2020年2月14日公開のブログ記事では、ゾーンを監視して特定法人組織のドメインを偽サイトから守る対策方法についてお伝えしました。本記事では、ゾーン監視で不審なドメインを検出した後に実施可能な不正ドメインへの停止措置の取り方について解説します。不正ドメインが悪用されフィッシング被害の影響を受ける企業は、不正ドメインに停止措置を取る必要があります。これによりサイバー犯罪者は不正ドメインを詐欺手口に利用出来なくなります。しかし、どうすれば不正ドメインへの停止措置を取ることができるでしょう。
まずはじめに、法律面を考察します。前回の記事でも報告していますが、ドメインは重要な役割を担い、国ごとに異なります。一部の国では、インターネット・サービス・プロバイダ(Internet Service Provider、ISP)がネット詐欺に積極的に対処しなければならないという法律が定められていますが、そうでない国もあります。
不正ドメインによるフィッシング被害について懸念が生じる場合、ISPは元より、企業ネットワークの防御線を守る情報セキュリティ専門家からシステム管理者、セキュリティ対策の意思決定者に至るまで、多くの関係者間での連携が問題解決への重要な鍵となります。実際、ISPの多くはネット詐欺を確認すると、不正ドメインの停止措置を実施するために非常に迅速に対処します。特に、ISPの運営設備や提供サービスが悪用された場合、ネット詐欺への対策を講じるため率先して協力してくれます。
通常、サイバー犯罪やネット詐欺、ドメイン名の商標権侵害に関する通知を受けると、それらを阻止するためISP側で積極的に対処します。これらの事例に対して、ISPやインシデント対応チーム CSIRT(Computer Security Incident Response Team)、またはCERT(Computer Emergent Response Team)がどのように対処するか知っておくことも問題解決の手助けとなります。
■不正ドメイン名の特徴
一般に、「ドメイン名自体が商標権を侵害する」、または「フィッシング詐欺遂行のために利用されたことがある」、あるいは「現在も詐欺行為に利用されている」のいずれかに該当した場合、「不正ドメイン」とみなされます。これには、上記の不正な目的によりドメイン名を登録した場合も含まれます。たとえば、ドメイン名にはブランド名や会社名を含めることができますが、不正利用を目的に作成されるドメインであれば、そのドメインの存在自体が既に商標権を侵害することを意味します。これは、ドメイン名の停止措置を取ることが最も容易な事例の1つです。
しかし、ドメイン名は企業やブランドと関係ない場合でもサイバー犯罪に利用されることがあります。具体的には、スピアフィッシングのように、マルウェアを添付した電子メールを特定の組織や人物に送信するため、あるいはクレジットカードなどの認証情報を入力させるフィッシングページを構築するために利用できるからです。
一例として、不正の目的のためにドメイン名「trend-m1cr0.com」が登録されたと想定してみましょう。これはトレンドマイクロ(trendmicro)と誤解することを狙ったドメイン名と考えられます。そしてこの不正ドメイン管理者は、フィッシング詐欺を遂行するため、偽の「トレンドマイクロ」のWebページを構築しようと行動を開始します。正規のドメイン保持者は、ドメイン名が自社のそれとは全く無関係であっても、実行が推定されるサイバー攻撃を阻止するため、できる限り迅速に不正ドメインへの停止措置を取ろうと試みます。サイバー犯罪者は、さまざまな手口で標的組織のシステムに到達することを試みます。フィッシングの手法により、利用者の認証情報を詐取するのは、その一つの手口です。サイバー攻撃がシステム内に侵入すると不正ドメインは、マルウェアやフィッシングページ、または他の攻撃手口を構築してC&Cインフラストラクチャとして利用されたり、悪意のある電子メールを送信するためのメールサーバ(簡易メール転送プロトコル、Simple Mail Transfer Protocol、SMTPサーバ)として、あるいは窃取したデータや違法コンテンツの保存場所として利用されたりします。
■不正ドメインを停止措置実施可能なレジストラに報告する
