[要約] RFC 5901は、フィッシング報告のためのIODEFドキュメントクラスの拡張に関するものです。このRFCの目的は、フィッシング攻撃に関する情報を効果的に共有し、対策を改善することです。
Internet Engineering Task Force (IETF) P. Cain
Request for Comments: 5901 The Cooper-Cain Group, Inc.
Category: Standards Track D. Jevans
ISSN: 2070-1721 The Anti-Phishing Working Group
July 2010
Extensions to the IODEF-Document Class for Reporting Phishing
フィッシングを報告するためのIODEF-Documentクラスへの拡張
Abstract
概要
This document extends the Incident Object Description Exchange Format (IODEF) defined in RFC 5070 to support the reporting of phishing events, which is a particular type of fraud. These extensions are flexible enough to support information gleaned from activities throughout the entire electronic fraud cycle -- from receipt of the phishing lure to the disablement of the collection site. Both simple reporting and complete forensic reporting are possible, as is consolidating multiple incidents.
このドキュメントは、特定のタイプの詐欺であるフィッシングイベントのレポートをサポートするために、RFC 5070で定義されたインシデントオブジェクト説明交換形式(IODEF)を拡張します。これらの拡張機能は、フィッシングルアーの受領からコレクションサイトの障害まで、電子詐欺サイクル全体を通して活動から収集された情報をサポートするのに十分な柔軟性があります。複数のインシデントを統合するように、単純な報告と完全な法医学的報告の両方が可能です。
Status of This Memo
本文書の位置付け
This is an Internet Standards Track document.
これは、インターネット標準トラックドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。インターネット標準の詳細については、RFC 5741のセクション2で入手できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5901.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc5901で取得できます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2010 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。
Table of Contents
目次
1. Introduction ....................................................3
1.1. Why a Common Report Format Is Needed .......................3
1.2. Processing of Exchanged Data Not Defined ...................4
1.3. Relation to the INCH IODEF Data Model ......................4
2. Terminology Used in This Document ...............................4
2.1. Requirements Language ......................................5
3. Interesting Fraud Event Data ....................................5
3.1. The Elements of a Phishing/Fraud Event .....................6
3.2. Useful Data Items in a Fraud Event .........................7
4. Fraud Activity Reporting via IODEF-Documents ....................8
4.1. Fraud Report Types .........................................8
4.2. Fraud Report XML Representation ............................9
4.3. Syntactical Correctness of Fraud Activity Reports ..........9
5. PhraudReport Element Definitions ...............................10
5.1. PhraudReport Structure ....................................10
5.2. Reuse of IODEF-Defined Elements ...........................11
5.3. Element and Attribute Specification Format ................11
5.4. Version Attribute .........................................12
5.5. FraudType Attribute .......................................12
5.6. PhishNameRef Element ......................................13
5.7. PhishNameLocalRef Element .................................13
5.8. FraudedBrandName Element ..................................13
5.9. LureSource Element ........................................14
5.10. OriginatingSensor Element ................................22
5.11. The DCSite Element .......................................23
5.12. TakeDownInfo Element .....................................25
5.13. ArchivedData Element .....................................27
5.14. RelatedData Element ......................................28
5.15. CorrelationData Element ..................................28
5.16. PRComments Element .......................................28
5.17. EmailRecord Element ......................................28
6. Mandatory IODEF and PhraudReport Elements ......................29
6.1. Guidance on Usage .........................................30
7. Security Considerations ........................................31
7.1. Transport-Specific Concerns ...............................31
7.2. Using the iodef:restriction Attribute .....................31
8. IANA Considerations ............................................32
9. Contributors ...................................................32
10. References ....................................................32
10.1. Normative References .....................................32
10.2. Informative References ...................................33
Appendix A. Phishing Extensions XML Schema .......................34
Appendix B. Example Virus Report .................................43
B.1. Received Email ...........................................43
B.2. Generated Report .........................................44
Appendix C. Sample Phishing Report ...............................46
C.1. Received Lure ............................................46
C.2. Phishing Report ..........................................48
Deception activities, such as receiving an email purportedly from a bank requesting you to confirm your account information, are an expanding attack type on the Internet. The terms "phishing" and "fraud" are used interchangeably in this document to characterize broadly-launched social engineering attacks in which an electronic identity is misrepresented in an attempt to trick individuals into revealing their personal credentials (e.g., passwords, account numbers, personal information, ATM PINs, etc.). A successful phishing attack on an individual allows the phisher (i.e., the attacker) to exploit the individual's credentials for financial or other gain. Phishing attacks have morphed from directed email messages from alleged financial institutions to more sophisticated lures that may also include malware.
