フィッシングサイトのテイクダウンとは | Codebook|Security News
Codebook|Security News > Articles > 脅威インテリジェンス > フィッシングサイトのテイクダウンとは

脅威インテリジェンス

Cyber Intelligence

Intelligence

サイバーインテリジェンス

フィッシングサイトのテイクダウンとは

Tamura

Tamura

2022.07.01

 

日本でフィッシングの被害が増えています。フィッシング対策協議会が7月5日に公表した情報(下図)によると、フィッシング報告件数は2022年3月に急増してから8万件を超える状況が4か月連続で続いています。また、6月のフィッシングサイトのURL件数は前月比約 1.5 倍と急増しました。

フィッシング報告件数のグラフフィッシングサイトのURL件数のグラフ情報源:https://www.antiphishing.jp/report/monthly/202206.html

なお、マキナレコードでは、複数のチャットサービスやディープ・ダークウェブ上のフォーラム上における「日本を対象としたフィッシング関連投稿数」のトレンドを監視しています。こちらでも同様のタイムラインで上昇トレンドが観測されていることから、フィッシング犯罪に関連したアクターの活動が活発化しているのは間違いない傾向と言えそうです。

フィッシング対策というと、ユーザー側の対策が注目されがちです。しかし、自社サイトを模倣したフィッシングサイトを勝手に作られた側(サイト運営者)が受ける被害(信頼損失や損害補償)も無視できません。サイト運営者が行うべき対応には、「被害状況の把握」「ユーザーや関係機関への通知」に加え、「フィッシングサイトの閉鎖(=テイクダウン)」があります。では、テイクダウンはどのように行われるのでしょうか。

本記事では、

・テイクダウンの3つの方法

・テイクダウンの難しさ

・テイクダウンサービスにできること

について説明します。

テイクダウンの3つの方法

フィッシング対策協議会の「フィッシング対策ガイドライン」では、テイクダウンの対応例として以下の3つが挙げられています。

(1)Web サイト運営者自身でテイクダウンを行う

(2)専門機関にテイクダウン依頼を行う

(3)フィッシング詐欺被害対応サービス事業者にテイクダウン依頼を行う

情報源:フィッシング対策ガイドライン 2022年度版(6月1日付け) 

https://www.antiphishing.jp/report/antiphishing_guideline_2022.pdf

(1)Web サイト運営者自身でテイクダウンを行う

「運営者自身でテイクダウン」と言っても、「運営者がISPなどにテイクダウンを依頼する」ということになります。具体的には、以下のようなことを行います。

・フィッシングサイトが属しているIPアドレスブロックを管理している国内外の ISP(×フィッシングサイト管理者)に電話やメールで連絡し、対応を依頼する。

・並行して、JPCERT/CCやフィッシング対策協議会(海外ISPの場合は、現地のCSIRT)といったインシデント対応機関に支援を要請する。サイト運営者からの連絡よりも、インシデント対応機関からの連絡の方が、ISPにスムーズに受け入れられるため。

(フィッシング対策ガイドラインを元に筆者作成)

(2)専門機関にテイクダウン依頼を行う

専門機関にテイクダウン依頼を行うという手もあります。JPCERT/CCのサイトに「インシデントの報告(Webフォーム)」というページがあり、そこに所定の情報を入力して依頼をかける形になります。Eメールで依頼することも可能です(原則、電話での報告は不可)。

JPCERT/CCの「インシデントの報告」フォームのスクリーンショット

インシデントの報告(Webフォーム)*URL:https://form.jpcert.or.jp/

(3)サービス事業者にテイクダウン依頼

Webサイトを整備しているクレーン車

フィッシング詐欺被害への対応サービスを提供する業者に依頼をかけるという方法もあります。事業者を選定するポイントについて、「フィッシング対策ガイドライン」では以下のように書かれています。

