フィッシングに引っかからないために:インターネットドメインを理解する – Pratum

Posted on by admin

Cyber criminal with email phishing campaign

Phishing has been around long time, and most recent index numbers shows attackers are using it enthusiastically.

Infoblox DNS Threat Index, Q2 Quarterly Report 2015

ネットワークエンドユーザーは、最前線の防御者として、組織の情報セキュリティプログラムの重要な要素となっています。 過去数年間、ネットワークエンドユーザーのための認識とトレーニングのトピックは、その蔓延する性質とフィッシャーが犠牲者をおびき寄せるために使用するますます洗練された手法の両方からフィッシングを含んでいます。 私たちのコンサルタントが組織内のリスクを評価し、フィッシングの啓発やトレーニングの取り組みについて相談すると、「疑わしいリンクはクリックしない」「メール内のリンクにマウスポインタを合わせて正規のものかどうかを確認する」といったガイダンスを目にすることがあります。

リンクやURLを評価するには、gTLD(generic Top-Level Domains)、ccTLD(country code TLD)、その他のインターネットドメインの種類を理解する必要があります。

A Short History of Generic Top-Level Domains

私たちは皆、gTLDを見慣れた存在になっています。 私たちはほぼ毎日、.com、.gov、.edu などの最も身近なものを含め、gTLD を使用しています。 これらは、インターネットの構造上、重要な役割を担っています。 また、URLを操作して不正利用するフィッシャーにもよく知られています。

1984 年に Request for Comments (RFC) 920 を使用して、オリジナルの「汎用ドメイン」である .com, .gov, .mil, .edu, および .org が定義されました。 1985 年初めに .net という別のドメインが追加され、これも「オリジナル」ドメインの 1 つと見なされています。 1988年には、北大西洋条約機構(NATO)の要請により、.int(international)が追加されました。 その後、.bizや.info(2001年)など、長年にわたって他のドメインが追加されました。 2011年初頭までに、22のgTLDが設立された。 2011年6月、ICANN(Internet Corporation for Assigned Names and Numbers)は、gTLDの申請と実装に関する多くの制限を取り除くことを決議し、ほぼすべてのgTLDの使用に門戸を開くこととなった。 新しいルールの下、2015年5月時点で、.auto, .computer, .network, .social, .pizza, .organic などの新gTLDを含む600以上のgTLDが登録され、インターネット上での利用が許可されました。 一部のセキュリティ専門家によると、このgTLDの進化は、フィッシャーが多数の新しいフィッシングサイトを形成することを可能にするため、フィッシャーへの贈り物であると考えられているそうです。 拡張された gTLD の全リストは、Internet Assigned Numbers Authority (IANA) Root Zone Database (https://www.iana.org/domains/root/db) を参照してください。

Country Code TLDs

Country Code TLDs も多くの URL に含まれており、したがって、リンクで見ることもあると思われます。 国には、サイトがどの国で登録されているか、またはどの国から発信されているかを区別するための ccTLD があります。 たとえば、米国のccTLDである.usは、州や地方自治体でよく使用されています。 他のccTLDの例としては、オーストラリアの.au、日本の.jp、イギリスの.ukなどがあります。 リンクや URL を読む際には、URL 内の ccTLD の位置がずれる可能性があることを認識してください(http://www.gov.uk のような URL の末尾、または https ://uk.news.yahoo.com のような URL の先頭)

Did You Know?

54カ国が、自国のccTLDを商業目的で使用することを許可することにしました。 たとえば、コロンビアのccTLDである.coは、.comの代わりに使用することができます。 .comドメインが急成長しているため、非常に人気があり、企業はウェブサイト名を別の方法で形成することができます。

http://o.coというURLを見たことがありますか? これは、Overstock.com が、ブラウザから同社にアクセスするための別の方法を提供しています。

あなたは youtu.be をご覧になったことがあるかもしれませんね。

エンターテインメント業界の多くは、Tavalu の ccTLD である .TV を使用しています。

あるサイトが正当なものかどうかを判断しようとするとき、多くのccTLDが商業目的にも使用されていることを認識してください。 一見、怪しいサイトでも、実は合法的なサイトである可能性があるのです。 しかし、ccTLDはフィッシングサイトの名前にも使われることがあるので、疑わしい場合はクリックしないようにしましょう!