アカウント情報を確認するように要求する銀行から電子メールを受け取るなどの欺ception活動は、インターネット上の拡大する攻撃タイプです。「フィッシング」と「詐欺」という用語は、この文書では互換性があり、個人の資格を明らかにして個人の資格を明らかにしようとするために、電子的アイデンティティが誤って伝えられる広範なソーシャルエンジニアリング攻撃を特徴付けます(例:パスワード、アカウント番号、個人個人情報、ATMピンなど)。個人に対するフィッシング攻撃の成功により、フィッシャー(つまり、攻撃者)が個人の資格を財政的またはその他の利益のために活用することができます。フィッシング攻撃は、マルウェアを含む可能性のある金融機関の疑いのある金融機関からより洗練されたルアーに変化しています。
This document defines a data format extension to the Incident Object Description Exchange Format (IODEF) [RFC5070] that can be used to describe information about a phishing or other type of fraudulent incident. Sections 2 and 3 of this document provides an overview of the terminology and process of a phishing event. Section 4 introduces the high-level report format and how to use it. Sections 5 and 6 describe the data elements of the fraud extensions. The appendices include an XML schema for the extensions and a few example fraud reports.
このドキュメントでは、フィッシングまたはその他のタイプの不正事件に関する情報を説明するために使用できるインシデントオブジェクト説明交換形式(IODEF)[RFC5070]へのデータ形式拡張子を定義します。このドキュメントのセクション2および3では、フィッシングイベントの用語とプロセスの概要を説明します。セクション4では、高レベルのレポート形式とその使用方法を紹介します。セクション5および6は、詐欺拡張のデータ要素について説明します。付録には、拡張機能用のXMLスキーマといくつかの例の詐欺レポートが含まれています。
The extensions defined in this document may be used to report the social engineering victim lure, the collection site, credential targeted ("spear") phishing, broad multi-recipient phishing, and other evolving Internet-based fraud attempts. Malware and other malicious software included within the lure may also be included within the report.
このドキュメントで定義されている拡張機能は、ソーシャルエンジニアリングの被害者ルアー、コレクションサイト、資格ターゲット(「スピア」)フィッシング、広範な多recipientフィッシング、およびその他の進化するインターネットベースの詐欺の試みを報告するために使用できます。ルアー内に含まれるマルウェアやその他の悪意のあるソフトウェアもレポートに含まれる場合があります。
To combat the rise in malicious activity on the Internet, service providers and investigative agencies are sharing more and more network and event data in a coordinated effort to identify perpetrators and compromised accounts, coordinate responses, and prosecute attackers. As the number of data-sharing parties increases, the number of party-specific tools, formats, and definitions multiply rapidly until they overwhelm the investigative and coordination abilities of those parties.
インターネット上の悪意のある活動の増加に対処するために、サービスプロバイダーと調査機関は、加害者と妥協したアカウント、応答の調整、攻撃者の訴追を特定するための調整された取り組みで、ますます多くのネットワークデータとイベントデータを共有しています。データ共有当事者の数が増えると、当事者の調査能力と調整能力を圧倒するまで、当事者固有のツール、形式、および定義の数が急速に増加します。
By using a common format, it becomes easier for an organization to engage in this coordination as well as correlation of information from multiple data sources or products into a cohesive view. As the number of data sources increases, a common format becomes even more important, since multiple tools would be needed to interpret the different sources of data. A big win in a common format is the ability to automate many of the analysis tasks and significantly speed up the response and prosecution activities.
一般的な形式を使用することにより、組織がこの調整に従事しやすくなり、複数のデータソースまたは製品からの情報とまとまりのあるビューに相関することが容易になります。データソースの数が増えると、異なるデータソースを解釈するために複数のツールが必要になるため、共通の形式がさらに重要になります。一般的な形式での大きな勝利は、多くの分析タスクを自動化し、応答と検察活動を大幅に高速化する機能です。
While the intended use of this specification is to facilitate data sharing between parties, the mechanics of this sharing process and its related political challenges are out of scope for this document.
