Internet Engineering Task Force (IETF)                           P. Cain
Request for Comments: 5901                   The Cooper-Cain Group, Inc.
Category: Standards Track                                      D. Jevans
ISSN: 2070-1721                          The Anti-Phishing Working Group
                                                               July 2010
     Extensions to the IODEF-Document Class for Reporting Phishing



This document extends the Incident Object Description Exchange Format (IODEF) defined in RFC 5070 to support the reporting of phishing events, which is a particular type of fraud. These extensions are flexible enough to support information gleaned from activities throughout the entire electronic fraud cycle -- from receipt of the phishing lure to the disablement of the collection site. Both simple reporting and complete forensic reporting are possible, as is consolidating multiple incidents.

この文書では、不正行為の特定のタイプであるイベントをフィッシングの報告を、サポートするために、RFC 5070で定義された事件オブジェクト説明交換フォーマット(IODEF)を拡張します。これらの拡張機能は、全体の電子詐欺サイクル全体での活動から収集された情報をサポートするのに十分な柔軟性があり - フィッシングルアーの領収書から収集サイトの無効化に。複数の事件を統合されたとしても、簡単な報告と完全な法医学報告は、可能です。

Status of This Memo


This is an Internet Standards Track document.


This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.

このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。インターネット標準の詳細については、RFC 5741のセクション2で利用可能です。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at


Copyright Notice


Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.

著作権(C)2010 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents ( in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。

Table of Contents


   1. Introduction ....................................................3
      1.1. Why a Common Report Format Is Needed .......................3
      1.2. Processing of Exchanged Data Not Defined ...................4
      1.3. Relation to the INCH IODEF Data Model ......................4
   2. Terminology Used in This Document ...............................4
      2.1. Requirements Language ......................................5
   3. Interesting Fraud Event Data ....................................5
      3.1. The Elements of a Phishing/Fraud Event .....................6
      3.2. Useful Data Items in a Fraud Event .........................7
   4. Fraud Activity Reporting via IODEF-Documents ....................8
      4.1. Fraud Report Types .........................................8
      4.2. Fraud Report XML Representation ............................9
      4.3. Syntactical Correctness of Fraud Activity Reports ..........9
   5. PhraudReport Element Definitions ...............................10
      5.1. PhraudReport Structure ....................................10
      5.2. Reuse of IODEF-Defined Elements ...........................11
      5.3. Element and Attribute Specification Format ................11
      5.4. Version Attribute .........................................12
      5.5. FraudType Attribute .......................................12
      5.6. PhishNameRef Element ......................................13
      5.7. PhishNameLocalRef Element .................................13
      5.8. FraudedBrandName Element ..................................13
      5.9. LureSource Element ........................................14
      5.10. OriginatingSensor Element ................................22
      5.11. The DCSite Element .......................................23
      5.12. TakeDownInfo Element .....................................25
      5.13. ArchivedData Element .....................................27
      5.14. RelatedData Element ......................................28
      5.15. CorrelationData Element ..................................28
      5.16. PRComments Element .......................................28
      5.17. EmailRecord Element ......................................28
   6. Mandatory IODEF and PhraudReport Elements ......................29
      6.1. Guidance on Usage .........................................30
   7. Security Considerations ........................................31
      7.1. Transport-Specific Concerns ...............................31
      7.2. Using the iodef:restriction Attribute .....................31
   8. IANA Considerations ............................................32
   9. Contributors ...................................................32
   10. References ....................................................32
      10.1. Normative References .....................................32
      10.2. Informative References ...................................33
   Appendix A.  Phishing Extensions XML Schema .......................34
   Appendix B.  Example Virus Report .................................43
      B.1.  Received Email ...........................................43
      B.2.  Generated Report .........................................44
   Appendix C.  Sample Phishing Report ...............................46
      C.1.  Received Lure ............................................46
      C.2.  Phishing Report ..........................................48
1. Introduction
1. はじめに

Deception activities, such as receiving an email purportedly from a bank requesting you to confirm your account information, are an expanding attack type on the Internet. The terms "phishing" and "fraud" are used interchangeably in this document to characterize broadly-launched social engineering attacks in which an electronic identity is misrepresented in an attempt to trick individuals into revealing their personal credentials (e.g., passwords, account numbers, personal information, ATM PINs, etc.). A successful phishing attack on an individual allows the phisher (i.e., the attacker) to exploit the individual's credentials for financial or other gain. Phishing attacks have morphed from directed email messages from alleged financial institutions to more sophisticated lures that may also include malware.


This document defines a data format extension to the Incident Object Description Exchange Format (IODEF) [RFC5070] that can be used to describe information about a phishing or other type of fraudulent incident. Sections 2 and 3 of this document provides an overview of the terminology and process of a phishing event. Section 4 introduces the high-level report format and how to use it. Sections 5 and 6 describe the data elements of the fraud extensions. The appendices include an XML schema for the extensions and a few example fraud reports.


The extensions defined in this document may be used to report the social engineering victim lure, the collection site, credential targeted ("spear") phishing, broad multi-recipient phishing, and other evolving Internet-based fraud attempts. Malware and other malicious software included within the lure may also be included within the report.


1.1. Why a Common Report Format Is Needed
1.1. 一般的なレポート形式が必要な理由

To combat the rise in malicious activity on the Internet, service providers and investigative agencies are sharing more and more network and event data in a coordinated effort to identify perpetrators and compromised accounts, coordinate responses, and prosecute attackers. As the number of data-sharing parties increases, the number of party-specific tools, formats, and definitions multiply rapidly until they overwhelm the investigative and coordination abilities of those parties.


By using a common format, it becomes easier for an organization to engage in this coordination as well as correlation of information from multiple data sources or products into a cohesive view. As the number of data sources increases, a common format becomes even more important, since multiple tools would be needed to interpret the different sources of data. A big win in a common format is the ability to automate many of the analysis tasks and significantly speed up the response and prosecution activities.


1.2. Processing of Exchanged Data Not Defined
1.2. 交換されるデータの処理が定義されていません

While the intended use of this specification is to facilitate data sharing between parties, the mechanics of this sharing process and its related political challenges are out of scope for this document.


1.3. Relation to the INCH IODEF Data Model
1.3. INCH IODEFデータモデルとの関係

Instead of defining a new report format, this document defines an extension to [RFC5070]. The IODEF defines a flexible and extensible format and supports a granular level of specificity. These phishing and fraud extensions reuse subsets of the IODEF data model and, where appropriate, specify new data elements. Leveraging an existing specification allows for more rapid adoption and reuse of existing tools in organizations. For clarity, and in order to eliminate duplication, only the additional structures necessary for describing the exchange of phishing and e-crime activity are provided.

代わりに、新しいレポート形式を定義する、このドキュメントは[RFC5070]の拡張機能を定義します。 IODEFは、柔軟で拡張可能なフォーマットを定義し、特異性の粒状レベルをサポートします。これらのフィッシングや詐欺の拡張機能は、IODEFデータモデルのサブセットを再利用して、適切な場合には、新しいデータ要素を指定します。既存の仕様を活用して、より迅速な採用と組織の既存のツールを再利用することができます。明確にするため、および重複を排除するために、フィッシングや電子犯罪活動の交換を説明するために必要なだけ追加の構造が設けられています。

2. Terminology Used in This Document

Since many people use different but similar terms to mean the same thing, we use the following terminology in this document.


a. Phishing


       The overall process of identifying victims, contacting them via a
       lure, causing a victim to send a set of private credentials to a
       collection site, and storing those credentials is called

b. Fraud Event


       A fraud event is the combination of phishing and subsequent
       fraudulent use of the private credentials.

c. Lure


       A lure is the decoy used to trick a victim into performing some
       activity, such as providing their private credentials.  The lure
       relies on social engineering concepts to convince the victim that
       the lure is genuine and its instructions should be followed.  A
       lure includes a pointer or link to a collection site.

d. Collection Site


       The website, email box, SMS number, phone number, or other place
       where a phished victim sends their private credentials for later
       fraudulent use by a criminal.

e. Credentials


       A credential is data that is transferred or presented to
       establish either a claimed identity or the authorizations of a
       system entity.  Many websites require a user name and password --
       combined, they are a credential -- to access sensitive content.

f. Message


       Although primarily email, a lure can be transported via any
       messaging medium, such as instant messages, Voice over IP (VoIP),
       or text via an SMS service.  The term "message" is used as a
       generic term for any of these transport mediums.
2.1. Requirements Language
2.1. 要件言語

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].

この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]に記載されているように解釈されます。

3. Interesting Fraud Event Data

Before defining the structure of the IODEF extensions, we identify the "interesting" data in phishing and other fraudulent activities.


3.1. The Elements of a Phishing/Fraud Event
3.1. フィッシング/詐欺イベントの要素
   +-----------+        +------------------+
   | Fraudster |<---<-- | Collection Site  |<---O--<----<----+
   +----+------+        +------------------+    |            |
        |                                       |            |
        |                                    +--|-----+      ^
        |                                    | Sensor | Credentials
        |                                    +-|------+      |
        |      +---------------+               |        +-------+
        \--->--| Attack Source |--Lure--->-----O------> | User/ |
               +---------------+                        |Victim |

Figure 3.1. The Components of Internet Fraud


Internet-based phishing and fraud activities are normally comprised of at least six components:


1. The phisher, fraudster, or party perpetrating the fraudulent activity. Most times this party is not readily identifiable.


2. The attack source -- the source of the phishing email, virus, trojan, or other attack -- is masked in an enticing manner.

2.攻撃元 - フィッシングメール、ウイルス、トロイの木馬、またはその他の攻撃のソースは - 魅力的な方法でマスクされています。

3. The lure used to trick the victim into responding.
4. The user, victim, or intended target of the fraud or phish.

5. The credentials, personal data, or other information the victim has surrendered to the phisher.


6. The collection site, where the victim sends their credentials or personal data if they have been duped by the lure of the phisher. This may be a website, mailbox, phone operator, or database.


If we take a holistic view of the attack, there are some additional components:


o The sensor -- the means by which the phish is detected. This element may be an intrusion detection system, firewall, filter, email gateway, or human analyst.

Oセンサ - フィッシングを検出する手段。この要素は、侵入検知システム、ファイアウォール、フィルタ、メールゲートウェイ、または人間のアナリストであってもよいです。

o A forensic or archive site (not pictured), where an investigator has copied or otherwise retained the data used for the fraud attempt or credential collection.


3.1.1. Fraudulent Activity Extensions to the IODEF-Document
3.1.1. IODEF-文書に不正行為の拡張機能

Fraud events are reported in a fraud activity report, which is an instance of an XML IODEF-Document Incident element with added EventData and AdditionalData elements. The additional fields in the EventData specific to phishing and fraud are enclosed in a PhraudReport XML element. Fraudulent activity may include multiple emails, instant messages, or network messages, scattered over various times, locations, and methodologies. The PhraudReport within an EventData may include information about the email header and body, details of the actual phishing lure, correlation to other attacks, and details of the removal of the web server or credential collector. As a phishing attack may generate multiple reports to an incident team, multiple PhraudReports may be combined into one EventData structure, and multiple EventData structures may be combined into one incident report. One IODEF incident report may record one or more individual phishing events and may include multiple EventData elements.

不正イベントを添加EventDataのとAdditionalData要素を持つXML IODEF-文書インシデント要素のインスタンスである不正アクティビティレポートで報告されています。フィッシングや詐欺に固有EventDataの中に追加のフィールドがPhraudReportのXML要素で囲まれています。不正行為は、様々な時間、場所、方法論に散らばって複数の電子メール、インスタントメッセージ、またはネットワークメッセージを含むことができます。 EventDataの内PhraudReportは、電子メールのヘッダ及び本体については、実際のフィッシングルアーの詳細は、他の攻撃に対して相関、及びウェブサーバ又は認証情報コレクタの除去の詳細を含むことができます。フィッシング攻撃が入射チームに複数のレポートを生成することができたように、複数のPhraudReportsは1つのEventDataの構造に結合されてもよいし、複数のEventDataの構造は、1つのインシデントレポートにまとめてもよいです。一回のIODEFインシデントレポートは、1つの以上の個々のフィッシングイベントを記録してもよいし、複数のEventDataの要素を含むことができます。

This document defines new extension elements for the EventData IODEF XML elements and identifies those required in a PhraudReport. The appendices contain sample fraud activity reports and a complete schema.


The IODEF Extensions defined in this document comply with Section 4, "Extending the IODEF Format" in [RFC5070].


3.2. Useful Data Items in a Fraud Event
3.2. 詐欺イベントで有用なデータ項目

There are a number of subtle and non-obvious data to capture from a fraud event that make the event analysis and correlation with other events more useful. These data can be grouped into categories:


3.2.1. Data about the Lure
3.2.1. ルアーに関するデータ

If a lure was presented as part of the fraud event, this category includes the original received lure, the means by which the lure was received (e.g., email, phone, or SMS), and the source addresses that sent the lure. Other useful data includes DNS data about the lure source, identification of any accompanying malware, and the brand name defrauded.


3.2.2. Credential Collection Site Data
3.2.2. 資格コレクションサイトデータ

The collection site contains victim identifications, along with copies of data supplied by the victims, such as account names or numbers, passwords, dates of birth, etc. This category of useful data includes these credentials, along with information about the collection site itself, such as its type, site DNS data, DNS registrant data, and site physical location. The location and registrant information is particularly important if law enforcement assistance is expected. Additionally, an entire site archive can be gathered to allow a collector on a shared website to be disabled without impacting other users.


3.2.3. Detection Information
3.2.3. 検出情報

This is a non-obvious data category and contains data on how the lure or collection site was detected. Understanding how the lure was detected allows us to design and implement better detection systems.


3.2.4. Analysis Output
3.2.4. 分析出力

In an environment where time is critical, it is imperative that analysis from one party can be reliably explained to and shared with other investigative parties. This grouping includes data that an investigator found interesting or could be useful to others.