リンク/URLの成り立ち

ではリンク先のURLを読むポイントはなんだろうか? 基本的な答えは、リンク内では、重要なものはダブル フォワード スラッシュ「//」と最初のシングル スラッシュの間、主に下図に示す強調表示された領域にあるということです。 URLを解釈するには、最初のシングルフォワードスラッシュまで行き、そこから戻ってください。 最初のスラッシュの後に、ディレクトリ、サブディレクトリ、ファイル名、ファイルタイプなどが記載されています。

リンク/URLの構造

注:上記の枠組みは、基本的なURLの内訳です。 http:// や https:// の代わりに、ftp://、gopher://、または news:// と表示されることがあります。 これらは異なるタイプの転送プロトコルです。 また、wwwは多くのURLに含まれていますが、必須の構成要素ではありません。 gTLDとセカンダリドメイン/サーバー名の前に、追加のフィールドが表示されることがあります。 最初のフォワードスラッシュの後に、日付を示すフィールドや、リソースを識別するための他の情報が表示されることがあります。

リンク/URL の例

さて、いくつかの背景情報を得たところで、いくつかの例を見てみましょう。

  1. 私たちは、次のような商用サイトを見たり使ったりすることにかなり慣れています。 http://www.amazon.com

    これは有名なサイトであり、URLも怪しい改変は含まれていない。
    評価です。 LEGIT!

  2. URLはほとんどあらゆる方法で形成することができます。 このため、サイトの所有者は、ユニークなサイト名を簡単に構築できます。 また、フィッシャーも同じように、正規のサイト名に近いサイト名を簡単に作成することができます。 たとえば、ピリオドを入れるだけで、サイト名にどんな効果があるか見てみましょう。 http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart

    誰かが上のリンクをクリックすると、amazon.com に行く代わりに、zon.com というサイトに誘導されます。 SUSPECT!

  3. このリンクはどうでしょうか? http://This email address is being protected from spambots. You need JavaScript enabled to view it./catalog

    この場合、人はamazon.comではなくIPアドレス66.161.153.155に誘導されるでしょう。 もし、「@」記号のついたリンク/URLを見かけたら、特に注意してください。 フィッシャーは、このURL操作の手口を日常的に使っています。
    Assessment: SUSPECT!

  4. このURLをリンクで見かけたらどうする? http://209.131.36.158/amazon.com/index.jsp

    このURLは、上記3のURLと機能的にはやや似ています。 人は、最初の単一のフォワードスラッシュの後に記載されているamazon.comではなく、IPアドレスに誘導されることになります。
    Assessment: SUSPECT!

  5. 以下のようなURLを見た場合、あるいはWebページの読み込みを見ているときに、URLバーにこれに似たものが表示されたらどうでしょうか? http://www.google.com/url?q=http://www.badsite.com

    この例は、あるサイト (この場合は google.com) から別のサイト badsite.com (これを可能にする “=http://” という命名規則に注意) に人を参照させる URL を示しています。 紹介すること自体は悪いことではないが、紹介されたサイトがフィッシングサイトにつながる可能性がある。 この場合、badsite.comは正当なサイトには見えません。
    Assessment: SUSPECT!

    6. Did You Know?

    あるWebサイトにアクセスすると、URLの中に「www1」や「www2」(あるいはその他の数字)が表示されます。 これは何を意味するのでしょうか? Webサイトの中には、非常に人気のあるものがあり、そのため、要求されたときにコンテンツを提供するために、負荷分散構成で複数のサーバーが動作している場合があります。 企業によっては、サーバーに番号を付けることを選択する場合もあります。 つまり、www1やwww2(または他のwww#)が表示されている場合、複数のサーバーのうちどのサーバー#がコンテンツを提供しているかを見ているに過ぎないのです。 フィッシングに関しては、www1やwww2などを見ること自体がフィッシングサイトの指標にはなりません。

    URL内のトップレベルドメインとセカンドドメインをすばやく判断できるように、いくつかの企業や組織で「ドメインの強調表示」が行われ始めています。 ユーザーがサイトにアクセスすると、URL の一部が数秒後に暗くなり、トップレベルおよびセカンダリ ドメインが暗いまま残されます。 たとえば、

    PayPal ドメイン

    正当で安全なサイトのサインを探すのは常に良いことです:閉じた南京錠、 https:// 、URL内で緑でハイライトされた会社名(上記の PayPal の例のような)です。 サイトの証明書が期限切れなど無効な場合、Internet ExplorerやFirefoxなどのブラウザ、またはセキュリティサービスから警告が表示されます。 このような警告が表示されると、「このまま進んでも大丈夫だろうか? その場合は、他の指標を参考に(もう一度URLを確認)、そのサイトが正規のものであるかどうかを判断してください。

    結論

    フィッシングは世界的な問題であり続け、フィッシングの手口に気づかないユーザー、巧妙化するフィッシング手法、そして現在では汎用トップレベルドメインが増加していることによって悪化しています。 フィッシングの手口は、メール内のリンクだけではありませんが、非常に一般的なものです。 フィッシングによるリスクを減らすには、リンクと関連するURLの解釈方法を知る必要があります。

    ソーシャルエンジニアリング、啓発、トレーニング、リスク評価サービスについての詳細は、今すぐお問い合わせください。

Related Posts

コメントを残す

メールアドレスが公開されることはありません。