この仕様の意図された使用は、当事者間のデータ共有を促進することですが、この共有プロセスとその関連する政治的課題の仕組みは、この文書の範囲外です。
Instead of defining a new report format, this document defines an extension to [RFC5070]. The IODEF defines a flexible and extensible format and supports a granular level of specificity. These phishing and fraud extensions reuse subsets of the IODEF data model and, where appropriate, specify new data elements. Leveraging an existing specification allows for more rapid adoption and reuse of existing tools in organizations. For clarity, and in order to eliminate duplication, only the additional structures necessary for describing the exchange of phishing and e-crime activity are provided.
新しいレポート形式を定義する代わりに、このドキュメントは[RFC5070]の拡張機能を定義します。IODEFは、柔軟で拡張可能な形式を定義し、詳細なレベルの特異性をサポートします。これらのフィッシングおよび詐欺拡張は、IODEFデータモデルのサブセットを再利用し、必要に応じて新しいデータ要素を指定します。既存の仕様を活用することで、組織内の既存のツールをより迅速に採用し、再利用できます。明確にし、重複を排除するために、フィッシングと電子犯罪活動の交換を説明するために必要な追加構造のみが提供されます。
Since many people use different but similar terms to mean the same thing, we use the following terminology in this document.
多くの人が異なるが同様の用語を使用して同じことを意味するため、このドキュメントでは次の用語を使用します。
a. Phishing
a. フィッシング
The overall process of identifying victims, contacting them via a lure, causing a victim to send a set of private credentials to a collection site, and storing those credentials is called phishing.
被害者を特定し、ルアーを介して連絡し、被害者がプライベート資格情報をコレクションサイトに送信し、それらの資格情報を保存するプロセス全体がフィッシングと呼ばれます。
b. Fraud Event
b. 詐欺イベント
A fraud event is the combination of phishing and subsequent fraudulent use of the private credentials.
詐欺イベントとは、フィッシングとその後のプライベート資格情報の不正使用の組み合わせです。
c. Lure
c. ルアー
A lure is the decoy used to trick a victim into performing some activity, such as providing their private credentials. The lure relies on social engineering concepts to convince the victim that the lure is genuine and its instructions should be followed. A lure includes a pointer or link to a collection site.
ルアーとは、被害者をだまして、個人の資格を提供するなど、いくつかの活動を実行するために使用されるおとりです。ルアーは、ソーシャルエンジニアリングの概念に依存して、犠牲者にルアーが本物であり、その指示に従うべきであると納得させます。ルアーには、ポインターまたはコレクションサイトへのリンクが含まれます。
d. Collection Site
d. コレクションサイト
The website, email box, SMS number, phone number, or other place where a phished victim sends their private credentials for later fraudulent use by a criminal.
Webサイト、電子メールボックス、SMS番号、電話番号、または飼育された被害者が犯罪者が後で不正使用するために個人資格を送信するその他の場所。
e. Credentials
e. 資格情報
A credential is data that is transferred or presented to establish either a claimed identity or the authorizations of a system entity. Many websites require a user name and password -- combined, they are a credential -- to access sensitive content.
資格情報は、請求された身元またはシステムエンティティの承認のいずれかを確立するために転送または提示されたデータです。多くのWebサイトには、機密コンテンツにアクセスするために、ユーザー名とパスワードが組み合わされており、資格情報です。
f. Message
f. メッセージ
Although primarily email, a lure can be transported via any messaging medium, such as instant messages, Voice over IP (VoIP), or text via an SMS service. The term "message" is used as a generic term for any of these transport mediums.
主に電子メールではありませんが、インスタントメッセージ、ボイスオーバーIP(VOIP)、またはSMSサービスを介してテキストなど、メッセージングメディアを介してルアーを輸送できます。「メッセージ」という用語は、これらの輸送媒体のいずれかの一般的な用語として使用されます。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]で説明されているように解釈されます。
Before defining the structure of the IODEF extensions, we identify the "interesting" data in phishing and other fraudulent activities.