4. Fraud Activity Reporting via IODEF-Documents

A fraud activity report is an instance of an XML IODEF-Document with additional extensions and usage guidance, as specified in Section 4 of this document. These additional extensions are implemented through the PhraudReport XML element.

このドキュメントのセクション4で指定されている、詐欺の活動報告は、追加の拡張機能や使用方法の指導を持つXML IODEF - ドキュメントのインスタンスです。これらの追加の拡張機能は、PhraudReport XML要素を介して実装されています。

As described in the following subsections, reporting fraud activity has three primary components: choosing a report type, a format for the data, and how to check the correctness of the format.


4.1. Fraud Report Types
4.1. 詐欺レポートタイプ

There are three actions relating to reporting phishing events. First, a reporter may *create* and exchange a new report on a new event. Secondly, a reporter may *update* a previously exchanged report to indicate new collection sites, site takedown information, or related activities. Lastly, a reporter may have realized that the report is in error or contains significant incorrect data and that the prudent reaction is to *delete* the report.

フィッシングイベントをレポートに関連する3つのアクションがあります。まず、記者は* *を作成し、新しいイベントで新しいレポートを交換してもよいです。第二に、記者は、新しいコレクションのサイト、サイトテイクダウン情報、または関連活動を示すために*更新*以前に交換し報告することがあります。最後に、記者は報告書に誤りがあるか、重大な不正なデータが含まれており、慎重な反応は* *レポートを削除することであることをことを実現している可能性があります。

The three types of reports are denoted through the use of the ext-purpose attribute of an Incident element. A new report contains an empty or a "create" ext-purpose value; an updated report contains an ext-value value of "update"; a request for deletion contains a "delete" ext-purpose value. Note that this is actually an advisory marking for the report originator or recipient, as operating procedures in a report life cycle are very environment specific.


4.2. Fraud Report XML Representation
4.2. 詐欺レポートXML表現

The IODEF Incident element ([RFC5070], Section 3.2) is summarized below. It and the rest of the data model presented in Section 4 is expressed in Unified Modeling Language (UML) syntax as used in the IODEF specification. The UML representation is for illustrative purposes only; elements are specified in XML as defined in Appendix A.

IODEFインシデント要素([RFC5070]、セクション3.2)は以下に要約されます。 IODEF仕様で使用されるように、セクション4に示されたデータ・モデルの残りの部分は、統一モデリング言語(UML)構文で表現されます。 UML表現は、単に例示目的のためです。付録A.で定義された要素は、XMLで指定されています

   | Incident           |
   | ENUM purpose       |<>----------[ IncidentID ]
   | STRING ext-purpose |<>--{0..1}--[ AlternativeID ]
   | ENUM lang          |<>--{0..1}--[ RelatedActivity ]
   | ENUM restriction   |<>--{0..1}--[ DetectTime ]
   |                    |<>--{0..1}--[ StartTime ]
   |                    |<>--{0..1}--[ EndTime ]
   |                    |<>----------[ ReportTime ]
   |                    |<>--{0..*}--[ Description ]
   |                    |<>--{1..*}--[ Assessment ]
   |                    |<>--{0..*}--[ Method ]
   |                    |<>--{1..*}--[ Contact ]
   |                    |<>--{0..*}--[ EventData ]
   |                    |              |<>--[ AdditionalData ]
   |                    |                     |<>--[ PhraudReport ]
   |                    |<>--{0..1}--[ History ]
   |                    |<>--{0..*}--[ AdditionalData ]

Figure 4.1. The IODEF XML Incident Element (Modified)

図4.1。 IODEF XMLインシデント要素(修正)

A fraud activity report is composed of one iodef:Incident element that contains one or more related PhraudReport elements embedded in the iodef:AdditionalData element of iodef:EventData. The PhraudReport element is added to the IODEF using its defined extension procedure documented in Section 5 of [RFC5070].

インシデント要素IODEFに埋め込まれた1つのまたは複数の関連PhraudReport要素が含まれます:IODEFのAdditionalData要素を:EventDataの詐欺の活動報告は、1 IODEFで構成されています。 PhraudReport要素は[RFC5070]のセクション5に記載され、その定義された拡張プロシージャを使用してIODEFに添加されます。

One IODEF-Document may contain information on multiple incidents with information for each incident contained within an iodef:Incident element ([RFC5070], Section 3.12).


4.3. Syntactical Correctness of Fraud Activity Reports
4.3. 詐欺活動報告の構文正し

The fraud activity report MUST pass XML validation using the schema defined in [RFC5070] and the extensions defined in Appendix A of this document.


5. PhraudReport Element Definitions
5. PhraudReport要素定義

A PhraudReport consists of an extension to the Incident.EventData.AdditionalData element with a dtype of "xml". The elements of the PhraudReport will specify information about the six components of fraud activity identified in Section 3.1. Additional forensic information and commentary can be added by the reporter as necessary to show relation to other events, to show the output of an investigation, or for archival purposes.

PhraudReportは「XML」のDTYPEとIncident.EventData.AdditionalData要素に拡張から成ります。 PhraudReportの要素は3.1節で識別詐欺活動の6つのコンポーネントに関する情報を指定します。付加的なフォレンジック情報と解説は、他のイベントとの関係を示すために、調査の出力を表示する、またはアーカイブの目的のために、必要に応じてレポーターによって付加することができます。

5.1. PhraudReport Structure
5.1. PhraudReport構造

A PhraudReport element is structured as follows. The components of a PhraudReport are introduced in functional grouping, as some parameters are related and some elements may not make sense individually.

次のようにPhraudReport要素が構成されています。 PhraudReportの構成要素は、いくつかのパラメータが関連しているように、機能グループに導入され、いくつかの要素は、個々に意味を持たなくてもよいです。

   |   PhraudReport   |
   | STRING Version   |<>--{0..1}--[ PhishNameRef ]
   | ENUM FraudType   |<>--{0..1}--[ PhishNameLocalRef ]
   | STRING ext-value |<>--{0..1}--[ FraudParameter ]
   |                  |<>--{0..*}--[ FraudedBrandName ]
   |                  |<>--{1..*}--[ LureSource ]
   |                  |<>--{1..*}--[ OriginatingSensor ]
   |                  |<>--{0..1}--[ EmailRecord ]
   |                  |<>--{0..*}--[ DCSite ]
   |                  |<>--{0..*}--[ TakeDownInfo ]
   |                  |<>--{0..*}--[ ArchivedData ]
   |                  |<>--{0..*}--[ RelatedData ]
   |                  |<>--{0..*}--[ CorrelationData ]
   |                  |<>--{0..1}--[ PRComments ]

Figure 5.1. The PhraudReport Element

図5.1。 PhraudReport要素

Relevant information about a phishing or fraud event is encoded into six components as follows:


a. The PhishNameRef and PhishNameLocalRef elements identify the fraud or class of fraud.

A。 PhishNameRefとPhishNameLocalRef要素は、詐欺の詐欺またはクラスを識別します。

b. The LureSource element describes the source of the attack or phishing lure, including host information and any included malware.

B。 LureSource要素は、ホスト情報と任意含まマルウェアを含む攻撃やフィッシングルアーのソースを記載しています。

c. The DCSite element describes the technical details of the credential collection site.

C。 DCSite要素は、資格の収集サイトの技術的な詳細を説明します。

d. The OriginatingSensor element describes the means of detection.

D。 OriginatingSensor要素は、検出の手段が記載されています。

The RelatedData, ArchivedData, and TakeDownInfo fields allow optional forensics and history data to be included.


A specific phish/fraud activity can be identified using a combination of the FraudType, FraudParameter, FraudedBrandName, LureSource, and PhishNameRef elements.


5.2. Reuse of IODEF-Defined Elements
5.2. IODEF-定義された要素の再利用

Elements, attributes, and parameters defined in the base IODEF specification were used whenever possible in the definition of the PhraudReport XML element. This specification does not introduce any new variable types or encodings to the IODEF data model, but extends the IODEF Contact and System elements.

ベースIODEF仕様で定義された要素、属性、およびパラメータがPhraudReport XML要素の定義に可能な限り使用しました。この仕様は、IODEFデータモデルに新しい変数の種類やエンコーディングをご紹介しますが、IODEF連絡先とシステムの要素を拡張しません。

The data model schema contains a copy of the iodef:System element. Although we would like to just extend the System element, it is defined in RFC 5070 with an unable-to-extend anonymous type, so we copied the element, named its underlying type, and then generated the extension to it.

システム要素:データモデルスキーマは、IODEFのコピーが含まれています。私たちは、システム要素を拡張したいと思いますが、それはできないツー延長匿名型とRFC 5070で定義されているので、私たちはその基になる型という要素を、コピーし、それに拡張子を生成しました。

Note: Elements that are imported from the base IODEF specification are prefaced with an "iodef" XML namespace and are noted with the section defining that element in [RFC5070]. Each element in a PhraudReport is used as described in the following sections.


5.3. Element and Attribute Specification Format
5.3. 要素や属性の指定形式

The following sections describe the components of a PhraudReport XML element. Each description is structured as follows.

以下のセクションでは、PhraudReport XML要素の構成要素を記述する。次のようにそれぞれの説明が構成されています。

1. A terse XML-type identifier for the element or attribute.

2. An indication of whether the element or attribute is REQUIRED or optional. Mandatory items are noted as REQUIRED. If not specified, elements are optional. Note that when optional elements are included, they may REQUIRE specific sub-elements.


3. A description of the element or attribute and its intended use.

Elements that contain sub-elements or enumerated values are further sub-sectioned. Note that there is no "trickle-up" effect in elements. That is, the required elements of a sub-element are only populated if the sub-element is used.


5.4. Version Attribute
5.4. バージョン属性

REQUIRED. STRING. The version shall be the value 0.06, to be compliant with this document.

必須。 STRING。バージョンは、この文書に準拠する値0.06、しなければなりません。

5.5. FraudType Attribute
5.5. FraudType属性

REQUIRED. One ENUM. The FraudType attribute describes the type of fraudulent activity described in this PhraudReport. The FraudType chosen determines the value of the FraudParameter filed. This field contains one of the following values:

必須。ワンENUM。 FraudType属性は、このPhraudReportで説明した不正行為の種類を説明しています。選ばれたFraudTypeは、提出されたFraudParameterの値を決定します。このフィールドには、次のいずれかの値が含まれています。

1. phishing. The FraudParameter should be the subject line of the phishing lure email or value of a lure IM or VoIP message. This type is a standard phishing lure, usually sent as email, and is intended to exploit the recipient's credentials for financial gain.

1.フィッシング。 FraudParameterはルアーIMやVoIPのメッセージのフィッシングルアー電子メールまたは値の件名でなければなりません。このタイプは通常、電子メールとして送信される標準フィッシングルアー、で、金銭的な利益のために、受信者の資格情報を活用することを意図しています。

2. recruiting. The FraudParameter is the subject line of the recruit, or mule, email or message.

2.募集。 FraudParameterはリクルート、またはラバ、電子メールまたはメッセージの件名です。

3. malware distribution. The FraudParameter is the email subject line of the phishing email. This type of email phish does not pose a risk of financial loss to the recipient, but lures the recipient to an infected site.

3.マルウェア配布。 FraudParameterは、フィッシングメールの電子メールの件名です。電子メールのフィッシングのこのタイプは、受信者への財務上の損失のリスクをもたらすが、感染したサイトへの受信者を魅了していません。

4. fraudulent site. This identifies a known fraudulent site that does not necessarily send spam but is used to show lures. The FraudParameter may be used to identify the website.

4.詐欺サイト。これは、必ずしもスパムを送信しませんが、ルアーを表示するために使用されて知られている詐欺サイトを識別します。 FraudParameterは、ウェブサイトを識別するために使用することができます。

5. dnsspoof. This choice does not have a related FraudParameter. This value is used when a DNS system component responds with an untrue IP address for the requested domain name due to either cache poisoning, ID spoofing, or other manipulation of the DNS system.

5. dnsspoof。この選択は、関連FraudParameterを持っていません。 DNSシステムコンポーネントが原因キャッシュ汚染、IDスプーフィング、またはDNSシステムの他の操作のいずれかに要求されたドメイン名の虚偽IPアドレスで応答したときにこの値が使用されます。

6. archive. There is no required FraudParameter for this choice, although the FraudParameter of the original phish could be entered. The data archived from the phishing server is placed in the ArchivedData element.


7. other. This is used to identify not-yet-enumerated fraud types.

8. unknown. This choice may have an associated FraudParameter. It is used to cover confused cases.


9. ext-value. This choice identifies an unidentified FraudType. The FraudType should be captured in the ext-value attribute.

9. EXT-値。この選択は、正体不明のFraudTypeを識別します。 FraudTypeがext-value属性でキャプチャする必要があります。

5.5.1. ext-value Attribute
5.5.1. EXT-VALUE属性

OPTIONAL. This STRING may be populated with a FraudType that has not been predefined.


5.5.2. FraudParameter Element
5.5.2. FraudParameter要素

Zero or one value of iodef:MLStringType. The contents of this element are dependent on the FraudType choice. It may be an email subject line, VoIP lure, link in an IM message, or a web URL. Note that some phishers add a number of random characters onto the end of a phish email subject line for uniqueness; reporters should delete those characters before insertion into the FraudParameter field.

IODEFのゼロまたは1値:MLStringType。この要素の内容はFraudTypeの選択に依存しています。これは、電子メールの件名、VoIPのルアー、IMメッセージ、またはWeb URL内のリンクかもしれません。一部のフィッシング詐欺は、一意性のためのフィッシング電子メールの件名行の末尾にランダムな文字の数を追加することに注意してください。記者はFraudParameterフィールドに挿入する前に、これらの文字を削除する必要があります。

5.6. PhishNameRef Element
5.6. PhishNameRef要素

Zero or one value of iodef:MLStringType. The PhishNameRef element is the common name used to identify this fraud event. It is often the name agreed upon by involved parties or vendors. Using this name can be a convenient way to reference the activity when collaborating with other parties, the media, or engaging in public education.

