Comments
Description
Transcript
中国におけるフィッシング対策の状況-アンチフィッシングアライアンス
Anti-Phishing Alliance of China アンチフィッシングアライアンスチャイナのご紹介 Nov, 2010 CONTENTS Anti-Phishing Alliance of Chinaの沿革 APACの役割と思想 APACのパートナーと会員 中国のフィッシング状況 Anti-Phishing Alliance of Chinaの今後について Overview • Anti-Phishing Alliance of China(APAC) は2008年7月18日に創設された • 銀行、Eコマース、ドメイン名販売事業者などを中心に現在 145社の会員がいる • APACの使命は、フィッシング及び個人情報窃取や金融犯罪を引き起こすスパムメ ールを抑制すること • 中国ではフィッシング問題について公に認められた唯一組織 • APACは、ドメイン名の利用停止処理プロセスを導入した • APAC事務局は、CNNICが務める The positioning and slogan of APAC 我々の役割: • 中国のフィッシング対策活動を推進する権威となる • 中国での知見やデータを共有するためのプラットフォーム機能を果たす • フィッシングやその他の好ましくないインターネットアプリケーションの問題について 、中国政府の政策決定のアドバイザーとなる • 中国政府と中国の企業との架け橋となり、相互の連携を手助けする 我々のゴール: the organization structure of APAC CAS MII MPS CNCERT National Virus Emergency Response Center China University of Political Science and Law Judges Lawyers エキスパートガイ ダンスコミティー 銀行、証券会社 APAC CNCERT National Virus Emergency Response Center 事務局 会員 Eコマース事業者 第三者ベリフィ ケーション組織 ドメイン名レジスト リとレジストラ セキュリティサー ビス事業者 管理の手続き 報告の受付 電話 メール Webから 検査と確認 事務局 第三者機関 テイクダウン(サイト停止) .CN ドメインを使っている場合 レジストリとレジストラは2時間以内に、該当のドメイン名をサスペンドする .CN ドメインを使っていないが、中国の事業者で登録したドメイン名をつかっている場合 レジストラーに対して該当ドメイン名の解決を停止するよう要請する .CN ドメインを使っておらず、外国で登録されている場合 フィッシングサイトのURLはブロックリストサービス事業者に送られる (ファイヤウォール ベンダ, ウイルス対策ソフトベンダ, アンチスパムベンダなどなど) アピール 利用者からのアピールが認められると、APACはブロックリストからURLを削除し、レジストリ/ レジストラにドメイン名の利用再開を通達する。 調査研究 フィッシングに関する調査研究(例えばフィッシングのヒューリスティック/パターン検知認識方 法など)をおこなっている フィッシングURL提供先 ブラウザでのブロック実例 北京五輪を狙ったフィッシング Official:www.tickets.beijing2008.cn Phishing:www.★ ★ ★ -tickets2008.com Phishing:www.★ ★ ★ ticketing.com More than 50 million USD. 寄付サイトを狙ったフィッシング 2008年の四川地震、2010年の青海省地震の際に はこれに乗じたフィッシングが行われた 災害救助支援活動はフィッシャーにとってチャンス フィッシングURLの実例 http://cctv-t2.★ ★ ★ /jk/index.htm http://www.688 ★ ★.com/ http://www.qq.com.indexq.cn/news/news.qq .com/a/20080512/index.htm CNNICはindexq.cnの登録者によって登録された 別のドメイン名を監視した。それらがフィッシングに 使われることはなかった。 公式メールボックスをつかったフィッシング レジストリやレジストラーのフィッシング被害 2010年1月11日 1. 攻撃者はBaiduの担当者を名乗ってRegister.comとの チャットを開始 2. Register.comの担当は確認情報の提供を申し出た。攻 撃者は無効な情報を送付したが、 Register.comはこれに 気づかず手続きを続行。Baiduのメールアドレスにセキュリ ティコードを送付した 3. ハッカーはそのメールを読めないため、デタラメのセ キュリティコードをチャットでRegister.comに送付した。 Register.comはセキュリティコードの確認を行わなかった 4. 攻撃者はRegister.comの担当に登録メールアドレスを [email protected]に変更するよう依頼し、これが 変更された。 5. 攻撃者は “forgot password” リンクを使ってユーザ名と パスワードを取得。Baiduのネームサーバに関する設定変 更権限を得た CNNNICではVIPカスタマーについては書面での変更依頼 を必要としている APACに寄せられるフィッシングの傾向 2010年9月までにAPACは25,132件のフィッシング報告をうけている。 