ドメインの停止措置は、通常、ドメイン登録事業者「レジストラ」のみ実施可能です。ドメイン名を作成したレジストラは、必要に応じてドメイン名を削除または停止措置を実施する責任があります。ただし、レジストラからの連絡がない場合や緊急対応が必要な場合は、CSIRTやCERTなど、不正ドメインの停止措置が実施可能な他のセキュリティ関係者が介入可能です。日本ではJPCERT/CCがこのような責務を負っています。また、彼らは物事に能率的に対処するために、国内外のセキュリティ関連組織との連携を可能にする社会的ネットワークを構築しています。ICANN(Internet Corporation for Assigned Names and Numbers)より認定を受けたレジストラは、ドメインの悪用や侵害に関する報告や相談を受け付けるための連絡先情報およびアドレスを提供する義務があります。
■不正なコンテンツに停止措置が実施されたか確認する
サイバー犯罪者が悪用するドメイン名の誘導先サイトが不正なコンテンツである場合、ホスティングサービス提供会社に連絡することが賢明です。多くの場合、ホスティングサービス提供会社はレジストラも併任しています。
たとえば、フィッシング詐欺の場合、サイバー犯罪者は正規Webページを構成するHTMLを模倣して偽装Webぺージを不正なサーバ上に構築します。このため、ドメインの不正利用を確認した場合は、該当ドメイン名を管理するホスティングサービス提供会社へ連絡することが役に立ちます。連絡を受けたホスティングサービス提供会社は、ドメインの不正利用の事実を確認すると、すぐに不正なコンテンツを削除、またはホスティングアカウントを閉鎖することができます。
他の対応方法として、ホスティングサービス提供会社は、まず初めにアカウント所有者に連絡して、所有者のWebページ内に構築された不正なコンテンツについて通告します。これは、侵害されたWebページの所有者がホスティングサービス提供会社の停止措置に対して事前に承諾または同意していない場合に適切な対応方法といえます。もしもネット詐欺と証明するのが困難と判明した場合は、しっかり対応してもらえるよう、ネット詐欺に関する情報を十分に集めておくことが重要です。たとえば、不正サーバから送信されたフィッシングメールについて報告する場合、送信元や件名などメールヘッダをすべて含めたフィッシングメールのコピーを転送しない限り緩慢に対応され、さらなる詳細情報の提供を求められるからです。
■不正ドメインへ停止措置を取るには
「レジストラ」を特定することは、不正ドメインへの停止措置を取る上で必要な情報の1つです。ドメイン名登録情報検索サービス「WhoIs」を利用することで「レジストラの特定」および「ドメインの不正利用の実態について報告相談するための連絡先情報(電子メールアドレスや電話番号)」も同様に確認可能です。ドメインが再販業者「リセラー」により登録された場合でもWhoIsの検索情報内で認識されます。この場合、リセラーに連絡するのも良い方法です。留意点として、WhoIs上で確認可能な連絡先情報は、プライバシーやセキュリティ上の理由から、プライベートドメイン登録、またはWhoIs情報がマスキングされていることがあります。こうした場合、代わりとして転送サービスの連絡先情報に置き換えられます。これに対してICANNは、ドメインの悪用や侵害事例があった場合は、WhoIsに対して利用規約や連絡先情報を公表するよう義務付けています。
不正ドメインの停止措置を依頼する際に必要な用意および依頼手順は次の通りです。
■レジストラのAbuse Teamに電子メールで報告する
最初の行動として、不正利用されるドメインを管理するレジストラの「不正利用報告受付担当窓口(Abuse Team)」に電子メールで連絡する必要があります。通常、大手レジストラの場合、電子メールでの報告受付時間は24時間365日、少なくともAbuse Teamの報告受付時間内は利用可能です。一部のレジストラは、過去の報告内容を履歴として保存しているので、電話受付担当者に連絡するたびに要件を一部始終伝える必要がないため、問題解決までの全体の流れが多少円滑になります。