IODEFのゼロまたは1値:MLStringType。 PhishNameRef要素は、この詐欺のイベントを識別するために使用される一般的な名前です。それは多くの場合、関係者やベンダーが合意された名前です。この名前を使用すると、他の関係者との連携時に活動を参照するための便利な方法、メディア、または公教育に従事することができます。

5.7. PhishNameLocalRef Element
5.7. PhishNameLocalRef要素

Zero or one value of iodef:MLStringType. The PhishNameLocalRef element describes a local name or Unique-IDentifier (UID) that is used by various parties before a commonly agreed-upon term is adopted. This field allows a cross-reference from the submitting organization's system to a central repository.

IODEFのゼロまたは1値:MLStringType。 PhishNameLocalRef要素は、一般的に合意された用語が採用される前に、様々な関係者によって使用されるローカル名やユニークな識別子(UID)を記述する。このフィールドは、中央リポジトリに提出組織のシステムから相互参照を可能にします。

5.8. FraudedBrandName Element
5.8. FraudedBrandName要素

Zero or more values of iodef:MLStringType. This is the identifier of the recognized brand name or company name used in the phishing activity (e.g., XYZ Semiconductor Corp).


5.9. LureSource Element
5.9. LureSource要素

REQUIRED. One or more values. The LureSource element describes the source of the PhraudReport lure. It allows the specification of IP addresses, DNS names, domain registry information, and rudimentary support for the files that might be downloaded or registry keys modified by the crimeware.

必須。 1つ以上の値。 LureSource要素はPhraudReportルアーのソースを記述します。これは、ダウンロードまたはレジストリキーがクライムウェアによって変更される可能性がありますファイルのためのIPアドレス、DNS名、ドメインレジストリ情報の仕様、および基本的なサポートを可能にします。

   | LureSource  |
   |             |<>--(1..*)--[ System ]
   |             |<>--(0..*)--[ DomainData ]
   |             |<>--(0..1)--[ IncludedMalware  ]
   |             |<>--(0..1)--[ FilesDownloaded  ]
   |             |<>--(0..1)--[ WindowsRegistryKeysModified  ]

Figure 5.2. The LureSource Element

図5.2。 LureSource要素

5.9.1. System Element
5.9.1. システム要素

REQUIRED. One or more values of the iodef:System ([RFC5070], Section 3.15). The system element describes a particular host involved in the phishing activity. If the real IP address can be ascertained, it should be populated. A spoofed address may also be entered, and the spoofed attribute SHALL be set.

必須。 IODEFの1つ以上の値:システム([RFC5070]、セクション3.15)。システム要素は、フィッシング活動に関与する特定のホストを記述します。実際のIPアドレスを確認することができるならば、それは移入する必要があります。偽装されたアドレスも入力することができる、と偽装された属性が設定されなければなりません。

Multiple System elements may be used to identify the DNS name and IP address(es) of the lure source.


5.9.2. DomainData Element
5.9.2. DomainData要素

Zero or more element values. The DomainData element describes the registration, delegation, and control of a domain used to source the lure and can identify the IP address associated with the System element URI. Capturing the domain data is very useful when investigating or correlating events.

ゼロ個以上の要素の値。 DomainData要素がルアーを調達するとシステム要素URIに関連付けられたIPアドレスを識別することができます使用するドメインの登録、委任、およびコントロールについて説明します。調査やイベントを相関するとき、ドメインデータをキャプチャすることは非常に便利です。

The structure of a DomainData element is as follows:


   | DomainData         |
   |                    |<>----------[ Name ]
   |                    |<>--(0..1)--[ DateDomainWasChecked ]
   | ENUM SystemStatus  |<>--(0..1)--[ RegistrationDate ]
   | ENUM DomainStatus  |<>--(0..1)--[ ExpirationDate ]
   |                    |<>--(0..*)--[ Nameservers ]
   |                    |<>--(0..1)--[ DomainContacts ]

Figure 5.3. The DomainData Element

図5.3。 DomainData要素 Name Element。名前の要素

REQUIRED. One value of iodef:MLStringType. The Name element contains the host DNS name used in this event. Its value should be the complete DNS host address; e.g., if an event targeted, the value would be

必須。 IODEFの一つの値:MLStringType。 Name要素は、このイベントに使用されるホストのDNS名が含まれています。その値は、完全なDNSホストアドレスでなければなりません。イベントがwww.example.comをターゲットにあれば、例えば、値がwww.example.comになります。 DateDomainWasChecked Element。 DateDomainWasChecked要素

Zero or one value of DATETIME. This element includes the timestamp of when this domain data was checked and entered into this report, as many phishers modify their domain data at various stages of a phishing event.

ゼロまたはDATETIMEの一つの値。この要素は、このドメインのデータがチェックされ、多くのフィッシャーは、フィッシングイベントの様々な段階で、そのドメインのデータを修正するように、この報告書に入力されたときのタイムスタンプを含みます。 RegistrationDate Element。 RegistrationDate要素

Zero or one value of DATETIME. The RegistrationDate element shows the date of registration for a domain.

ゼロまたはDATETIMEの一つの値。 RegistrationDate要素は、ドメインの登録の日付が表示されます。 ExpirationDate Element。 ExpirationDateと要素

Zero or one value of DATETIME. The ExpirationDate element shows the date the domain will expire.

ゼロまたはDATETIMEの一つの値。 ExpirationDateと要素は、ドメインの有効期限が切れる日付が表示されます。 Nameservers Element。ネームサーバー要素

Zero or more values. These fields hold nameservers identified for this domain. Each entry is a sequence of DNSNameType and iodef: Address pairs, as specified below.


   | Nameservers        |
   |                    |<>----------[ Server]
   |                    |<>--(1..*)--[ iodef:Address ]

Figure 5.4. The Nameservers Element


The use of one Server value and multiple Address values is used to note multiple IP addresses associated with one DNS entry for the domain nameserver.

1台のサーバーの値と複数のアドレス値の使用は、ドメインネームサーバのための1つのDNSエントリに関連付けられた複数のIPアドレスを注意するために使用されます。 Server Element。 Server要素

One value of iodef:MLStringType. This field contains the DNS name of the domain nameserver.

IODEFの一つの値:MLStringType。このフィールドは、ドメインネームサーバのDNS名が含まれています。 iodef:Address Element。 IODEF:address要素

One or more values of iodef:Address. This field lists the IP address(es) associated with this Server element.

IODEFの1つ以上の値:住所。このフィールドは、このServer要素に関連付けられたIPアドレスを示しています。 DomainContacts Element。 DomainContacts要素

REQUIRED. Choice of either a SameDomainContact or one or more Contact elements. The DomainContacts element allows the reporter to enter contact information supplied by the registrar or returned by whois queries. For efficiency of the reporting party, the domain contact information may be marked to be the same as another domain already reported using the SameDomainContact element.

必須。 SameDomainContactまたは1つ以上の接触要素のいずれかの選択。 DomainContacts要素は、記者がWHOISクエリによってレジストラが提供または返された連絡先情報を入力することができます。通報者の効率化のため、ドメインの連絡先情報は、既にSameDomainContact要素を使用して報告し、別のドメインと同じになるようにマークすることができます。

   | DomainContacts |
   |                |<>--(0..1)--[ SameDomainContact ]
   |                |<>--(1..*)--[ Contact ]

Figure 5.5. The DomainContacts Element

図5.5。 DomainContacts要素 SameDomainContact Element。 SameDomainContact要素

REQUIRED. One iodef:MLStringType. The SameDomainContact element is populated with a domain name if the contact information for this domain is identical to that name in this or another report. Implementors are cautioned to only use this element when the domain contact data returned by a registrar or registry is identical.

必須。ワンIODEF:MLStringType。このドメインの連絡先情報、レポートまたは別のものの名前と同じ場合SameDomainContact要素は、ドメイン名が取り込まれます。実装者は、レジストラまたはレジストリによって返されたドメインの連絡先データが同一で​​ある場合にのみ、この要素を使用することを警告しています。 Contact Element。コンタクトエレメント

REQUIRED. One or more iodef:Contact elements. This element reuses and extends the iodef:Contact elements for its components. Each component may have zero or more values. If only the role attribute and the ContactName component are populated, the same (identical) information is listed for multiple roles.


   | Contact            |
   |                    |<>----------[ iodef:ContactName ]
   |                    |<>--(0..*)--[ iodef:Description ]
   | ENUM role          |<>--(0..*)--[ iodef:RegistryHandle ]
   |                    |<>--(0..1)--[ iodef:PostalAddress ]
   | ENUM restriction   |<>--(0..*)--[ iodef:Email ]
   | STRING ext-role    |<>--(0..*)--[ iodef:Telephone ]
   | ENUM type          |<>--(0..1)--[ iodef:Fax ]
   | STRING ext-type    |<>--(0..1)--[ iodef:Timezone ]
   |                    |<->----------[ AdditionalData ]
   |                    |                  +<-> [ Confidence ]

Figure 5.6. The Contact Element


Each Contact has optional attributes to capture the sensitivity and role for which the contact is listed. Elements reused from [RFC5070] are not discussed in this document.

各連絡先は、連絡先がリストされているため、感度や役割をキャプチャするオプションの属性を持っています。 [RFC5070]から再利用要素は本書では説明しません。 Confidence Element。自信要素

REQUIRED. ENUM. The Confidence element describes a qualitative assessment of the veracity of the contact information. This attribute is an extension to the iodef:Contact element and is defined in this document. There are five possible Confidence values, as follows.

必須。 ENUM。信頼要素は、連絡先情報の信憑性の定性的評価を説明しています。連絡先の要素と、この文書で定義されています。この属性は、IODEFを拡張したものです。次のように5つの信頼値は、あります。

1. known-fraudulent. This contact information has been previously determined to be fraudulent, as either non-existent physical information or containing real information not associated with this domain registration.


2. looks-fraudulent. The contact information has suspicious information included.


3. known-real. The contact information has been previously investigated or determined to be correct.


4. looks-real. The contact information does not arouse suspicion but has not been previously validated.


5. unknown. The reporter cannot make a value judgment on the contact data.

5.不明。レポーターは、連絡先のデータに価値判断をすることはできません。 ext-role Attribute。 EXT-role属性

REQUIRED. ENUM. The ext-role attribute is extended from the iodef: ext-role attribute with values identified in RFC 3982 [RFC3982]. The ext-value value of the role attribute should be used, with the ext-role attribute value chosen from one of the following values:

必須。 ENUM。 EXT-role属性は、IODEFから延長されていますRFC 3982 [RFC3982]で特定された値とEXT-role属性。 role属性のEXT-値の値は、次の値のいずれかから選ばれたEXT-role属性値と、使用する必要があります。

1. billingContacts
1. billingContacts
2. technicalContacts
2. technicalContacts
3. administrativeContacts
4. legalContacts
4. legalContacts
5. zoneContacts
5. zoneContacts
6. abuseContacts
6. abuseContacts
7. securityContacts
7. securityContacts
8. otherContacts
8. otherContacts

9. hostingProvider. This contact is the hosting provider of this server. Although not in RFC 3982, it is useful in investigations to note where the server is located and who operates it. Load-balanced, multicast, or anycast servers may have multiple hostingProvider contact entries.

9. hostingProvider。この接触は、このサーバーのホスティングプロバイダです。ないRFC 3982でますが、サーバーが置かれている場所の調査は注意するに有用であり、誰がそれを運営しています。負荷分散され、マルチキャスト、またはエニーキャストのサーバーが複数のhostingProviderの連絡先のエントリを有することができます。

5.9.3. SystemStatus Attribute
5.9.3. システムステータス属性

REQUIRED. ENUM. The SystemStatus attribute assesses a system's involvement in this event. The value is chosen from this list:

必須。 ENUM。 SystemStatus属性は、このイベントでは、システムの関与を評価します。値は、このリストから選択されます。

1. spoofed. This domain or system did not participate in this event, but its address space or DNS name was simply used by another party.


2. fraudulent. The system is operated with fraudulent intentions, e.g., the domain name is a homophone.


3. innocent-hacked. The system was compromised by a third party and used in this event.


4. innocent-hijacked. The IP address or domain name was deliberately hijacked via BGP or DNS and used in this event to source the lure or host the collection site.

4.無実-ハイジャック。 IPアドレスまたはドメイン名は、故意にBGPまたはDNS経由でハイジャックやルアーをソースまたはコレクションのサイトをホストするためにこのイベントに使用されました。

5. unknown. No conclusions are inferred from this event.
5.9.4. DomainStatus Attribute
5.9.4. DomainStatus属性

ENUM. The DomainStatus attribute describes the registry status of a domain at the time of the report. The following enumerated list is taken from the "domainStatusType" of [RFC3982]. An extra "unknown" value was added in case the status is indeterminable.

ENUM。 DomainStatus属性は、レポートの時点でドメインのレジストリの状態を説明しています。以下の列挙されたリストは、[RFC3982]の「domainStatusType」から取られています。ステータスが確定できない場合には余分な「不明」値が追加されました。

1. reservedDelegation
1. reservedDelegation
2. assignedAndActive
2. assignedAndActive
3. assignedAndInactive
3. assignedAndInactive
4. assignedAndOnHold
4. assignedAndOnHold
5. revoked
6. transferPending
6. transferPending
7. registryLock
7. registryLock
8. registrarLock
8. registrarLock
9. other
10. unknown
5.9.5. IncludedMalware Element
5.9.5. IncludedMalware要素

Zero or one value. The IncludedMalware element allows for the identification and optional inclusion of the actual malware that was part of the lure. The goal of this element is not to detail the characteristics of the malware but rather to allow for a convenient element to link malware to a phishing campaign.

