました偽サイトを確認 悪質ECサイトホットライン 通報フォーム, 一般社団法人セーファーインターネット協会(SIA)
JPドメイン名の不正登録に関する情報受付窓口 株式会社日本レジストリサービス(JPRS)
サイトに違法情報(銀行口座や飛ばし携帯などの売買)の掲載を確認 インターネットホットラインセンター

フィッシング対策協議会

info@antiphishing.jp 宛てに報告。詳細な情報提供方法は こちら

フィッシング対策協議会「フィッシング対策ガイドライン 2020年度版」, 2020年06月02日 より抜粋

協議会ではフィッシング詐欺報告は電子メールで受付けている。フィッシングメールに関する報告は、フィッシングメールを転送、あるいは本文に貼り付け、または以下のようにタイトル、差出人名、送信日時、概要などを記述して報告していただきたい。

  • フィッシングメール報告の例
Subject:フィッシングメールに関する情報提供
タイトル:緊急のお知らせ
差出人名:john@xxbank.example.co.jp
送信日時:2008 年3 月XX 日
概要:○○銀行を装ってリンクを含んだメールを送ってきた。
--
○○ ○○(報告者氏名、匿名での報告も可)
  • フィッシング被害報告の例
Subject:フィッシング被害に関する情報提供
概要:○○銀行をかたるフィッシング(e-mail を添付します)があり、そこに ID、パスワードを入力し
てしまいました。 すぐ気が付いたのでパスワードを変更し、当該銀行に連絡・相談し対策を進めて
います。 また、警察...
--
○○ ○○(報告者氏名、匿名での報告も可)

Google Safe Browsing

Report Phishing Page のフォームにフィッシングサイトのURLを報告。
Google_report_phish.png

Microsoft Security Intelligence

Microsoft Security Intelligenceが運営する「Report an unsafe site」フォームにフィッシングサイトのURLを報告。
Microsoft_Report unsafe site.png

PhishTank

PhishTankは、コミュニティによって運営されているWebサービスです。コミュニティに参加する人たちがフィッシングURLの「検証」および「報告」が可能です。
もし、あなたがフィッシングサイトを発見したとき、すでに知られているURLなのか、まだ多くの人にしられていないURLなのか確認することができます。

URLの検証

URLの検証は直ちに利用可能です。フォームにURLを入力し、[Is It a phish?]ボタンをクリックします。
01_PhishTank.png

PhishTankにすでに報告されているURLの場合、「だれ, by」が「いつ, Submitted」報告しているのか「登録番号 Submission #」とともに表示されます。
URLの評価について「投票 Vote」することが可能です。フィッシングサイトであると思う場合には、[Is a phish]ボタンをクリックします。このURLはフィッシングサイトではないと思う場合には[Is NOT a phish]ボタンをクリックします。
PhishTank_phish_detail.png

これまでにPhishTankへ報告されていないURLの場合、Nothing known aboutの表記とともに入力したURLが表示されます。
初の「報告者 Submitter」としてコミュニティに貢献できるチャンスです。
PhishTank_Nothing.png

PhishTankのアカウント作成

PhishTankにて「報告者 Submitter」として貢献するには、無償のアカウント登録が必要です。「Register」ページにて、メールアドレス、ユーザー名、パスワードを入力します。
PhishTank_register.png

フィッシングURLの報告

作成したPhishTankのアカウントで「Sing In」します。
PhishTank_Sign In.png

疑わしいURLを手元に用意し、「Add a Phish」 にアクセスします。
[Phish URL]にフィッシングサイトのURLを入力し、「What is the organization referenced in the email?(フィッシングメールの分類)」を選択し、[Submit]ボタンをクリックします。
PhishTank_add a phish.png

無事、フィッシングURLの登録が完了すると、次の画面が表示されます。
PhishTank_thanks.png

プロバイダへのテイクダウン要請文例

フィッシング対策協議会「フィッシング対策ガイドライン 2020年度版」, 2020年06月02日 より抜粋

To whom it may concern,
[簡潔な企業プロファイル].
The website is located at the following address:
<当該フィッシングサイトのURI>
For your information, the fraudulent website appears to be a forgery of this legitimate
website:
<正規サイトのURL>
Please take all necessary measures to suspend services of this fraudulent site.
We highly appreciate your cooperation on this matter.
Thank you very much. Sincerely,

[担当者、送信者の名前]
[担当者、送信者の所属部署]
[企業名]
[国際電話番号]
[担当者、送信者のメールアドレス]

コミュニティで注意を促す

偽サイトのURLを無害化

コミュニティに対して偽サイトの情報を共有する際、共有先にて意図せぬ事故を防ぐことが重要です。
そこで、URLやIPアドレスなどの値に対して、記号や文字の置換を行うことが一般的です。このように、リンクが機能しないように無害化することを、「Defang」と呼びます。
次のような方法によるDefangが一般的です。