・テイクダウン依頼受付時間が 24 時間 365 日であること

・どのような地域にフィッシングサイトが設置されていても対応してくれること

・機密保持に関する体制が検証されていること(定期的に監査を受けていることが望ましい)

・フィッシングサイト監視サービスを提供していること

など

(フィッシング対策ガイドラインを元に筆者作成)

テイクダウンの難しさ

テイクダウン依頼代行のサービスはネット上に複数見受けられます。ただ注意していただきたいのは、テイクダウンサービスは、あくまで「依頼の代行」だと言うことです(事業者の手で削除する訳ではありません)。そのため、テイクダウンサービスの中には、「テイクダウンに法的拘束力がない」ことを明記するものも見受けられます。したがって、「テイクダウン依頼にかかる工数を削減する」という目的で利用する必要があるでしょう。また、上記(3)の事業者選定のポイントにあるように、「フィッシングサイト監視サービス」とセットで活用することも重要です。

以下、「テイクダウンに法的拘束力がない」ことに関連して、テイクダウンの難しさについて触れておきたいと思います。難しさの理由として、主に以下の2つが考えられます。

理由1:法的拘束力の問題、依頼先の対応のばらつき

たとえば上記(2)のように、「専門機関にテイクダウン依頼を行う」場合、JPCERT/CCであればテイクダウン依頼を受けて国内外のISPなどに依頼します。しかし、この依頼に応じるかどうかは任意です。JPCERT/CCの公式サイトには、以下のような記述があります。

Q6 自組織を装ったフィッシングサイトを停止させたいのですが、どうすればよいですか?

JPCERT/CCへインシデント報告を行うことによって、当該フィッシングサイトを早急に閉鎖できる可能性があります

(略)

なお、JPCERT/CCから関係者への連絡は、関係者の方へ対応を強制するのではなく、自発的な協力をお願いするものです。したがって、フィッシングサイトの閉鎖や関連情報の開示等、貴組織の期待する結果が得られることを保証するものではないことをご了承ください

(JPCERT/CC、「フィッシングに関するFAQ 金融機関やオンラインショッピング事業者などのオンラインサービス提供者向け」(最終更新: 2007-09-13)

https://www.jpcert.or.jp/ir/faq3.html *太字は筆者)

また、ISPによっては、依頼にすぐ対応してくれるところと、まったく対応してくれないところがあるとの指摘もあります。

理由2:ドメインは短時間で使い捨てられる

フィッシングサイトのドメインは、極めて短期間で使い捨てされると言われ、「2時間程度」とする人も「48時間くらい」とする人もいます。なので、テイクダウン要請をかけた頃には、すでに被害が発生しているだけでなく、サイトが犯人に消されている、ということが起こり得ます。このため、被害が出る前にテイクダウンに成功するためには、かなり迅速に対応する必要があります。

関連記事:「ピラミッドオブペイン」とは? 脅威情報をもっと有効活用するための考え方

テイクダウンサービスにできること

以上、テイクダウンの難しさについてお話ししました。それでも、フィッシングサイトを早急に検知し、テイクダウンにつなげることは、サイト利用者の被害を最小化する上で重要です。これを踏まえつつ、次のセクションでは、検知・テイクダウンサービスの一例として、弊社が提供する脅威インテリジェンスツール「Flashpoint」を少しご紹介します。Flashpointを使えばワンクリックでテイクダウン依頼ができるため、スピーディーなテイクダウンと被害の最小化につながります。

関連記事:脅威インテリジェンスとは何か? その種類と重要性

Flashpoint「Brand Exposure Protection」

Flashpointのブランド保護の方法を説明した画像

「Brand Exposure Protection」は米国Flashpoint社が全世界に提供するブランド保護ソリューションで、フィッシングサイト検知・テイクダウン代行に使える2つの機能、Domain Monitoring(ドメイン監視)Takedown Management(テイクダウン管理)を備えています。

Domain Monitoring(ドメイン監視)