0または1の値です。 IncludedMalware要素は、識別とルアーの一部であった実際のマルウェアのオプションを含めることを可能にします。この要素の目的は、細部へのマルウェアの特性ではなく、フィッシングキャンペーンにマルウェアをリンクするのに便利な要素を可能にします。

   | IncludedMalware  |
   |                  |<>--(1..*)--[ Name ]
   |                  |<>--(0..1)--[ ds:Reference ]
   |                  |<>--(0..1)--[ Data ]
   | Data                  |
   | hexBinary XORPattern  |

Figure 5.7. The IncludedMalware Element

図5.7。 IncludedMalware要素 Name Element。名前の要素

REQUIRED. One or more values of iodef:MLStringType. This field is used to identify the lure malware by its known name. Unnamed malware may be identified by a value of "unknown".

必須。 IODEFの1つ以上の値:MLStringType。このフィールドは、その知られた名前でルアーのマルウェアを識別するために使用されます。名前マルウェアは、「不明」の値によって識別することができます。 Reference Element。リファレンスエレメント

Zero or one value of the Reference. This optional field is used to hold the algorithm identification and value of a hash computed over the malware executable. This entire element is imported from [RFC3275]. Implementations SHOULD support the use of SHA-1 [SHA] as a DigestMethod.

ゼロまたは基準の一つの値。このオプションフィールドは、マルウェアの実行にわたって計算されたハッシュアルゴリズムの識別と値を保持するために使用されます。この全体の要素は[RFC3275]からインポートされています。実装はDigestMethodとしてSHA-1 [SHA]の使用をサポートしなければなりません。 Data Element。データ要素

Zero or one value. The optional Data element is used to include the lure malware, which is encoded as a hexBinary type and XORed with a pattern to render it harmless.

0または1の値です。オプションのデータ要素は、のhexBinaryタイプとして符号化し、無害化するパターンとXORされたルアーマルウェアを含むために使用されます。 XORPattern Attribute。 XORPattern属性

One value of hexBinary. The Data element includes a 16-hexadecimal-character XORPattern attribute to support disabling the included malware to bypass anti-virus filters. The default value is 0x55AA55AA55AA55BB, which would be XORed with the malware datastring to recover the actual malware.


5.9.6. FilesDownloaded Element
5.9.6. FilesDownloaded要素

Zero or one value of a sequence of File elements.


   | FilesDownloaded     |
   |                     |<>--(1..*)--[ File ]

Figure 5.8. The FilesDownloaded Element

図5.8。 FilesDownloaded要素 File Element。ファイルの要素

One or more values of iodef:MLStringType. The File element value is the name of a file downloaded by this lure.


5.9.7. WindowsRegistryKeysModified Element
5.9.7. WindowsRegistryKeysModified要素

One or more values of the Key sequence. The contents of the WindowsRegistryKeysModified element are sequences of Key elements.

キー配列の1つのまたは複数の値。 WindowsRegistryKeysModified要素の内容は重要な要素の配列です。

   | WindowsRegistryKeysModified  |
   |                              |<>--(1..*)--[ Key ]
   | Key          |
   |              |<>-----[ Name ]
   |              |<>-----[ Value ]

Figure 5.9. The WindowsRegistryKeysModified Element

図5.9。 WindowsRegistryKeysModified要素 Key Element。重要な要素

One or more sequences. The Key element is a sequence of Name and Value pairs representing an operating system registry key and its value. The key and value are encoded as in Microsoft .reg files [KB310516].

一つ以上のシーケンス。主な要素は、オペレーティングシステムのレジストリキーとその値を表す名前と値のペアのシーケンスです。キーと値は、Microsoftの.regファイル[KB310516]のようにエンコードされます。 Name Element。名前の要素

One STRING, representing the Windows Operating System Registry Key Name. The value is encoded as in Microsoft .reg files, e.g., [HKEY_LOCAL_MACHINE\Software\Test\KeyName].

Windowsオペレーティングシステムのレジストリキー名を表す1つの文字列、。値は、Microsoftの.regファイル、例えば、[HKEY_LOCAL_MACHINE \ SOFTWARE \テスト\キー名]のように符号化されています。 Value Element。値エレメント

One STRING, representing the value of the associated Key encoded as in Microsoft .reg files, e.g., REG_BINARY:01.


5.10. OriginatingSensor Element
5.10. OriginatingSensor要素

REQUIRED. The OriginatingSensor element contains the identification and cognizant data of the network element that detected this fraud activity. Note that the network element does not have to be on the Internet itself (i.e., it may be a local Intrusion Detection System (IDS)), nor is it required to be mechanical (e.g., humans are allowed).

必須。 OriginatingSensor要素は、この不正アクティビティを検出されたネットワーク要素の識別及び認識したデータを含んでいます。 (例えば、ヒトが許可されている)(すなわち、それは局所侵入検知システム(IDS)であってもよい)、ネットワーク要素は、インターネット自体にある必要はないことに留意されたい、またそれは、機械的であることが要求されます。

Multiple OriginatingSensor elements are allowed to support detection at multiple locations.


   | OriginatingSensor          |
   | ENUM OriginatingSensorType |<>------------[ DateFirstSeen ]
   |                            |<>--(1..*)----[ iodef:System ]

Figure 5.10. The OriginatingSensor Element

図5.10。 OriginatingSensor要素

The OriginatingSensor requires a type value and identification of the entity that detected this fraudulent event.


5.10.1. OriginatingSensorType Attribute
5.10.1. OriginatingSensorType属性

REQUIRED. ENUM. The value is chosen from the following list, categorizing the function of this sensor:

必須。 ENUM。値は、このセンサの機能を分類、以下のリストから選択されます。

1. web. A web server or service detected this event.
1.ウェブ。 Webサーバやサービスは、このイベントを検出しました。

2. webgateway. A proxy, firewall, or other network gateway detected this event.

2. webgateway。プロキシ、ファイアウォール、または他のネットワークゲートウェイは、このイベントを検出しました。

3. mailgateway. The event was detected via a mail gateway or filter.

3. mailgateway。イベントは、メールゲートウェイまたはフィルタを介して検出しました。

4. browser. The event was detected at the user web interface or browser-type element.


5. ispsensor. The event was detected by an automated system in the network, such as Intrusion Detection System, Intrusion Protection System, or other Internet Service Provider device.

5. ispsensor。イベントは、侵入検知システム、侵入防止システム、または他のインターネットサービスプロバイダデバイスとして、ネットワーク内の自動化システムによって検出されました。

6. human. A non-automated system (e.g., a human, manual analysis, etc.) detected this event.


7. honeypot. The event was detected by receipt at a decoy device.
8. other. The detection was performed via a non-listed method.
5.10.2. DateFirstSeen Element
5.10.2. DateFirstSeen要素

REQUIRED. DATETIME. This is the date and time that this sensor first saw this phishing activity.


5.10.3. iodef:System Element
5.10.3. IODEF:システム要素

REQUIRED. One or more values of iodef:System. This is identification information (such as the IP version, IP address, etc.) of the entity that detected this event. The ability to identify multiple detectors is supported.

必須。 IODEFの1つ以上の値:システム。これは、このイベントを検出したエンティティ(例えば、IPバージョン、IPアドレス、等)の識別情報です。複数の検出器を識別する能力がサポートされています。

5.11. The DCSite Element
5.11. DCSite要素

Zero or more DCSite elements. The DCSite captures the type, identifier, location, and other pertinent information about the credential gathering process, or data collection site, used in the phishing incident. The data collection site is identified by four elements: the type of collector, the network location, information about its DNS domain, and a confidence factor. Further details about the domain, system, or owner of the DCSite can be inserted into the DomainData sub-element.

ゼロ以上DCSite要素。 DCSiteはフィッシング事件で使用されるタイプ、識別子、位置、および資格収集プロセスに関するその他の関連情報、またはデータ収集サイトを取り込みます。コレクタの種類、ネットワーク上の場所、そのDNSドメインに関する情報、および信頼係数:データ収集サイトは四つの要素によって識別されます。 DCSiteのドメイン、装置、または所有者に関するさらなる詳細はDomainDataサブエレメント内に挿入することができます。

If the DCSite element is present, a value is required. Multiple DCSite elements are allowed to indicate multiple collection sites for a single collector. Multiple URLs pointing to the same DNS entry can be identified with multiple SiteURL elements.


   | DCSite       |
   | ENUM DCType  |<>--+--------[ SiteURL ]
   |              |    +--------[ Domain ]
   |              |    +--------[ EmailSite ]
   |              |    +--------[ System ]
   |              |    +--------[ Unknown ]
   |              |<>--(0..*)---[ iodef:Node ]
   |              |<>--(0..1)---[ DomainData ]
   |              |<>--(0..1)---[ iodef:Assessment ]

Figure 5.11. The DCSite Element

図5.11。 DCSite要素

5.11.1. DCType Attribute
5.11.1. DCType属性

REQUIRED. ENUM. The DCType attribute identifies the method of data collection as determined through the analysis of the victim computer, lure, or malware. This attribute coupled with the DCSite content identifies the data collection site.

必須。 ENUM。被害者のコンピュータ、ルアー、またはマルウェアの分析を通じて決定されるDCType属性は、データ収集の方法を特定します。 DCSite内容と相まってこの属性は、データ収集サイトを識別します。

1. web. The user is redirected to a website to collect the data.
2. email. The victim sends an email with credentials enclosed.
3. keylogger. Some form of keylogger is downloaded to the victim.

4. automation. Other forms of automatic data collection, such as background Object Linking and Embedding (OLE) automation, are used to capture information on the user's machine.


5. unspecified.
5.11.2. DCSite Values
5.11.2. DCSite値

REQUIRED. The DCSite element contains the IP address, URL, email site, or other identifier of the credential or data collection site. The Domain choice may be used to identify entire "phishy" domains like those used for the RockPhish and related malware. Each DCSite element also includes a confidence attribute to convey the reporter's assessment of their confidence that this DCSite element is valid and involved with this event. The confidence value is a per-DCSite value, as multiple-site data collectors may have different confidence values.

必須。 DCSite要素は、IPアドレス、URL、Eメール・サイト、または資格情報またはデータ収集サイトの他の識別子が含まれています。ドメインの選択はRockPhishおよび関連マルウェアのために使用されるもののような全体の「フィッシングの」ドメインを同定するために使用することができます。各DCSite要素も、このDCSite要素が有効であり、このイベントに関与していると自信の記者の評価を伝えるために、信頼属性が含まれています。複数サイトのデータコレクタが異なる信頼値を有することができるよう信頼値は、あたりDCSite値です。

The DCSite element is a choice of:


1. SiteURL. One value of iodef:MLStringType. This choice supports URIs and other web-based identifiers.

1. SITEURL。 IODEFの一つの値:MLStringType。この選択は、URIと他のWebベースの識別子をサポートしています。

2. Domain. One value of iodef:MLStringType. This choice allows the entry of a DNS domain name.

2.ドメイン。 IODEFの一つの値:MLStringType。この選択は、DNSドメイン名の入力を可能にします。

3. EmailSite. One value of iodef:MLStringType. This choice includes an email address if the site used email communications.

3. EmailSite。 IODEFの一つの値:MLStringType。この選択は、サイトには、電子メール通信を使用した場合、電子メールアドレスが含まれています。

4. iodef:Address. One value of iodef:Address element. This choice is used to capture the IP address of a site.

4. IODEF:住所。 IODEFの一つの値:Address要素。この選択は、サイトのIPアドレスを捕捉するために使用されます。

5. Unknown. One value of iodef:MLStringType. The unknown entry is used for exceptions to the preceding choices.

5.不明。 IODEFの一つの値:MLStringType。未知のエントリは、前の選択肢には例外のために使用されています。 Confidence Attribute。信頼属性

One value of INTEGER. The confidence attribute is a value between 0 and 100, representing the reporter's certainty that this is a genuine phishing site. A value of 0 represents a false positive; a value of 100 signifies that the reporter has independently verified this site.

INTEGERの一つの値。信頼属性は、これが本物のフィッシングサイトであることを記者の確実性を表す、0〜100の値です。 0の値は、偽陽性を表します。 100の値は、記者が独立してこのサイトを確認したことを示しています。

5.11.3. iodef:Node Element
5.11.3. IODEF:ノード要素

Zero or more values of iodef:Node. This element is used to identify the IP address(es) or DNS names associated with the DCSite element value.


5.11.4. DomainData Element
5.11.4. DomainData要素

Zero or one value of DomainData (Section 5.9.2). This element allows for the identification of data associated with the data collection site.


5.11.5. iodef:Assessment Element
5.11.5. IODEF:評価要素

Zero or one value of iodef:Assessment. This element is used to designate different confidence levels of multiple-site data collectors.


5.12. TakeDownInfo Element
5.12. TakeDownInfo要素

Zero or more TakeDownInfo elements. This element identifies the agent or agency that performed the removal, DNS domain disablement, or ISP-blockage of the phish or fraud collector site. A PhraudReport may have multiple TakeDownInfo elements to support activities where multiple takedown activities are involved on different dates. Note that the term "agency" is used to identify any party performing the blocking or removal, such as ISPs or private parties, and not just government entities.

ゼロ以上TakeDownInfo要素。この要素は、フィッシングや詐欺コレクタ部位の除去、DNSドメインの無効化、またはISP-閉塞を行っエージェントまたは代理店を識別します。 PhraudReportは、複数のテイクダウン活動が異なる日付に関与している活動を支援するために、複数のTakeDownInfo要素を有することができます。用語「代理店」とは、ISPやプライベートパーティーだけではなく、政府機関などのブロッキングまたは除去を行って当事者を識別するために使用されることに注意してください。

The TakeDownInfo element allows one date element with multiple TakeDownAgency and Comment elements to support operations using multiple agencies.


   | TakeDownInfo      |
   |                   |<>---(0..1)--[ TakeDownDate ]
   |                   |<>---(0..*)--[ TakeDownAgency ]
   |                   |<>---(0..*)--[ TakeDownComments ]

Figure 5.12. The TakeDownInfo Element

図5.12。 TakeDownInfo要素

5.12.1. TakeDownDate
5.12.1. TakeDownDate

Zero or one value of DATETIME. This is the date and time that takedown of the collector site occurred.