IODEF拡張機能の構造を定義する前に、フィッシングやその他の不正行為における「興味深い」データを特定します。
+-----------+ +------------------+
| Fraudster |<---<-- | Collection Site |<---O--<----<----+
+----+------+ +------------------+ | |
| | |
| +--|-----+ ^
| | Sensor | Credentials
| +-|------+ |
| +---------------+ | +-------+
\--->--| Attack Source |--Lure--->-----O------> | User/ |
+---------------+ |Victim |
+-------+
Figure 3.1. The Components of Internet Fraud
図3.1。インターネット詐欺のコンポーネント
Internet-based phishing and fraud activities are normally comprised of at least six components:
インターネットベースのフィッシングおよび詐欺活動は、通常、少なくとも6つのコンポーネントで構成されています。
1. The phisher, fraudster, or party perpetrating the fraudulent activity. Most times this party is not readily identifiable.
1. 詐欺行為を行うフィッシャー、詐欺師、または当事者。ほとんどの場合、このパーティーは容易に識別できません。
2. The attack source -- the source of the phishing email, virus, trojan, or other attack -- is masked in an enticing manner.
2. 攻撃ソース - フィッシングメール、ウイルス、トロイの木馬、またはその他の攻撃のソースは、魅力的な方法でマスクされています。
3. The lure used to trick the victim into responding.
3. ルアーは、被害者をだまして応答しました。
4. The user, victim, or intended target of the fraud or phish.
4. 詐欺またはフィッシュのユーザー、被害者、または意図されたターゲット。
5. The credentials, personal data, or other information the victim has surrendered to the phisher.
5. 資格情報、個人データ、または被害者がフィッシャーに降伏したその他の情報。
6. The collection site, where the victim sends their credentials or personal data if they have been duped by the lure of the phisher. This may be a website, mailbox, phone operator, or database.
6. コレクションサイト。被害者がフィッシャーの誘惑にだまされた場合、被害者が資格情報または個人データを送信します。これは、Webサイト、メールボックス、電話オペレーター、またはデータベースです。
If we take a holistic view of the attack, there are some additional components:
攻撃の全体的な見方をする場合、いくつかの追加コンポーネントがあります。
o The sensor -- the means by which the phish is detected. This element may be an intrusion detection system, firewall, filter, email gateway, or human analyst.
o センサー - フィッシュが検出される手段。この要素は、侵入検知システム、ファイアウォール、フィルター、電子メールゲートウェイ、または人間のアナリストである場合があります。
o A forensic or archive site (not pictured), where an investigator has copied or otherwise retained the data used for the fraud attempt or credential collection.
o フォレンジックまたはアーカイブサイト(写真ではありません)。調査官が詐欺の試みまたは資格収集に使用されるデータをコピーまたは保持しています。
Fraud events are reported in a fraud activity report, which is an instance of an XML IODEF-Document Incident element with added EventData and AdditionalData elements. The additional fields in the EventData specific to phishing and fraud are enclosed in a PhraudReport XML element. Fraudulent activity may include multiple emails, instant messages, or network messages, scattered over various times, locations, and methodologies. The PhraudReport within an EventData may include information about the email header and body, details of the actual phishing lure, correlation to other attacks, and details of the removal of the web server or credential collector. As a phishing attack may generate multiple reports to an incident team, multiple PhraudReports may be combined into one EventData structure, and multiple EventData structures may be combined into one incident report. One IODEF incident report may record one or more individual phishing events and may include multiple EventData elements.
詐欺イベントは詐欺活動レポートで報告されています。これは、eventDataと追加のData要素を追加したXML IODEF-Documentインシデント要素のインスタンスです。フィッシングと詐欺に固有のイベントDataの追加フィールドは、Phraudreport XML要素に囲まれています。詐欺的なアクティビティには、さまざまな時間、場所、および方法論に散らばった複数の電子メール、インスタントメッセージ、またはネットワークメッセージが含まれる場合があります。EventData内のPhraudreportには、電子メールヘッダーとボディに関する情報、実際のフィッシングルアーの詳細、他の攻撃との相関、およびWebサーバーまたは資格情報の削除の詳細が含まれる場合があります。フィッシング攻撃により、インシデントチームに複数のレポートが生成される可能性があるため、複数のPhraudreportsを1つのEventData構造に組み合わせることができ、複数のEventData構造を1つのインシデントレポートに組み合わせることができます。1つのIODEFインシデントレポートは、1つ以上の個別のフィッシングイベントを記録し、複数のEventData要素を含める場合があります。
This document defines new extension elements for the EventData IODEF XML elements and identifies those required in a PhraudReport. The appendices contain sample fraud activity reports and a complete schema.