有害サイト(ドメイン)を監視(モニタリング)します。有害と疑われるURLを、Flashpointのアナリストがお客様に代わって調査・レビューすることで誤検知を最小限に抑えます。

*ドメイン監視とは別に、偽アカウントを発見する機能や、自社ブランドを狙う/装う不正アプリがないかを監視する機能もあります。

Takedown Management (テイクダウン管理)

Flashpointのプラットフォーム内でテイクダウン要請を出せます。プラットフォームでは、サイトが削除された後も脅威の監視を続けることが可能です。利用の流れは以下の通りです。

利用の流れ

1.フィッシングの動き(有害サイトの出現など)が確認されたらアラートで通知

2.通知を受けたユーザーは、プラットフォーム内でインシデントを調査

3.ユーザーはアラート内の情報を見直し、行動を取るべきか否かを判断

4.プラットフォーム上からワンクリックで、Flashpointにテイクダウンをリクエスト

メリット

1.アラートは背景情報付きなので対処行動に役立つ

ユーザーは組織や傘下ブランドを狙った有害URLの通知を受け取ると同時に、テイクダウンを実行すべきかを知るのに欠かせない背景情報(コンテキスト)も一緒に受け取ります。

2 スピーディーなテイクダウンに役立つ

ワンクリックでテイクダウンをリクエストできるので、ブランドイメージの保護や、不正の減少、従業員・顧客アカウントの乗っ取り阻止につながります。

3.時間・リソースの節約

ホスティングプロバイダーとの連携を含めたすべてのリクエストとフォローアップはFlashpointが行うため、社内チームはサイト削除に必要な時間とリソースを削減できます。

Flashpointに関する詳しい情報は、以下のページをご覧ください。

フィッシングサイト監視/テイクダウンサービスの概要

https://machinarecord.com/cyber/phishing/

資料請求はこちらからどうぞ

テイクダウン以前にサイト運営者がやるべきフィッシング対策

セキュリティが破られ混乱している人々

ここまで、「テイクダウンの方法」「難しさ」「テイクダウンサービスにできること」についてご紹介してきました。もちろん、テイクダウン以前にやっておくべきフィッシング対策は数多く存在します。フィッシング対策協議会のガイドラインには、サイト運営者側の対策34項目列挙されています。詳しい内容は同ガイドラインをお読みいただくとして、以下、大まかな内容をまとめました。

フィッシング対策協議会のガイドラインはこちら

フィッシング対策ガイドライン 2022年度版(6月1日付け) 

https://www.antiphishing.jp/report/antiphishing_guideline_2022.pdf

1.フィッシング詐欺被害の発生を抑制するための対策

・利用者が正規メールとフィッシングメールを判別可能とする対策

・利用者が正規サイトを判別可能とする対策 

・フィッシング詐欺被害を拡大させないための対策

・ドメイン名に関する配慮事項

・フィッシング詐欺対策のための組織体制

・利用者への啓発活動 

2.フィッシング詐欺被害の発生を迅速に検知するための対策

・サイトに対する不審なアクセスの監視(例:サーバやファイアーウォールなどのログ等を監視)

・フィッシング詐欺の検知サービスの活用

など

3.フィッシング詐欺被害が発生してしまった際の対策

・フィッシング詐欺被害状況の把握

・フィッシングサイトテイクダウン活動

・フィッシングメール注意勧告

・関係機関への連絡、報道発表

・生じたフィッシング詐欺被害への対応

・事後対応

 

フィッシングサイトの検知・監視による利用者への迅速な注意喚起に加えて、素早いテイクダウンを行うことが出来れば、被害をより小さく抑えることができるでしょう。

 

本記事でご紹介したFlashpointに関する詳しい情報は、以下のページをご覧ください。

フィッシングサイト監視/テイクダウンサービスの概要

https://machinarecord.com/cyber/phishing/

資料請求はこちらからどうぞ

 

Writer

Kyohei株式会社マキナレコード インテリジェンス関連・翻訳担当

著者

2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