5.12.2. TakeDownAgency
5.12.2. TakeDownAgency

Zero or more iodef:MLStringType elements. This is a free-form string identifying the agency, corporation, or cooperative that performed the takedown.


5.12.3. TakeDownComments
5.12.3. TakeDownComments

Zero or more iodef:MLStringType elements. A free-form field to add any additional details of this takedown effort or to identify parties that assisted in the effort at an Internet Service Provider (ISP), Computer Emergency Response Team (CERT), or DNS registry.


5.13. ArchivedData Element
5.13. ArchivedData要素

Zero or more values of the ArchivedData element are allowed.


   | ArchivedData      |
   | ENUM type         |<>---(0..1)--[ URL ]
   |                   |<>---(0..1)--[ Comments ]
   |                   |<>---(0..1)--[ Data ]

Figure 5.13. The ArchivedData Element

図5.13。 ArchivedData要素

The ArchivedData URL element is populated with a pointer to the contents of a data collection site, base camp (i.e., development site), or other site used by a phisher. The ArchivedData Data element may also include a copy of the archived data recovered from a phishing system. This element will be populated when, for example, an ISP takes down a phisher's website and has copied the site data into an archive file.

ArchivedData URL要素は、フィッシャーが使用するデータ収集サイト、ベースキャンプ(すなわち、開発サイト)、または他のサイトのコンテンツへのポインタが取り込まれます。 ArchivedDataデータ要素はまた、フィッシングシステムから回収されたアーカイブされたデータのコピーを含んでいてもよいです。例えば、ISPは、フィッシングのウェブサイトをダウン取り、アーカイブファイルにサイトのデータをコピーした際に、この要素が取り込まれます。

There are four types of archives currently supported, as specified in the type field.


5.13.1. type Attribute
5.13.1. type属性

REQUIRED. This parameter specifies the type of site data pointed to by the ArchivedData URL element, from the following list:

必須。このパラメータは、サイトデータの種類は、以下のリストから、ArchivedData URL要素によって指さ指定します。

1. collectionsite. The archive is a set of files from the collection site.

1. collectionsite。アーカイブは、収集サイトからのファイルのセットです。

2. basecamp. The contents of a criminal development site are included in the archive.


3. sendersite. The archive is a set of files or data from a phishing lure sending site.

3. sendersite。アーカイブは、フィッシングルアー送信サイトからファイルまたはデータのセットです。

4. credentialInfo. The included archives are recovered private credentials.

4. credentialInfo。付属のアーカイブは、民間の資格情報を回収します。

5. unspecified. The archive contents do not fit into one of the above categories and will be described in the DataComments element.


5.13.2. URL Element
5.13.2. URLの要素

Zero or one value of anyURL. As the archive of an entire site can be quite large, the URL element points to an Internet-based server where the actual content of the site archive can be retrieved. Note that this element just points out where the archive is and does not include the entire archive in the report. This is the URL where the archive file is located.


5.13.3. Comments Element
5.13.3. コメント要素

Zero or one value of iodef:MLStringType. This field is a free-form area for comments on the archive and/or URL.


5.13.4. Data Element
5.13.4. データ要素

Zero or one value of xs:Base64Binary. This field contains a base64- encoded version of the data described in the comment field above.


5.14. RelatedData Element
5.14. RelatedData要素

Zero or more values of anyURI. This element allows the listing of other websites or net sites that are related to this incident (e.g., victim site, etc.).


5.15. CorrelationData Element
5.15. CorrelationData要素

Zero or more values of iodef:MLStringType. Any information that correlates this incident to other incidents can be entered here.


5.16. PRComments Element
5.16. PRComments要素

Zero or one value of iodef:MLStringType. This field allows for any comments specific to this PhraudReport that do not fit in any other field.


5.17. EmailRecord Element
5.17. EmailRecord要素

This element supports the inclusion of the actual email message received as a phishing lure. Inclusion of the actual mail message is supported by two methods: either the message may be included as one large string, or the header and body components may be dissected and included as a series of strings.


   | EmailRecord        |
   |                    |<>--------------[ EmailCount ]
   |                    |<>--(0..1)------[ EmailMessage ]
   |                    |<>--(0..1)------[ EmailComments ]

Figure 5.14. The EmailRecord Element

図5.14。 EmailRecord要素

5.17.1. EmailCount Element
5.17.1. 要素EmailCount

REQUIRED. INTEGER. This field enumerates the number of email messages identified in this record as detected by the reporter.


5.17.2. EmailMessage Element
5.17.2. EmailMessageの要素

Zero or one value of iodef:MLStringType. The entire SMTP mail message -- rfc822 header followed by body, as specified in [RFC5322] -- should be inserted as one large text string. In some communities, this combination is known as the message contents and full headers.

IODEFのゼロまたは1値:MLStringType。全体のSMTPメールメッセージ - [RFC5322]で指定されるように本体続いRFC822ヘッダは、 - 一つの大きな文字列として挿入されるべきです。いくつかのコミュニティでは、この組み合わせは、メッセージの内容と完全なヘッダとして知られています。

5.17.3. EmailComments Element
5.17.3. 要素EmailComments

Zero or one value of iodef:MLStringType elements. This field contains comments or relevant data not placed elsewhere about the phishing email.


6. Mandatory IODEF and PhraudReport Elements

A report about fraud or phishing requires certain identifying information that is contained within the standard IODEF Incident data structure and the PhraudReport extensions. The following table identifies attributes required to be present in a compliant PhraudReport to report phishing or fraud. The required attributes are a combination of those required by the base IODEF element, as shown in Figure 6.1, and those required by this document, shown in Figure 6.2. Attributes identified as required SHALL be populated in conforming phishing activity reports.


A compliant IODEF PhraudReport SHALL contain the following elements and attributes:

対応IODEF PhraudReportは、以下の要素と属性が含まれていなければなりません。

   | Incident     |
   | ENUM Purpose |---[ IncidentID ]
   |              |---[ ReportTime ]
   |              |---[ Assessment ]
   |              |   ---> [ Impact ]
   |              |---[ Contact ]
   |              |   ---> [ @type ]
   |              |   ---> [ @role ]
   |              |   ---> [ * ]
   |              |---[ EventData ]
   |              |   ---> [ DetectTime ]
   |              |   ---> [ AdditionalData ]
   |              |        ---> [ PhraudReport ]

Figure 6.1. IODEF Required Classes for a PhraudReport

図6.1。 PhraudReportためIODEF必須クラス

   | PhraudReport   |
   | ENUM FraudType |---[ LureSource ]
   | STRING Version |   ---> [ iodef:System ]
   |                |---[ OriginatingSensor ]
   |                |   --> [ DateFirstSeen ]
   |                |   --> [ iodef:System ]
   |                |       --> [ iodef:Node ]
   |                |

Figure 6.2. PhraudReport Required Elements

図6.2。 PhraudReport必須要素

* Note that the iodef:Contact element is required, but none of its sub-elements are required. For proper XML correctness, one of the sub-elements is required; pick one.

* IODEFことに注意してください:連絡先の要素が必要とされるが、そのサブ要素のいずれも必要ありません。適切なXMLの正確ため、サブ要素のいずれかが必要です。一つを選ぶ。

6.1. Guidance on Usage
6.1. 使い方に関するガイダンス

It may be apparent that the mandatory attributes for a PhraudReport make for a quite sparse report. As incident forensics and data analysis require detailed information, the originator of a PhraudReport SHOULD include any tidbit of information gleaned from the attack analysis. Information that is considered sensitive can be marked as such using the restriction parameter of each data element.


The reporting party is encouraged to provide more than just the minimally required data elements about an event in a PhraudReport. The additional information may be volatile and not recoverable in the future, and may be useful in answering investigation questions or in performing correlation with other reported events.


7. Security Considerations

This document specifies a format for encoding a particular class of security incidents appropriate for exchange across organizations. As merely a data representation, it does not directly introduce security issues. However, it is guaranteed that parties exchanging instances of this specification will have certain concerns. For this reason, the underlying message format and transport protocol used MUST ensure the appropriate degree of confidentiality, integrity, and authenticity for the specific environment.


Organizations that exchange data using this document are URGED to develop operating procedures that document the following areas of concern.


7.1. Transport-Specific Concerns
7.1. 転送固有の懸念

The critical security concerns are that phishing activity reports may be falsified or the PhraudReport may become corrupt during transit. In areas where transmission security or secrecy is questionable, the application of a digital signature and/or message encryption on each report will counteract both of these concerns. We expect that each exchanging organization will determine the need, and mechanism, for transport protection.


7.2. Using the iodef:restriction Attribute
7.2. IODEFの使用:制限属性を

In some instances, data values in particular elements may contain data deemed sensitive by the reporter. Although there are no general-purpose rules on when to mark certain values as "private" or "need-to-know" via the iodef:restriction attribute, the reporter is cautioned not to apply element-level sensitivity markings unless they believe the receiving party (i.e., the party they are exchanging the event report data with) has a mechanism to adequately safeguard and process the data as marked. For example, if the PhraudReport element is marked private and contains a phishing collector URL in the DCSite/SiteURL element, can that URL be included within a block list distributed to other parties? No guidance is provided here except to urge exchanging parties to review the IODEF and PhraudReport documents to decide on common marking rules.

いくつかの例では、特定の要素のデータ値は、レポーターにより敏感とみなさデータを含んでいてもよいです。 IODEFを経由して「プライベート」や「知る必要性」などの特定の値をマークするときには、汎用ルールありませんが:制限属性は、彼らが受信を信じていない限り、レポーターは、要素レベルの感度のマーキングを適用しないことに警告しました当事者は(つまり、彼らはイベントレポートデータを交換している党)がマークされてデータを適切に保護し、処理するための機構を有しています。例えば、PhraudReport要素がプライベートマークされ、DCSite / SITEURL要素におけるフィッシングコレクタURLが含まれている場合、そのURLは、他の関係者に配布ブロックリスト内に含まれることができますか?何ガイダンスは、共通のマーキングルールを決定するためにIODEFとPhraudReportドキュメントを確認するために交換関係者に促す除いて、ここで提供されていません。

8. IANA Considerations
8. IANAの考慮事項

This document uses URNs to describe XML namespaces and XML schemas conforming to a registry mechanism described in [RFC3688].


Registration request for the IODEF phishing namespace:


URI: urn:ietf:params:xml:ns:iodef-phish-1.0

URI:URN:IETF:のparams:XML:NS:IODEF - フィッシング - 1.0

Registrant Contact: See the "Authors' Addresses" section of this document.


XML: None.


Registration request for the IODEF phishing extension XML schema:


URI: urn:ietf:params:xml:schema:iodef-phish-1.0

URI:URN:IETF:のparams:XML:スキーマ:IODEF - フィッシング - 1.0

Registrant Contact: See the "Authors' Addresses" section of this document.


XML: See Appendix A, "Phishing Extensions XML Schema", of this document.


9. Contributors

The extensions are an outgrowth of the Anti-Phishing Working Group (APWG) activities in data collection and sharing of phishing and other e-crimeware. (The APWG has no relationship to an IETF working group.)

拡張子は、フィッシングやその他の電子クライムウェアのデータ収集・共有におけるフィッシング対策ワーキンググループ(APWG)の活動の副産物です。 (APWGは、IETFワーキンググループに関係がありません。)

This document has received significant assistance from members of the IETF INCH working group and two groups addressing the phishing problem: members of the APWG and participants in the Financial Services Technology Consortium's Counter-Phishing project. A special thanks goes to the hardy people who supplied valuable feedback after using this format to report phishing.

APWGのメンバーと金融サービス・テクノロジーコンソーシアムのカウンターフィッシングプロジェクトの参加者:この文書は、IETF INCHワーキンググループのメンバーとフィッシングの問題に対処する二つのグループからの重要な支援を受けています。特別な感謝は、フィッシングを報告するには、このフォーマットを使用した後に貴重なフィードバックを与え丈夫な人に行きます。

10. References
10.1. Normative References
10.1. 引用規格

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。

[RFC3275] Eastlake, D., Reagle, J., and D. Solo, "(Extensible Markup Language) XML-Signature Syntax and Processing", RFC 3275, March 2002.

[RFC3275]イーストレーク、D.、Reagle、J.、およびD.ソロ "(拡張マークアップ言語)、XML署名の構文および処理"、RFC 3275、2002年3月。

[RFC3982] Newton, A. and M. Sanz, "IRIS: A Domain Registry (dreg) Type for the Internet Registry Information Service (IRIS)", RFC 3982, January 2005.

[RFC3982]ニュートン、A.とM.サンス、 "IRIS:ドメインレジストリ(DREG)インターネットレジストリ情報サービス(IRIS)のために入力し、"、RFC 3982、2005年1月。

[RFC5070] Danyliw, R., Meijer, J., and Y. Demchenko, "The Incident Object Description Exchange Format", RFC 5070, December 2007.

[RFC5070] Danyliw、R.、マイヤー、J.、およびY. Demchenko、 "インシデントオブジェクト説明交換フォーマット"、RFC 5070、2007年12月。

[SHA] National Institute of Standards and Technology, U.S. Department of Commerce, "Secure Hash Standard", FIPS 180-2, August 2002.


10.2. Informative References
10.2. 参考文献

[KB310516] Microsoft Corporation, "How to add, modify, or delete registry subkeys and values by using a registration entries (.reg) file", December 2007.


[RFC3688] Mealling, M., "The IETF XML Registry", RFC 3688, January 2004.

[RFC3688] Mealling、M.、 "IETF XMLレジストリ"、RFC 3688、2004年1月。

[RFC5322] Resnick, P., "Internet Message Format", RFC 5322, October 2008.

