2.2K Views
October 18, 19
スライド概要
*Mix Leap Study #52 - サイバーセキュリティ最前線
フィッシング詐欺は、昨今のWeb企業において重大な脅威となっています。本セッションでは、その手法や実例などを交えつつ、事業者側としていかに先手を打って対応していくかといった、フィッシング詐欺対抗策を論じます。
2023年10月からSpeaker Deckに移行しました。最新情報はこちらをご覧ください。 https://speakerdeck.com/lycorptech_jp
フィッシング詐欺と如何に戦い、 そして如何にして勝つか 2019年10月16日 ヤフー株式会社 CISO室 YJ-CSIRT 大角(おおすみ) 祐介 / CISSP Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. @ozuma5119
ヤフーの フィッシングサイト (偽サイト) Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 2
Phishing/Smishing 電子メール・SMS 犯罪者 フィッシングサイト (偽サイト) ID・パスワード 被害者 クレジットカード情報 住所・氏名等 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 3
本日の対象 • フィッシング詐欺に…… • 対策したいユーザ • 悩まされている事業者 あまり語られることの無い、 こちらの対策 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 4
Incident Response Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved.
基本的な対応 検知 情報収集 • • • • • • Twitter Passive DNS Mail honeypot facebook CT Monitoring Phish feeds(OpenPhish.com, etc...) ユーザからの問い合わせ 止血 (一次対応) • • • • Google Safe Browsing Microsoft Security Intelligence urlscan.io PhishiTank takedown (二次対応) • • • • Report to JPCERT/CC Abuse to Registrar Abuse to Hosting Company Abuse to CDN Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 6
検知 情報収集 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved.
TweetDeck: #Phishing Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 8
ユーザからの問い合わせ 変なメールが 届きました、 本物ですか? ヤフーさんは こんなメール 送ってるんですか? Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. ユーザからの問い合わせは、 非常に重要な情報源になります 9
「似たドメイン」 (1/3) Dnstwisterより引用 https://dnstwister.report/search?ed=7961686f6f2e6a70 yahoo.jp に 似たドメイン Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 10
「似たドメイン」 (2/3) DN Pediaより引用 https://dnpedia.com/tlds/search.php Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 11
「似たドメイン」 (3/3) Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 12
止血 (一次対応) Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved.
真っ先にやること:Google Safe Browsing登録 Googleより引用 https://safebrowsing.google.com/ Report phishing Very easy, and really effective. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 15
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 16
Microsoft Security Intelligence Microsoftより引用 https://www.microsoft.com/en-us/wdsi/support/report-unsafe-site Windows Defenderに 乗ってきます Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 17
takedown (二次対応) Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved.
Takedown前の基礎知識 • Abuse • • • フィッシングサイトが構築されているホスティング 業者などに報告・対応を依頼する そのためには、「どこに報告すればいいか」を調べる さらにそのためには、ドメイン・IPの管理組織の知識 が必要 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 19
Webサーバの管理組織 - WHOIS www.yahoo.co.jp ドメイン yahoo.co.jp IPアドレス 183.79.217.124 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. ドメインのWHOIS Domain Information: [ドメイン情報] a. [ドメイン名] YAHOO.CO.JP e. [そしきめい] きおいちょうぶんかつ じゅんびかぶしきかいしゃ f. [組織名] 紀尾井町分割準備株式会社 g. [Organization] Kioicho Division Preparations Corporation k. [組織種別] 株式会社 l. [Organization Type] Corporation m. [登録担当者] TS74931JP n. [技術連絡担当者] TS64992JP Contact Information: [担当者情報] a. [JPNICハンドル] TS64992JP b. [氏名] 佐藤 太地 c. [Last, First] Sato, Taichi d. [電子メイル] [email protected] f. [組織名] 紀尾井町分割準備株式会社 IPアドレスのWHOIS (一部抜粋) organisation: ORG-YJ1-AP org-name: Yahoo Japan country: JP address: Kioi Tower, Tokyo Garden Terrace Kioicho address: 1-3 Kioicho phone: +81-3-6898-6280 e-mail: [email protected] mnt-ref: APNIC-HM mnt-by: APNIC-HM last-modified: 2018-12-10T12:55:41Z source: APNIC 20
インターネットの管理組織 – ドメイン編 ドメインの種類 ボス • • IANA ICANN gTLD (.com, .net等) ccTLD (.jp, .cn等) • • .jp はJPRSがレジストリ • その他いろいろ • • 管理者もいろいろ WHOISは どこへ聞く? .jpならばwhois.jprs.jpの ようにドメインごとに バラバラ Point! レジストリ:ドメイン管理機関。JPドメインは株式会社JPRS レジストラ:利用者とレジストリを仲介。お名前.comなど Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 21
インターネットの管理組織 – IP編 ボス • • IANA ICANN RIR (地域インターネットレジストリ) • • • • • ARIN – 北米 (ボス) APNIC – アジア太平洋 RIPE – 欧州 LACNIC – 中南米 AfriNic – アフリカ地域 NIR (国別インターネット レジストリ) • • • • • JPNIC (日本) KRNIC (韓国) CNNIC (中国) TWNIC (台湾) ...... WHOISを聞くのは、 (1) NIRから (2) 直接RIRから の2パターンです。IPアドレス取得もその2パターン。 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 22
takedownするにはwhoisで連絡先を… phish.example.org 203.0.113.35 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 23
WHOISを引くのは意外に大変 • そのため、WHOISを検索できるWebサービスを使うのが便利 • Whois.com https://www.whois.com/whois/ • Domain BigData https://domainbigdata.com/ • DomainWatch https://domainwat.ch/ • MYIP.MS https://myip.ms/ • Hurricane Electric BGP Toolkit https://bgp.he.net/ ただし、これらのサービスはWHOIS情報をキャッシュしており、その情報を 更新していない場合があるため、最終的には「本家」のWHOISで確認してください Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 24
Abuseメール • 証跡(エビデンス)をきちんと揃え、「レポート」として報告 • Phishing URL • IP Address • Confirmed Date/Time with Timezone • Screenshot (Attachment File) • Other Log/Evidence (urlscan.io is better) • 本物のサイト URL • 本物の会社名・ブランド ※必ず英語でレポートしてください。日本語では間違いなく読まずに捨てられます。 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 25
フォームがある場合はそちらのほうが早い(経験則) さくらインターネットより引用 https://secure.sakura.ad.jp/abuse/form/check Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 26
takedown (CDN編) Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved.
CDN, Cloudflare, Phishing Site CDN(Cloudflare, Fastly, Akamai, CloudFront ...) Phishing Site http://evil.example.com/ IP:(Cloudflare) XXX.XXX.XX.XX Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. Hosting: ??? IP: ??? 28
Cloudflareより引用 https://www.cloudflare.com/abuse/form Phishing Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 29
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 30
About 5 hours later... Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 31
ホスティング先はDigitalOcean Cloudflareは既に犯人とホスティング会社 に報告済。 続けて、DigitalOceanにAbuse すれば終わり Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 32
Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 33
Some points. (1/2) • JPCERT/CC への通報も重要です(ccしましょう) JPCERT/CC 活動概要より引用 我々には統計が必要 Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 34
Some points. (2/2) • Abuseに遠慮していては詐欺師に勝てません • 我々が相手にしているのは、 「ガチで生活をかけている犯罪者」です • 「遠慮したら負け」の世界です。 我々は詐欺師に勝つ必要があります Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 35
おまけ Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 36
I have the World Record: 6min Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 37