3500 3105 3000 2812 2500 2000 1734 1345 1036 1085 971 1000 664 559 246 373 574 350 347 293 95 0 1785 1495 1500 500 1866 864 574 380 315 270 378 1023 593 CNドメインのフィッシングの傾向 14000000 12280081 12000000 9535120 10000000 8844196 8254681 8000000 7620043 7246686 6854998 6509393 6047926 Jul/10 Aug/10 Sep/10 6000000 4000000 2000000 0 Jan/10 Feb/10 Mar/10 Apr/10 3500 May/10 Jun/10 CN 2925 Others 3000 2789 2500 1808 2000 1870 1500 1505 1629 1000 500 0 1689 1615 1005 800 380 0 200 145 545 251 455 119 80 970 821 549 96 76 44 43 90 23 ドメイン名別、フィッシングサイト件数 2008-2009 .us other 1% 1% .TK 3% .INFO 5% .CC 9% 2010- .in 6% .us 2% .CN 38% .ORG 1% other 2% .in 10% .INFO 8% .CC 15% .NET 3% .COM 33% .CN 4% .NET .TK 3% 5% .ORG 2% .COM 49% フィッシングに関する統計 Eコマースが中国国内のフィッシングの主な被害者である 16000 14000 12321 1.68% Fetion Baidu 0.13% Other 0.43% 9.18% CCTV 6.08% ICBC 10.25% Tencent 19.30% 13449 12000 10000 8000 Taobao 52.52% 6000 4942 4000 2624 1557 2000 0 Taobao Tencent ICBC CCTV •淘宝网(Taobao), 中国最大のEコマース事業者, 2億のユーザ, 年間売り上げは300億ドル(2.4兆円) • Tencent, 中国最大のインスタントメッセージングサービス, 5億を超えるアクティブユーザ, 1億がオン ライン状態 被害ブランド別のフィッシング 3000 2500 2000 1500 1000 500 0 Taobao Tencent ICBC CCTV 調査研究 APACからのサンプル http://item.taobao.com-oo.info/login.asp http://item-taoobao.co.cc/auction/buy_nowxn.asp?item_detail-0db21wj7vl12tsf1t8bq7pae7trk526t062e http://ltem.taoboa.auciaczs.com/auction/buy_nowxn.asp?item_detail-0db2rnaxmcr3kj72k93h8g26xkibvs7k1736 http://item.taobao.scoai.tk/login.khdel.html http://www.taobro.tk/auction/buy_nowsw.asp?item_detail-0db262z2116798uf9cq6l5pt297z07k9elgt http://item.taebao.con.aluoni.co.cc/member/login.html.asp http://item.tacbao.com.pouy.co.cc/tao/auction/buy_nowsw.asp?item_detail0db2-d97i99do662w7u844372j748gd36w3y1 http://item.taobao.cn.jiaxinwl.com/member/login.tb.jhtml.asp?f=top http://item.teobao.com.detar.tk/login.asp?id=169&numbers=1 http://www.qq.com.trwjn.info/2010/index.html 技術研究と開発 ドメイン名の類似度判定 Taobao.com VS Toobao.com CDN の類似度判定 康师傅.中国 VS 康帅博.中国 Webサイトの特徴による検知 Detect web pages’ landing box Webサイトの所有者情報を確認 コピーライト、ICP、検索ランキング、whois情報などなど 内部リンクと外部リンクの分析 予備実験の結果 Dig in recursive DNS logs for suspicious phishing hosts 類似度を検出 Levenshtein Distance Character pixel comparison 結果 www.qq.qqhw.tk Item.taobao.mao-u.tk Item.baotao.mae-ep.tk www.cctv33v.co.cc … other .us 2% 2% .in 10% .INFO 8% .CC 15% .TK 5% .CN 4% TaoBao .COM 49% .NET .ORG3% 2% Tencent CCTV ICBC APACの今後について 効率的なフィッシング検出システムの実用化 国際連携強化(フィッシング対策協議会, JPCERTなど ) APAC の会員拡大 3 2 アライアンス設立 報告とサイトテイクダウン 年次会合 月次報告 1 2008 2010 効率的なフィッシング検出システムの開発 海外のセキュリティベンダとの連携 (markmonitor, netcraftなど) ユーザ啓発 フィッシング届出方法 Personal Report Email:[email protected] The Alliance member Report Email :[email protected] Report Phone:010-58813000 Report Platform:jubao.apac.cn CAS Software Park, NO.4,Zhongguancun South 4th Street, Haidian District Beijing ,China Code : 100190 www.apac.cn