[RFC5322]レズニック、P.、 "インターネットメッセージ形式"、RFC 5322、2008年10月。

Appendix A. Phishing Extensions XML Schema


<?xml version="1.0" encoding="UTF-8"?> <xs:schema attributeFormDefault="unqualified" elementFormDefault="qualified" targetNamespace="urn:ietf:params:xml:ns:iodef-phish-1.0" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xs="" xmlns:phish="urn:ietf:params:xml:ns:iodef-phish-1.0" xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0" xmlns:ds=""> <xs:import namespace="" schemaLocation= " /xmldsig-core-schema.xsd"/>

<?xml version = "1.0" エンコード= "UTF-8"?> <XS:スキーマのattributeFormDefault = "非修飾" のelementFormDefault = "資格" のtargetNamespace = "壷:IETF:のparams:XML:NS:IODEF - フィッシング-1.0" xmlns = "壷:IETF:のparams:XML:NS:IODEF-1.0" のxmlns:XS = "" のxmlns:フィッシング= "壷:IETF:のparams:XML:NS :IODEF-フィッシング-1.0" のxmlns:IODEF = "URN:IETF:paramsは:XML:NS:IODEF-1.0" のxmlns:DS = ""> < XS:インポート名前空間= "" のschemaLocation =「 / xmldsig-コアschema.xsd "/>

  ===  Top-Level Class:  PhraudReport                    ===

It is incorporated within an IODEF.Incident.EventData.AdditionalData element.


All the top-level or major elements are defined as xs:types to make future extension easier.




<xs:element name="PhraudReport"> <xs:complexType> <xs:sequence> <xs:element minOccurs="0" name="PhishNameRef" type="iodef:MLStringType"/> <xs:element minOccurs="0" name="PhishNameLocalRef" type="iodef:MLStringType"/> <xs:element minOccurs="0" name="FraudParameter" type="iodef:MLStringType"/> <xs:element maxOccurs="unbounded" minOccurs="0" name="FraudedBrandName" type="iodef:MLStringType"/> <xs:element maxOccurs="unbounded" minOccurs="1" name="LureSource" type="phish:LureSource.type"/> <xs:element maxOccurs="unbounded" minOccurs="1" name="OriginatingSensor" type="phish:OriginatingSensor.type"/> <xs:element maxOccurs="1" minOccurs="0" name="EmailRecord" type="phish:EmailRecord.type"/>

<XS:要素名= "PhraudReport"> <XS:complexTypeの> <XS:配列> <XS:要素のminOccurs = "0" NAME = "PhishNameRef" タイプ= "IODEF:MLStringType" /> <XS:要素のminOccurs =」 0" NAME = "PhishNameLocalRef" タイプ= "IODEF:MLStringType" /> <XS:要素のminOccurs = "0" NAME = "FraudParameter" タイプ= "IODEF:MLStringType" /> <XS:要素のmaxOccurs = "無限" のminOccurs = "0" NAME = "FraudedBrandName" タイプ= "IODEF:MLStringType" /> <XS:要素のmaxOccurs = "無限" のminOccurs = "1" NAME = "LureSource" タイプ= "フィッシング:LureSource.type" /> <XS:要素のmaxOccurs = "無限" のminOccurs = "1" NAME = "OriginatingSensor" タイプ= "フィッシング:OriginatingSensor.type" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "EmailRecord" タイプ= "フィッシング:EmailRecord.type "/>

        <xs:element maxOccurs="unbounded" minOccurs="0"
                    name="DCSite"  type="phish:DCSite.type"/>
        <xs:element maxOccurs="unbounded" minOccurs="0"
        <xs:element maxOccurs="unbounded" minOccurs="0"
        <xs:element maxOccurs="unbounded" minOccurs="0"
                    name="RelatedData" type="xs:anyURI"/>
        <xs:element maxOccurs="unbounded" minOccurs="0"
                    name="CorrelationData" type="iodef:MLStringType"/>
        <xs:element maxOccurs="1" minOccurs="0" name="PRComments"

<xs:attribute default="1.0" name="Version" use="optional"/>

<XS:属性デフォルト= "1.0" 名前= "バージョン" 使用= "オプション" />

<xs:attribute name="FraudType" type="phish:FraudType.type" use="required"/>

<XS:属性名= "FraudType" タイプ= "フィッシング:FraudType.type" 使用は= "必要" />

<xs:attribute name="ext-value" type="xs:string" use="optional"/> </xs:complexType> </xs:element>

<XS:属性名= "EXT-値" タイプ= "XS:文字列" 使用= "オプション" /> </ XS:complexTypeの> </ XS:要素>

<xs:simpleType name="FraudType.type"> <xs:restriction base="xs:string"> <xs:enumeration value="phishing"/> <xs:enumeration value="recruiting"/> <xs:enumeration value="malware distribution"/> <xs:enumeration value="fraudulent site"/> <xs:enumeration value="dnsspoof"/> <xs:enumeration value="archive"/> <xs:enumeration value="other"/> <xs:enumeration value="unknown"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType>

<XS:単純型名= "FraudType.type"> <XS:制限ベース= "XS:文字列"> <XS:列挙値= "フィッシング" /> <XS:列挙値= "募集" /> <XS:列挙値= "マルウェア配布" /> <XS:列挙値= "詐欺サイト" /> <XS:列挙値= "dnsspoof" /> <XS:列挙値= "アーカイブ" /> <XS:列挙値= "他"/> <XS:列挙値=" 不明 "/> <XS:列挙値=" EXT-値 "/> </ XS:制限> </ XS:simpleTypeの>

===           End of the Top-Level Element             ===
  ===           The LureSource Element                   ===

<xs:complexType mixed="false" name="LureSource.type"> <xs:sequence> <xs:element maxOccurs="unbounded" minOccurs="1" ref="iodef:System"/>

<XS:complexTypeの混合= "false" の名= "LureSource.type"> <XS:配列> <XS:要素のmaxOccurs = "無限" のminOccurs = "1" REF = "IODEF:システム" />

      <xs:element minOccurs="0" maxOccurs="unbounded"

<xs:element minOccurs="0" name="IncludedMalware" type="phish:IncludedMalware.type"/>

<XS:要素のminOccurs = "0" NAME = "IncludedMalware" タイプ= "フィッシング:IncludedMalware.type" />

<xs:element minOccurs="0" name="FilesDownloaded"> <xs:complexType> <xs:sequence> <xs:element minOccurs="1" name="File" type="iodef:MLStringType"/> </xs:sequence> </xs:complexType> </xs:element>

<XS:要素のminOccurs = "0" NAME = "FilesDownloaded"> <XS:complexTypeの> <XS:配列> <XS:要素のminOccurs = "1" NAME = "ファイル" タイプ= "IODEF:MLStringType" /> </ XS:シーケンス> </ XS:complexTypeの> </ XS:要素>

<xs:element minOccurs="0" name="WindowsRegistryKeysModified"> <xs:complexType> <xs:sequence> <xs:element maxOccurs="unbounded" name="Key"> <xs:complexType> <xs:sequence> <xs:element name="Name" type="xs:string"/> <xs:element name="Value" type="xs:string"/> </xs:sequence> </xs:complexType> </xs:element> </xs:sequence> </xs:complexType> </xs:element> </xs:sequence> </xs:complexType>

<XS:要素のminOccurs = "0" 名前= "WindowsRegistryKeysModified"> <XS:complexTypeの> <XS:シーケンス> <XS:要素のmaxOccurs = "無制限" 名前= "キー"> <XS:complexTypeの> <XS:シーケンス> <XS:要素名= "名前" タイプ= "XS:文字列" /> <XS:要素名= "値" タイプ= "XS:文字列" /> </ XS:シーケンス> </ XS:complexTypeの> </ XS:要素> </ XS:配列> </ XS:complexTypeの> </ XS:要素> </ XS:配列> </ XS:complexTypeの>

<!-- === LureSource sub-elements === -->

<! - === LureSourceサブ要素=== - >

<xs:complexType name="IncludedMalware.type"> <xs:sequence> <xs:element name="Name" maxOccurs="unbounded" type="iodef:MLStringType"/> <xs:element minOccurs="0" ref="ds:Reference"/> <xs:element minOccurs="0" name="Data"> <xs:complexType > <xs:simpleContent> <xs:extension base="xs:hexBinary"> <xs:attribute default="55AA55AA55AA55BB" name="XORPattern" type="xs:hexBinary"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> </xs:sequence> </xs:complexType>

<XS:complexTypeの名前= "IncludedMalware.type"> <XS:配列> <XS:要素名= "名前" のmaxOccurs = "unbounded" をタイプ= "IODEF:MLStringType" /> <XS:要素のminOccurs = "0" REF = "DS:リファレンス" /> <XS:要素のminOccurs = "0" 名前= "データ"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "XS:hexBinaryで"> <XS:属性デフォルト= "55AA55AA55AA55BB" NAME = "XORPattern" タイプ= "XS:のhexBinary" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素> </ XS:配列> </ XS:complexTypeの>

 ===  The EmailRecord Element                            ===

<xs:complexType name="EmailRecord.type"> <xs:sequence> <xs:element name="EmailCount" type="xs:integer"/> <xs:element maxOccurs="1" minOccurs="0" name="EmailMessage" type="iodef:MLStringType"/> <xs:element maxOccurs="1" minOccurs="0" name="EmailComments" type="iodef:MLStringType"/> </xs:sequence> </xs:complexType>

<XS:complexTypeの名= "EmailRecord.type"> <XS:配列> <XS:要素名= "EmailCount" タイプ= "XS:整数" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" 名前= "EmailMessageの" タイプ= "IODEF:MLStringType" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "EmailComments" タイプ= "IODEF:MLStringType" /> </ XS:配列> </ XS :complexTypeの>

 ===  The Data Collection Site (DCSite) Info Element     ===

<xs:complexType name="DCSite.type"> <xs:sequence> <xs:choice> <xs:element name="SiteURL">

<XS:complexTypeの名= "DCSite.type"> <XS:シーケンス> <XS:選択> <XS:要素名= "SITEURL">

              <xs:extension base="iodef:MLStringType">
                <xs:attribute ref="phish:confidence"/>

<xs:element name="Domain"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute ref="phish:confidence"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element>

<XS:要素名= "ドメイン"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "IODEF:MLStringType"> <XS:属性REF = "フィッシング:自信" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素>

<xs:element name="EmailSite"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute ref="phish:confidence"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element>

<XS:要素名= "EmailSite"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "IODEF:MLStringType"> <XS:属性REF = "フィッシング:自信" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素>

<xs:element name="System"> <xs:complexType id="SystemType"> <xs:sequence> <xs:element ref="iodef:Address"/> </xs:sequence> <xs:attribute ref="phish:confidence"/> </xs:complexType> </xs:element>

<XS:要素名= "システム"> <XS:complexTypeのIDを= "SYSTEMTYPE"> <XS:シーケンス> <XS:要素REF = "IODEF:アドレス" /> </ XS:シーケンス> <XS:属性REF = "フィッシング:自信" /> </ XS:complexTypeの> </ XS:要素>

<xs:element name="Unknown"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute ref="phish:confidence"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> </xs:choice>

<XS:要素名= "不明"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "IODEF:MLStringType"> <XS:属性REF = "フィッシング:自信" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素> </ XS:選択>

<xs:element ref="iodef:Node" minOccurs="0" maxOccurs="unbounded"/> <xs:element minOccurs="0" ref="phish:DomainData"/> <xs:element minOccurs="0" ref="iodef:Assessment"/> </xs:sequence>

<XS:要素REF = "IODEF:ノード" のminOccurs = "0" のmaxOccurs = "無制限" /> <XS:要素のminOccurs = "0" REF = "フィッシング:DomainData" /> <XS:要素のminOccurs = "0" REF = "IODEF:アセスメント" /> </ XS:シーケンス>

<xs:attribute name="DCType" use="required"> <xs:simpleType> <xs:restriction base="xs:string"> <xs:enumeration value="web"/> <xs:enumeration value="email"/> <xs:enumeration value="keylogger"/> <xs:enumeration value="automation"/> <xs:enumeration value="unspecified"/> </xs:restriction> </xs:simpleType> </xs:attribute> </xs:complexType>

<XS:属性名= "DCType" の使用は= "必要"> <XS:単純> <XS:制限ベース= "XS:文字列"> <XS:列挙値= "ウェブ" /> <XS:列挙値=」メール "/> <XS:列挙値=" キーロガー "/> <XS:列挙値=" 自動化 "/> <XS:列挙値=" 未指定 "/> </ XS:制限> </ XS:単純> < / XS:属性> </ XS:complexTypeの>

==== The Domain Data Element used in System =====

<xs:element name="DomainData"> <xs:complexType id="DomainData.type"> <xs:sequence> <xs:element maxOccurs="1" name="Name" type="iodef:MLStringType"/> <xs:element maxOccurs="1" minOccurs="0" name="DateDomainWasChecked" type="xs:dateTime"/> <xs:element maxOccurs="1" minOccurs="0" name="RegistrationDate" type="xs:dateTime"/> <xs:element maxOccurs="1" minOccurs="0" name="ExpirationDate" type="xs:dateTime"/> <xs:element maxOccurs="unbounded" minOccurs="0" name="Nameservers"> <xs:complexType id="Nameservers.type"> <xs:sequence> <xs:element name="Server" type="iodef:MLStringType"/> <xs:element ref="iodef:Address" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType> </xs:element> <xs:choice id="DomainContacts" maxOccurs="1" minOccurs="0"> <xs:element name="SameDomainContact" type="iodef:MLStringType"/>

<XS:要素名= "DomainData"> <XS:complexTypeのID = "DomainData.type"> <XS:配列> <XS:要素のmaxOccurs = "1" NAME = "名前" タイプ= "IODEF:MLStringType" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "DateDomainWasChecked" タイプ= "XS:dateTimeの" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "RegistrationDate" タイプ=」 XS:dateTimeの "/> <XS:要素のmaxOccurs =" 1" のminOccurs = "0" NAME = "ExpirationDateと" タイプ= "XS:dateTimeの" /> <XS:要素のmaxOccurs = "無限" のminOccurs = "0" 名前= "ネームサーバ"> <XS:complexTypeのIDを= "Nameservers.type"> <XS:シーケンス> <XS:要素名= "サーバー" タイプ= "IODEF:MLStringType" /> <XS:要素REF = "IODEF:アドレス" maxOccurs = "無制限" /> </ XS:シーケンス> </ XS:complexTypeの> </ XS:要素> <XS:選択肢のid = "DomainContacts" のmaxOccurs = "1" のminOccurs = "0"> <XS:要素名= "SameDomainContact" タイプ= "IODEF:MLStringType" />

