Anti-Phishing Working Group 主催『巧妙化・国際化するオンライン詐欺やサイバー犯罪にどう対応していくのか？』, 2018/7/2, https://apwg-201807.peatix.com/

1. すぐ貢献できる！
偽サイトの探索から
通報まで
Noriaki HAYASHI
Principal Security Analyst

2. ここに述べられている見解は執筆者
個人の責任で発表するものであり、
執筆者の所属するいかなる団体とし
ての見解を示すものではありません。

3. 1. 犯罪抑止のための打ち手
2. 活動における基本的心得
3. 傾向を知る
4. リポジトリサイト
5. 実践
6. 通報、目指せトップコントリビューター
7. 更に 向こうへ！
アジェンダ

4. 職務上の専門的な
知識や経験、技能を、
社会貢献のために
無償もしくは
わずかな報酬で
提供する活動
Pro bono publico：プロボノ
公共性
自発性 専門性

5. 犯罪抑止のための打ち手
『刑務所の経済学』中島隆信, 2011年11月21日
犯罪を抑止する方法は、
犯罪から得られる便益
を減らし、
露見した時の損失を増やすこ
とである。
＜省略＞
抑止のためには成功確率を
下げればよい。

6. 1.安全を第一に
2.インターネットの実態を知る
3.秘密の保持
4.最新情報の共有
5.関連機関・団体等との連携
6.活動記録の保存
7.実社会での活動
活動における基本的心得

7. 傾向を知る

8. データの収集 – Yahoo!リアルタイム検索
https://search.yahoo.co.jp/realtime

9. データの収集 – TweetDeck
https://tweetdeck.twitter.com/

10. データの収集 – TweetDeck：検索オプション
• 特定の単語を除外する
• 言語を選択し、リツイート
を含めるか指定する
• LocationやTweet authors
に応じたフィルタを指定す
る

11. データの収集 – TweetDeck：巡回の勘所
• 不特定多数を狙った攻撃の早期発見を目指す
• リスト機能を活用し、タイムラインをカテゴライズする
– サイバーセキュリティに関するマガジン（@DarkReading, @darkwebnews）
– National CERTやセキュリティベンダーなどのwebsite（@USCERT_gov, @jpcert_en, @APWG）
– インフルエンサー（@briankrebs, @schneierblog）
– カンファレンス（@defcon, @BlackHatEvents, @DerbyCon, @codeblue_jp）
• 検索キーワードを工夫する
– 特定のマルウェア、ハクティビズムキャンペーン（#opendir, #phishing, #ursnif OR #trickbot OR
#emotet）

12. リポジトリサイト - PhishTank https://www.phishtank.com/

13. リポジトリサイト - OpenPhish https://www.phishtank.com/

14. スコープを定める

15. ドメイン名の探索 https://dnpedia.com/tlds/search.php

16. 派生ドメイン名置換サービス https://dnstwister.report/

17. 目視確認（スクリーンショットの取得） http://screenshotmachine.com/

18. Urlscan.io

19. Trend Micro Site Safety Center

20. 評価の一括検索 - VirusTotal

21. リバース WHOIS

22. SecurityTrails – Historical Data
https://securitytrails.com/

23. HTTPS フィッシングサイト

24. Qualys SSL LABS SSL Server Test

25. Hunting Phish Domain
1. 「dnpedia」を使い、ブランド名や特徴的な単語をクエリに検索する
– apple, amazon, paypal などのブランド名。secure, login, support などの単語
2. 「dnstwister」を使い、ホモグラフィック攻撃, タイポスクワッティ
ング攻撃の徴候を確認する
– Olympic, Worldcupなどイベント名をクエリにしてみる
3. 「HostingDetector.com」/「DomainTools」/「DomainBigData」
を使い、WHOIS情報を深堀する
4. 「Safe Browsing API」/「VirusTotal」を使い、評判を確認する

26. 通報

27. 通報 – フィッシング対策協議会
info@antiphishing.jp

28. 通報

29. 通報 – Google Safe Browsing

30. 通報 – PhishTank

31. 目指せ、トップコントリビューター

32. メタ情報を紡ぐ
構成要素の
つながり / 重なり合い
注目

33. 継続的に監視すべき対象を特定
構成要素の
つながり / 重なり合い
注目

34. ThreatCrowd

35. オープンディレクトリ探索

36. Google Hacking Database

37. Phishing Kitが設置されたサイトを探す
• intitle:"Index of" officee.zip
• intitle:"Index of" OneDrivenew.zip
• intitle:"Index of" dropbox.zip
• intitle:"Index of" workhard.zip
• intitle:"index of" 16Shop-Apple-V1.

38. Phishing Kit [DEMO]
リソースファイル
処理スクリプト
盗んだ情報の保存と送信

39. Phishing Kit – ライフスパンの延長（検出回避）
robots.txt .htaccess

40. WebShell – フィッシングサイトに残された痕跡

41. 被害者を起点とした脅威の指標（IoC）

42. むすび
1. 現代のサイバー犯罪は経済活動が主目的
だからこそ打ち手がある
2. 犯罪の期待利益を下げる取り組み
犯罪の「コスト」を上げ「成功確率」を下げる
3. サイバー犯罪に対して一緒に戦いましょう
身の安全を確保し、まずはできることから

43. 85
サイバーセキュリティ向上のための
啓発キャンペーン
フィッシング対策協議会 STC啓発ワーキンググループ