192.168.100.1 => 192.168.100[.]1
http://www.example.com => hXXp://www[.]example[.]com
info@example.org => info[at]example[.]org

大量の情報に対して、Defang処理を行う場合、「Floyd Hightower」氏によって開発された「IOC Fanger GUI」オンラインツールによって一括処理を行うことが可能です。

テキストボックスにDefang処理すべき、URLやIPアドレスを入力します。Defangラジオボタンを選択し、[送信]ボタンをクリックします。
なお、Defangされた情報を元に戻す場合には、Fangラジオボタンを選択します。
IOC Fanger GUI .png

Tweetする

個人が多くの人へ偽サイトの情報について注意を促す場合、Twitter などのソーシャルメディアを活用するのが有効です。

ここでは、文例について検討します。

Phishing_Alert_Tweet.png.png

項目 内容
ハッシュタグ「#Phishing」 同じくコミュニティで活動している「Phish Hunter」や「セキュリティリサーチャー」へ広く知らせることを目的としています。
「abuse報告です。」の一文 不正行為の通報窓口へ連絡済みであることを示しています。どの窓口へ報告済みなのか文末にチェックボックスをつけて記載しました。
偽サイトのURL 必ずDefang処理ずみのURLを記載しましょう。
偽サイトのIPアドレスとAS番号 こちらもDefang処理ずみのIPアドレスです。
Registar 何処のドメインレジストラにて取得されていたのか記載します。
Brand フィッシングサイトの場合、標的ブランドを記載します。標的ブランドが公式Twitterアカウントを運用している場合、@ツイートするのもよいでしょう。
URLScanの結果 偽サイトの稼働期間は極めて短命です。報告時の稼働状況をあとから確認できるように「urlscan.io」のスキャン結果を記載しておくこともよいでしょう。
画像 フィッシングメール、フィッシングサイト、digコマンドの結果、MaltegoThreatCrowdなど調査ツールにてまとめた情報などを投稿する場合が多いです。

関連団体による活動内容

フィッシング対策協議会の取り組み

  • フィッシング対策協議会 パンフレット「活動のご案内」 より抜粋

日々発生する違法なフィッシングサイトの報告を受け、JPCERT/CCとの連携によって違法なサイトをいち早く閉鎖するオペレーションを行っています。海外の犯罪グループによる犯行の場合もあるため、国際的な情報交換なども不可欠です。緊急情報の発信だけでなく、収集された情報をまとめ、報告書の発行などもおこなっています。

capj_activity.png

フィッシング対策協議会では、JPCERT/CCと連携し、2010 年 2 月から、フィッシング対策機能への実装を前提としたフィッシングサイトの URL 情報の提供を開始いたしました。

対象
フィッシングサイトへのアクセスを遮断するソフトウエアやサービス (ブラウザ、ウイルス対策ソフト、ツールバーなど) を提供している法人、 且つ、提供の条件に合致しているとJPCERT/CCが認めた法人

提供先組織 43 組織 (2020 年 6月時点)

警察庁の取り組み

ウェブブラウザ事業者等が加盟する、国際的な団体であるAPWG(Anti-Phishing Working Group)へ海外偽サイト等の情報提供を行う。これにより、警察が把握した海外偽サイト等について、ウイルス対策ソフト等を導入していない利用者に対しても警告が可能となり、海外の偽サイトによる被害のより一層の抑止が可能となる。

PhishTankの取り組み

PhishTankではコミュニティに登録されたフィッシングURLのデータを RSSAPI の形式にて無償提供しています。こうしたデータは研究機関や組織が活用しています。
開発者としてデータを入手する方法は、「Developer Information」ページに詳細が記載されています。

むすび

・現代のサイバー犯罪は経済活動が主目的
だからこそ打ち手がある
・犯罪者の期待利益を下げる取り組み
犯罪の「コスト」を上げ「成功確率」を下げる
・サイバー犯罪に対して一緒に戦いましょう
身の安全を確保し、まずはできることから

参考情報

フィッシング対策協議会

JPCERT/CC

講演スライド

Phish Hunter記事

英語記事

Qiita投稿記事

v_avenger
セキュリティリサーチャー, RISS, GCIH | サイバー犯罪対策、特にオンライン詐欺が専門。2002年よりこの領域で活動。サポートエンジニア、マルウェア解析、インシデントハンドラー、フォレンジッカー等の経験を経て現職。国内外のカンファレンス登壇や技術講師なども担当。最近の嗜みはTryHackMe/VulnHub/HTB攻略, Splunk, Neo4j, GNS3, HackRF/SDR
trendm
セキュリティ製品を作成・販売しています。「安全・安心な社会をつくる」がミッションです
https://www.trendmicro.com/ja_jp/business.html
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away