            <xs:element maxOccurs="unbounded" minOccurs="1"
      <xs:attribute name="SystemStatus">
        <xs:simpleType id="SystemStatus.type">
          <xs:restriction base="xs:string">
            <xs:enumeration value="spoofed"/>
            <xs:enumeration value="fraudulent"/>
            <xs:enumeration value="innocent-hacked"/>
            <xs:enumeration value="innocent-hijacked"/>
            <xs:enumeration value="unknown"/>

<xs:attribute name="DomainStatus"> <xs:simpleType id="DomainStatus.type"> <xs:restriction base="xs:string"> <xs:enumeration value="reservedDelegation"/> <xs:enumeration value="assignedAndActive"/> <xs:enumeration value="assignedAndInactive"/> <xs:enumeration value="assignedAndOnHold"/> <xs:enumeration value="revoked"/> <xs:enumeration value="transferPending"/> <xs:enumeration value="registryLock"/> <xs:enumeration value="registrarLock"/> <xs:enumeration value="other"/> <xs:enumeration value="unknown"/> </xs:restriction> </xs:simpleType> </xs:attribute> </xs:complexType> </xs:element>

<XS:属性名= "DomainStatus"> <XS:単純型ID = "DomainStatus.type"> <XS:制限ベース= "XS:文字列"> <XS:列挙値= "reservedDelegation" /> <XS:列挙値= "assignedAndActive" /> <XS:列挙値= "assignedAndInactive" /> <XS:列挙値= "assignedAndOnHold" /> <XS:列挙値= "失効" /> <XS:列挙値= "transferPending" /> <XS:列挙値= "registryLock" /> <XS:列挙値= "registrarLock" /> <XS:列挙値= "他の" /> <XS:列挙値= "不明" /> </ XS:制限> </ XS:単純> </ XS:属性> </ XS:complexTypeの> </ XS:要素>

<xs:element name="Confidence"> <xs:simpleType> <xs:restriction base="xs:nonNegativeInteger"> <xs:minInclusive value="0"/> <xs:maxInclusive value="100"/> </xs:restriction> </xs:simpleType> </xs:element>

<XS:要素名= "信頼"> <XS:単純> <XS:制限ベース= "XS:NonNegativeIntegerの"> <XS:のminInclusive値= "0" /> <XS:maxInclusiveを値= "100" /> < / XS:制限> </ XS:単純> </ XS:要素>

<xs:attribute name="confidence"> <xs:simpleType> <xs:restriction base="xs:nonNegativeInteger"> <xs:minInclusive value="0"/> <xs:maxInclusive value="100"/> </xs:restriction> </xs:simpleType> </xs:attribute>

<XS:属性名= "信頼"> <XS:単純> <XS:制限ベース= "XS:NonNegativeIntegerの"> <XS:のminInclusive値= "0" /> <XS:maxInclusiveを値= "100" /> < / XS:制限> </ XS:単純> </ XS:属性>

= ext-role Values for use within the DomainContact Contacts Element =

<xs:simpleType name="ext-role"> <xs:restriction base="xs:string"> <xs:enumeration value="billingContacts"/> <xs:enumeration value="technicalContacts"/> <xs:enumeration value="administrativeContacts"/> <xs:enumeration value="legalContacts"/> <xs:enumeration value="zoneContacts"/> <xs:enumeration value="abuseContacts"/> <xs:enumeration value="securityContacts"/> <xs:enumeration value="otherContacts"/> <xs:enumeration value="hostingProvider"/> </xs:restriction> </xs:simpleType>

<XS:単純型名= "EXT-役割"> <XS:制限ベース= "XS:文字列"> <XS:列挙値= "billingContacts" /> <XS:列挙値= "technicalContacts" /> <XS:列挙値= "administrativeContacts" /> <XS:列挙値= "legalContacts" /> <XS:列挙値= "zoneContacts" /> <XS:列挙値= "abuseContacts" /> <XS:列挙値= "securityContacts" / > <XS:列挙値= "otherContacts" /> <XS:列挙値= "hostingProvider" /> </ XS:制限> </ XS:simpleTypeの>

===  The OriginatingSensor Data Element       ===

<xs:complexType name="OriginatingSensor.type"> <xs:sequence> <xs:element name="DateFirstSeen" type="xs:dateTime"/> <xs:element maxOccurs="unbounded" minOccurs="1" ref="iodef:System"/> </xs:sequence>

<XS:complexTypeの名前= "OriginatingSensor.type"> <XS:配列> <XS:要素名= "DateFirstSeen" タイプ= "XS:dateTimeの" /> <XS:要素のmaxOccurs = "無限" のminOccurs = "1" REF = "IODEF:システム" /> </ XS:シーケンス>

<xs:attribute name="OriginatingSensorType" use="required"> <xs:simpleType id="OriginatingSensorType.type"> <xs:restriction base="xs:NMTOKENS"> <xs:enumeration value="web"/> <xs:enumeration value="webgateway"/> <xs:enumeration value="mailgateway"/>

<XS:属性名= "OriginatingSensorType" 使用= "必要"> <XS:simpleTypeのIDは= "OriginatingSensorType.type"> <XS:制限ベース= "XS:NMTOKENS"> <XS:列挙値= "ウェブ" /> <XS:列挙値= "webgateway" /> <XS:列挙値= "mailgateway" />

<xs:enumeration value="browser"/> <xs:enumeration value="ispsensor"/> <xs:enumeration value="human"/> <xs:enumeration value="honeypot"/> <xs:enumeration value="other"/> </xs:restriction> </xs:simpleType> </xs:attribute> </xs:complexType>

<XS:列挙値= "ブラウザ" /> <XS:列挙値= "ispsensor" /> <XS:列挙値= "ヒト" /> <XS:列挙値= "ハニーポット" /> <XS:列挙値= /> </ XS "その他":制限> </ XS:単純> </ XS:属性> </ XS:complexTypeの>

===            The TakeDown Data Structure         ===

<xs:element name="TakeDownInfo" type="phish:TakeDownInfo.type"/>

<XS:要素名= "TakeDownInfo" タイプ= "フィッシング:TakeDownInfo.type" />

<xs:complexType name="TakeDownInfo.type"> <xs:sequence> <xs:element maxOccurs="1" minOccurs="0" name="TakeDownDate" type="xs:dateTime"/>

<XS:complexTypeの名= "TakeDownInfo.type"> <XS:配列> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "TakeDownDate" タイプ= "XS:dateTimeの" />

      <xs:element maxOccurs="unbounded" minOccurs="0"
              name="TakeDownAgency"  type="iodef:MLStringType"/>

<xs:element maxOccurs="unbounded" minOccurs="0" name="TakeDownComments" type="iodef:MLStringType"/> </xs:sequence> </xs:complexType>

<XS:要素のmaxOccurs = "無限" のminOccurs = "0" NAME = "TakeDownComments" タイプ= "IODEF:MLStringType" /> </ XS:配列> </ XS:complexTypeの>

===         The ArchivedData Element                  ===
  <xs:element name="ArchivedData" type="phish:ArchivedData.type"/>

<xs:complexType name="ArchivedData.type"> <xs:sequence> <xs:element minOccurs="0" name="URL" type="xs:anyURI"/> <xs:element minOccurs="0" name="Comments" type="iodef:MLStringType"/> <xs:element maxOccurs="1" minOccurs="0" name="Data" type="xs:base64Binary"/> </xs:sequence>

<XS:complexTypeの名= "ArchivedData.type"> <XS:シーケンス> <XS:要素のminOccurs = "0" 名前= "URL" タイプ= "XS:anyURIの" /> <XS:要素のminOccurs = "0" の名前= "コメント" タイプ= "IODEF:MLStringType" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "データ" タイプ= "XS:base64Binaryの" /> </ XS:配列>

<xs:attribute name="type" use="required"> <xs:simpleType id="ArchivedDataType.type"> <xs:restriction base="xs:NMTOKENS"> <xs:enumeration value="collectionsite"/> <xs:enumeration value="basecamp"/> <xs:enumeration value="sendersite"/> <xs:enumeration value="credentialInfo"/> <xs:enumeration value="unspecified"/> </xs:restriction> </xs:simpleType> </xs:attribute> </xs:complexType>

<XS:属性名= "タイプ" 使用= "必要"> <XS:simpleTypeのIDは= "ArchivedDataType.type"> <XS:制限ベース= "XS:NMTOKENS"> <XS:列挙値= "collectionsite" /> <XS:列挙値= "ベースキャンプ" /> <XS:列挙値= "sendersite" /> <XS:列挙値= "credentialInfo" /> <XS:列挙値= "未指定" /> </ XS:制限> </ XS:単純> </ XS:属性> </ XS:complexTypeの>


</ XS:スキーマ>

Appendix B. Example Virus Report


This section shows a received electronic mail message that included a virus in a zipped attachment and a report that was generated for that message.


B.1. Received Email


From: Sent: Friday, June 10, 2005 3:52 PM To: Subject: Account update


To: Date: Sun, 10 June 2005 3:52:44 +0200


We would like to inform you that we have released a new version of our Customer Form. This form is required to be completed by all customers.


Please follow these steps:


1.Open the form at < &amp;email=(> . 2.Follow given instructions.

1.Openでフォーム<; Eメール=( )>。 2.Follow指示。

Thank you, Our Support Team


B.2. Generated Report


NOTE: Some wrapping and folding liberties have been applied to fit it into the margins.


<?xml version="1.0" encoding="UTF-8"?> <IODEF-Document lang="en-US" xmlns:phish="urn:ietf:params:xml:ns:iodef-phish-1.0" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0"> <Incident purpose="reporting" ext-purpose="create"> <IncidentID name="">PAT2005-06</IncidentID> <ReportTime>2005-06-22T08:30:00-05:00</ReportTime> <Description>This is a test report from actual data. </Description> <Assessment> <Impact type="social-engineering"/> <Confidence rating="high"/> </Assessment> <Contact role="creator" type="person"> <ContactName>patcain</ContactName> <Email></Email> </Contact> <EventData> <DetectTime>2005-06-21T18:22:02-05:00</DetectTime> <AdditionalData dtype="xml"> <phish:PhraudReport FraudType="phishing"> <phish:FraudParameter> Subject: Account Update </phish:FraudParameter> <phish:FraudedBrandName>Cooper-Cain </phish:FraudedBrandName> <phish:LureSource> <System category="source"> <Node> <Address></Address> </Node> </System> <phish:IncludedMalware> <phish:Name>W32.Mytob.EA@mm</phish:Name> </phish:IncludedMalware> </phish:LureSource> <phish:OriginatingSensor OriginatingSensorType="human"> <phish:DateFirstSeen>2005-06-10T15:52:11-05:00 </phish:DateFirstSeen> <System> <Node> <Address></Address>

<?xmlのバージョン= "1.0" エンコード= "UTF-8"> <IODEF-ドキュメントのlang = "EN-US" のxmlns:フィッシング= "壷:IETF:のparams:XML:NS:IODEF - フィッシング-1.0" のxmlns = "壷:IETF:のparams:XML:NS:IODEF-1.0" のxmlns:IODEF = "壷:IETF:のparams:XML:NS:IODEF-1.0"> <インシデントの目的= "報告" EXT-目的= "作成" > <IncidentID名= ""> PAT2005-06 </ IncidentID> <ReportTime> 2005-06-22T08:30:00-05:00 </ ReportTime> <説明>これは、実際のデータからテストレポートです。 </説明> <評価> <インパクトタイプ= "ソーシャル・エンジニアリング" /> <自信の評価= "高" /> </アセスメント> <連絡先の役割= "生みの親" タイプ= "人"> <担当者名> patcain </ [担当> <メール> </メール> </お問い合わせ> <EventDataの> <DetectTime> 2005-06-21T18:22:02-05:00 </ DetectTime> <AdditionalData DTYPE = "XML"> <フィッシング:PhraudReport FraudType = "フィッシング"> <フィッシング:FraudParameter>件名:アカウントの更新</フィッシング:FraudParameter> <フィッシング:FraudedBrandName>クーパー・カイン</フィッシング:FraudedBrandName> <フィッシング:LureSource> <Systemカテゴリ= "ソース" > <ノード> <アドレス> </住所> </ノード> </システム> <フィッシング:IncludedMalware> <フィッシング:名> W32.Mytob.EA@mm </フィッシング:名前> </フィッシング:IncludedMalware > </フィッシュ:LureSource> <フィッシング:OriginatingSensor OriginatingSensorType = "ヒト"> <フィッシング:DateFirstSeen> 2005-06-10T15:52:11から05:00 </フィッシュ:DateFirstSeen> <システム> <ノード> <住所> </住所>

 Return-path: &lt;;
 Delivery-date: Fri, 10 Jun 2005:52:11-0400
 Received: from[] by esmtp (Exim) id
  1DgpXy-0002Ua-IR for;,
  10 Jun 2005 15:52:10-0400
 Subject: Account Update
 Date: Fri, 10 Jun 2005 12:52:00 -0700
 MIME-Version: 1.0
 Content Type: text/plain;
 X-Priority: 3MSMail-Priority: Normal
 Spam-Checker-Version: SpamAssassin 3.0.2 (2004-11-16)
 X-Spam-Level: ***** X-Spam-Status: No,
  score=5.6 required=6.0 tests=BAYES_95,CABLEDSL,HTML_20_30,
  PRIORITY_NO_NAME autolearn=disabled version=3.0.2
 Sent: Friday, June 10, 2005 3:52 PM Subject: Account update


To: Date: Sun, 10 June 2005 3:52:44 +0200


We would like to inform you that we have released a new version of our Customer Form. This form is required to be completed by all customers.