サイバー犯罪者により構築されたフィッシングページまたは認証情報などを入力させるための不正なコンテンツをWebページ上で確認した場合、ホスティングサービス提供会社とレジストラに同時に連絡することが推奨されます。ホスティングサービス提供会社がレジストラよりも早く対処し、不正Webページがすでに削除されている場合は双方にとって良い事です。ドメイン所有者のWebページが侵害された事例の場合、ホスティングサービス提供会社によっては、コンテンツはドメイン所有者によってのみ修正可能と伝えられることがよくあります。この場合、Webページ管理者に直接連絡して、できるだけ早く不正なコンテンツに停止措置を取ってもらえるよう試みましょう。一部のレジストラまたはホスティングサービス提供会社は、サイバー犯罪相談対応窓口あるいはお問い合わせフォームを管理しているため、電子メールで連絡するよりも早く対応してもらえる場合があります。
■Abuse Teamに電話連絡し、必要な場合はCSIRTとも協働する
特に緊急対応を要する場合、レジストラのAbuse Teamに電子メールで連絡した後、電話連絡するのも良い対処法です。自動返信される電子メールから事前に受付番号を受け取っておくと、Abuse Teamに電話連絡がつながった際、物事をより円滑に進める手助けとなります。一部の受付担当者は、インシデントを受付番号で管理しています。このため、受付番号に基づいてインシデントに対処するAbuse Teamもあれば、ネット詐欺について十分に説明があれば、直ちに停止措置実施に向けた行動を検討するAbuse Teamもあります。Webサイトが侵害されている場合は、サイト管理者にも電話連絡してください。前述する2つの対策ですぐに成果が得られなかった場合は、他に解決策を見出すことのできる企業組織を確認してください。必要に応じて直通連絡先を確認しておきましょう。また、この件に関して、CSIRTチームや関連する公的機関または民間組織と連携することも可能です。
■Abuse Teamにネット詐欺の詳細を報告する
ネット詐欺や不正ドメインについて報告する際は、できるだけ詳細に次のような情報を概説しましょう。
- 報告者は情報セキュリティ専門家、またはシステム管理者の方ですか?また、これまでに企業組織のネットワーク基盤内で、サイバー犯罪者の不正活動を確認したことがありますか?
- 管理するWebページ上に不審なコンテンツが構築されているのを確認しましたか?
- 今回の攻撃被害の内容は、企業組織にとってどのような影響を与えますか?
- どのようにネット詐欺を検出しましたか?また、ドメインの不正利用を立証する証拠は確保していますか?
- 緊急な対応処置の必要性はありますか?
適宜適切な不正ドメイン監視、検出、停止措置を取ることで、ネット詐欺の不正活動をすぐに停止させる手助けとなります。これらは、多くの場合、さまざまな組織間での協働により遂行されるものです。必要な証拠集めからはじまり、適切な担当組織と連携し、調査報告書を開示するところまで協働実施されます。さまざまな組織との協働によりセキュリティ対策を講じることは、サイバー犯罪者の不正活動を抑止する力ともなります。サイバー犯罪者は、攻撃対象者がセキュリティ関連組織と協働して自身の攻撃に停止措置を取っていることを確認すると、対象者への不正活動を中止します。結果、サイバー攻撃による被害を減少させることにつながります。
■トレンドマイクロの対策
偽サイト対策:
トレンドマイクロ製品では、偽サイトやフィッシングサイトなどの不正サイトを「Web レピュテーション(WRS)」技術によりブロックします。また、フィッシングサイトへ誘導するフィッシングメールに関しては「E-Mail レピュテーション(ERS)」技術によりフィルタリングします。
サイト改ざん対策:
統合型サーバセキュリティソリューション「Trend Micro Deep Security™」は、仮想パッチ機能によって、更新プログラムが配信されていない脆弱性を狙う攻撃からWebサーバを防御します。また、変更監視機能やセキュリティログ監視機能で予期しないシステム変更を警告することにより、Webサーバ上で行われる不審な活動を早期に可視化することが可能です。
参考記事:
- 「InfoSec Guide: Taking Down Fraudulent Domains (Part 2)」
by Cedric Pernet, Senior Threat Researcher
Trend Micro Cyber Safety Solutions Team
翻訳: 益見 和宏(Core Technology Marketing, Trend Micro™ Research)