Please follow these steps:


1.Open the form at &lt; &amp;email=(> . 2.Follow given instructions.

//;電子メールの例@ =(誰かます:http;でフォーム1.Open .COM)>。 2.Follow指示。

Thank you, Our Support Team </phish:EmailMessage> </phish:EmailRecord> </phish:PhraudReport> </AdditionalData> </EventData> </Incident> </IODEF-Document>

ありがとう、私たちのサポートチーム</フィッシング:EmailMessageの> </フィッシング:EmailRecord> </フィッシング:PhraudReport> </ AdditionalData> </ EventDataの> </インシデント> </ IODEF-ドキュメント>

Appendix C. Sample Phishing Report


A sample report generated from a received electronic mail phishing message in shown in this section.


C.1. Received Lure


Return-path: <> Envelope-to: Delivery-date: Tue, 13 Jun 2006 05:37:22 -0400 Received: from ([] by with esmtp (Exim) id 1Fq5Kr-0005wU-LT for; Tue, 13 Jun 2006 05:37:21 -0400 Received: from [] (helo=TSI) by with esmtp (Exim) id 1Fq5Bj-0006dv-6b for; Tue, 13 Jun 2006 05:37:21 -0400 Received: from User ([]) by TSI with Microsoft SMTPSVC(5.0.2195.6713); Tue, 13 Jun 2006 02:24:30 -0400 Reply-To: <> From: "company"<> Subject: * * * Update & Verify Your Example Company Account * * * Date: Tue, 13 Jun 2006 02:36:34 -0400 MIME-Version: 1.0 Content-Type: text/html; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 1 X-MSMail-Priority: High X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Bcc: Message-ID: <TSIlYbvhBISmT6QcWY90000085f@TSI> X-OriginalArrivalTime: 13 Jun 2006 06:24:30.0218 (UTC) FILETIME=[072A66A0:01C68EB2] X-EN-OrigSender:

リターンパス:<>封筒-へ:pcain@example.com納期:火、2006年6月13日午前5時37分22秒-0400受付[]からpcain@example.comためHELO =によってESMTPと(輸出入)ID 1Fq5Kr-0005wU-LT。火曜2006年6月13日午前5時37分21秒-0400受付:[](HELO = TSI)からmail15.example.comによってpcain@example.comためESMTP(輸出入)ID 1Fq5Bj-0006dv-6Bと;受信火曜、2006年6月13日午前5時37分21秒-0400:ユーザー([])からMicrosoft SMTPSVCとTSI(5.0.2195.6713)によって;火曜、2006年6月13日2時24分30秒-0400返信先:<>から: "会社" <>件名:* * *更新&あなたの例会社のアカウントを確認してください* * *日付:火曜、2006年6月13日2時36分34秒-0400 MIME-バージョン:1.0のContent-Type:text / htmlの。文字セット=の "Windows-1251" コンテンツ転送 - エンコード:7ビットX-優先順位:1 X-のMSMail-優先度:高X-Mailerの:マイクロソフトのOutlook Express 6.00.2600.0000 X-MimeOLE:マイクロソフトMimeOLE V6.00.2600.0000 Bccのプロデュース:メッセージID:<TSIlYbvhBISmT6QcWY90000085f @ TSI> X-OriginalArrivalTime:2006年6月13日06:24:30.0218(UTC)FILETIME = [072A66A0:01C68EB2]

X-EN-OrigIP: X-EN-OrigHost: unknown

X-EN-OrigIP: X-EN-OrigHost:不明

Company<> <> <> <> Account Update Request

会社<> <> <。 GIF> <>アカウントの更新リクエスト

Dear Example. member:,


You are receiving this notification because company is required by law to notify you, that you urgently need to update your online account statement, due to high risks of fraud intentions.


The updating of your example account can be done at any time by clicking on the link shown below <>

あなたの例アカウントの更新が <の下に示したリンクをクリックすると、いつでも行うことができます/.cgi-bin/.webscr/.secure-login/%20/%20/.payp>

Once you log in, update your account information. After updating your account, click on the History sub tab of your Account Overview page to see your most recent statement.


If you need help with your password, click the Help link that is at the upper righthand side of the company website. To report errors in your statement or make inquiries, click the Contact Us link in the footer on any page of the company website, call our Customer Service center at (999) 555-0167, or write us at:


Company, Inc. P.O. Box 0 Anytown, MA 00000

社の私書箱ボックス0 Anytown、MA 00000



Big Example Company




C.2. Phishing Report


<?xml version="1.0" encoding="UTF-8"?> <IODEF-Document xmlns:phish="urn:ietf:params:xml:ns:iodef-phish-1.0" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0" lang="en-US"> <Incident purpose="mitigation" ext-purpose="create" restriction="private"> <IncidentID name="">CC200600000002</IncidentID> <ReportTime>2006-06-13T21:14:56-05:00</ReportTime> <Description>This is a sample phishing email received report. The phish was actually received as is.</Description> <Assessment> <Impact severity="high" type="social-engineering"/> <Confidence rating="numeric">85</Confidence> </Assessment> <Contact role="creator" type="person"> <ContactName>patcain</ContactName> <Email></Email> </Contact> <EventData> <DetectTime>2006-06-13T05:37:21-04:00</DetectTime> <AdditionalData dtype="xml"> <phish:PhraudReport FraudType="phishing"> <phish:FraudParameter> * * * Update &amp; Verify Your Company Account * * * </phish:FraudParameter> <phish:FraudedBrandName>company</phish:FraudedBrandName> <phish:LureSource> <System category="source"> <Node> <Address></Address> </Node> </System> </phish:LureSource> <phish:OriginatingSensor OriginatingSensorType="mailgateway"> <phish:DateFirstSeen> 2006-06-13T05:37:22-04:00</phish:DateFirstSeen> <System> <Node> <NodeRole category="mail"/> </Node> </System> </phish:OriginatingSensor>

<?xml version = "1.0" エンコード= "UTF-8"?> <IODEF-ドキュメントのxmlns:フィッシング= "壷:IETF:のparams:XML:NS:IODEF - フィッシング-1.0" のxmlns = "壷:IETF:のparams :XML:NS:IODEF-1.0" のxmlns:IODEF = "壷:IETF:のparams:XML:NS:IODEF-1.0" LANG = "EN-US"> <インシデントの目的= "緩和" EXT-目的は、= "" 作成制限= "プライベート"> <IncidentID名= ""> CC200600000002 </ IncidentID> <ReportTime> 2006-06-13T21:14:56から05:00 </ ReportTime> <解説>これはサンプルフィッシングメールです報告を受けました。あるようフィッシングが実際に受信しました。</説明> <評価> <衝撃の重大度=「高」タイプ=「ソーシャル・エンジニアリング」/> <信頼格付け=「数値」> 85 </信頼> </アセスメント> <連絡先役割= "生みの親" タイプ= "人"> <担当者名> patcain </担当者名> <メール> </メール> </お問い合わせ> <EventDataの> <DetectTime> 2006-06-13T05:37:21 -04:00 </ DetectTime> <AdditionalData DTYPE = "XML"> <フィッシング:PhraudReport FraudType = "フィッシング"> <フィッシング:FraudParameter> * * *アップデート&#038;企業アカウントを確認してください* * * </フィッシング:FraudParameter> <フィッシング:FraudedBrandName>会社</フィッシング:FraudedBrandName> <フィッシング:LureSource> <Systemカテゴリ= "ソース"> <ノード> <アドレス> </住所> </ノード> </システム> </フィッシュ:LureSource> <フィッシング:OriginatingSensor OriginatingSensorType = "mailgateway"> <フィッシング:DateFirstSeen> 2006-06-13T05:37:22から04:00 </フィッシュ:DateFirstSeen> <システム> <ノード> <NodeRoleカテゴリ= "メール" /> </ノード> </システム> </フィッシング:OriginatingSensor>

<phish:EmailRecord> <phish:EmailCount>1</phish:EmailCount> <phish:EmailMessage> Return-path: &lt;> Envelope-to: Delivery-date: Tue, 13 Jun 2006 05:37:22 -0400 Received: from ([] by with esmtp (Exim) id 1Fq5Kr-0005wU-LT for; Tue, 13 Jun 2006 05:37:21 -0400 Received: from [] (helo=TSI) by with esmtp (Exim) id 1Fq5Bj-0006dv-6b for; Tue, 13 Jun 2006 05:37:21 -0400 Received: from User ([]) by TSI with Microsoft SMTPSVC(5.0.2195.6713); Tue, 13 Jun 2006 02:24:30 -0400 Reply-To: &lt;> From: "company"&lt;> Subject: * * * Update &amp; Verify Your Example Company Account * * * Date: Tue, 13 Jun 2006 02:36:34 -0400 MIME-Version: 1.0 Content-Type: text/html; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 1 X-MSMail-Priority: High X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Bcc: Message-ID: &lt;TSIlYbvhBISmT6QcWY90000085f@TSI> X-OriginalArrivalTime: 13 Jun 2006 06:24:30.0218 (UTC) FILETIME=[072A66A0:01C68EB2] X-EN-OrigSender: X-EN-OrigIP: X-EN-OrigHost: unknown

<フィッシング:EmailRecord> <フィッシング:EmailCount> 1 </フィッシュ:EmailCount> <フィッシング:EmailMessageの>リターンパス:&LT;>エンベロープへ:pcain@example.com納期:火、 2006年6月13日午前5時37分22秒-0400受付[] HELO =からmailscan38.example.comによってESMTPと(輸出入)ID 1Fq5Kr-0005wU-LT用;火曜2006年6月13日午前5時37分21秒-0400受付:[](HELO = TSI)からmail15.example.comによってpcain@example.comためESMTP(輸出入)ID 1Fq5Bj-0006dv-6Bと;受信火曜、2006年6月13日午前5時37分21秒-0400:ユーザー([])からMicrosoft SMTPSVCとTSI(5.0.2195.6713)によって;火曜、2006年6月13日2時24分30秒-0400返信先:&LT;>から: "会社" &LT;>件名:* * *アップデート&#038;確認してくださいあなたの例会社のアカウント* * *日:火、2006年6月13日午前2時36分34秒-0400 MIME-バージョン:1.0のContent-Type:text / htmlの。文字セット=の "Windows-1251" コンテンツ転送 - エンコード:7ビットX-優先順位:1 X-のMSMail-優先度:高X-Mailerの:マイクロソフトのOutlook Express 6.00.2600.0000 X-MimeOLE:マイクロソフトMimeOLE V6.00.2600.0000 Bccのプロデュース:メッセージID:&LT; TSIlYbvhBISmT6QcWY90000085f @ TSI> X-OriginalArrivalTime:2006年6月13日06:24:30.0218(UTC)FILETIME = [072A66A0:01C68EB2] X-EN-OrigIP : X-EN-OrigHost:不明

  &lt;img src=""&gt;
  &lt;img src=""&gt;
  &lt;img src=""&gt;
  &lt;img src=""&gt;
  Account Update Request

Dear Example. member:, You are receiving this notification because company is required by law to notify you, that you urgently need to update your online account statement, due to high risks of fraud intentions.


The updating of your example account can be done at any time by clicking on the link shown below &lt;a href=""> &lt;/a>

あなたの例アカウントの更新は、以下の&LT示したリンクをクリックすると、いつでも行うことができます。HREF = " 20/20%/ .example.comの/ index.htmを ">; / A>

Once you log in,update your account information. After updating your account click on the History sub tab of your Account Overview page to see your most recent statement.


If you need help with your password, click the Help link which is at the upper right hand side of the company website. To report errors in your statement or make inquiries, click the Contact Us link in the footer on any page of the company website, call our Customer Service center at (999) 555-0167, or write us at:


Company, Inc. P.O. Box 0 Anytown, MA 00000

社の私書箱ボックス0 Anytown、MA 00000



Big Example Company


&lt;img src=""> </phish:EmailMessage> </phish:EmailRecord> <phish:DCSite DCType="web"> <phish:SiteURL></phish:SiteURL> <phish:DomainData DomainStatus="assignedAndActive" SystemStatus="unknown"> <phish:Name></phish:Name> <phish:DateDomainWasChecked>2006-06-14T13:05:00-05:00 </phish:DateDomainWasChecked> <phish:RegistrationDate> 2000-12-13T00:00:00</phish:RegistrationDate> <phish:Nameservers> <phish:Server></phish:Server> <Address></Address> </phish:Nameservers> </phish:DomainData> </phish:DCSite> </phish:PhraudReport> </AdditionalData> </EventData> </Incident> </IODEF-Document>

&LT; IMG SRC = ""> </フィッシュ:EmailMessageの> </フィッシュ:EmailRecord> <フィッシング:DCSite DCTypeは= "ウェブ"> <フィッシング:SITEURL > </フィッシング:SITEURL> <フィッシング:DomainData DomainStatus =」 assignedAndActive」SystemStatus = "不明"> <フィッシング:名> </フィッシング:名> <フィッシング:DateDomainWasChecked> 2006-06-14T13:05:00〜05:00 </フィッシング:DateDomainWasChecked> <フィッシング:RegistrationDate> 2000-12-13T00:00:00 </フィッシング:RegistrationDate> <フィッシング:ネームサーバ> <フィッシング:サーバー> </フィッシング:サーバー> <アドレス> </住所> < /フィッシュ:ネームサーバ> </フィッシュ:DomainData> </フィッシュ:DCSite> </フィッシュ:PhraudReport> </ AdditionalData> </ EventDataの> </インシデント> </ IODEF-文献>

Authors' Addresses


Patrick Cain The Cooper-Cain Group, Inc. P.O. Box 400992 Cambridge, MA 02140 USA

パトリック・ケインザ・クーパー・カイングループ、株式会社私書箱400992ケンブリッジ、MA 02140 USA箱



David Jevans The Anti-Phishing Working Group 5150 El Camino Real, Suite A20 Los Altos, CA 94022 USA

デイビット・ジェバンズザ・フィッシング対策ワーキンググループ5150エル・カミノレアル、スイートA20ロスアルトス、CA 94022 USA