このドキュメントは、EventData IODEF XML要素の新しい拡張要素を定義し、Phraudreportで必要な要素を識別します。付録には、サンプル詐欺活動レポートと完全なスキーマが含まれています。
The IODEF Extensions defined in this document comply with Section 4, "Extending the IODEF Format" in [RFC5070].
このドキュメントで定義されているIODEF拡張機能は、[RFC5070]のセクション4「IODEF形式の拡張」に準拠しています。
There are a number of subtle and non-obvious data to capture from a fraud event that make the event analysis and correlation with other events more useful. These data can be grouped into categories:
イベントの分析と他のイベントとの相関をより有用にする詐欺イベントからキャプチャする微妙で非自明でないデータが多数あります。これらのデータは、カテゴリにグループ化できます。
If a lure was presented as part of the fraud event, this category includes the original received lure, the means by which the lure was received (e.g., email, phone, or SMS), and the source addresses that sent the lure. Other useful data includes DNS data about the lure source, identification of any accompanying malware, and the brand name defrauded.
ルアーが詐欺イベントの一部として提示された場合、このカテゴリには、元の受信ルアー、ルアーが受信された手段(電子メール、電話、SMSなど)、およびルアーを送信したソースアドレスが含まれます。その他の有用なデータには、ルアーソースに関するDNSデータ、付随するマルウェアの識別、およびブランド名が詐欺されています。
The collection site contains victim identifications, along with copies of data supplied by the victims, such as account names or numbers, passwords, dates of birth, etc. This category of useful data includes these credentials, along with information about the collection site itself, such as its type, site DNS data, DNS registrant data, and site physical location. The location and registrant information is particularly important if law enforcement assistance is expected. Additionally, an entire site archive can be gathered to allow a collector on a shared website to be disabled without impacting other users.
コレクションサイトには、被害者の識別と、アカウント名または番号、パスワード、生年月日など、被害者が提供するデータのコピーが含まれています。そのタイプ、サイトDNSデータ、DNS登録データ、サイトの物理的位置など。法執行機関の支援が期待される場合、場所と登録者の情報は特に重要です。さらに、サイトアーカイブ全体を収集して、他のユーザーに影響を与えることなく共有Webサイト上のコレクターを無効にすることができます。
This is a non-obvious data category and contains data on how the lure or collection site was detected. Understanding how the lure was detected allows us to design and implement better detection systems.
これは非自明なデータカテゴリであり、ルアーまたはコレクションサイトの検出方法に関するデータが含まれています。ルアーがどのように検出されたかを理解することで、より良い検出システムを設計および実装することができます。
In an environment where time is critical, it is imperative that analysis from one party can be reliably explained to and shared with other investigative parties. This grouping includes data that an investigator found interesting or could be useful to others.
時間が重要な環境では、1つの当事者からの分析を他の調査関係者と確実に説明し、共有できることが不可欠です。このグループには、調査員が興味深いと感じた、または他の人にとって有用である可能性があるデータが含まれています。
A fraud activity report is an instance of an XML IODEF-Document with additional extensions and usage guidance, as specified in Section 4 of this document. These additional extensions are implemented through the PhraudReport XML element.
詐欺活動レポートは、このドキュメントのセクション4で指定されているように、追加の拡張機能と使用ガイダンスを備えたXML IODEF-Documentのインスタンスです。これらの追加の拡張機能は、Phraudreport XML要素を介して実装されます。
As described in the following subsections, reporting fraud activity has three primary components: choosing a report type, a format for the data, and how to check the correctness of the format.
以下のサブセクションで説明されているように、レポート詐欺活動には3つの主要なコンポーネントがあります。レポートタイプの選択、データの形式、および形式の正確性を確認する方法です。
There are three actions relating to reporting phishing events. First, a reporter may *create* and exchange a new report on a new event. Secondly, a reporter may *update* a previously exchanged report to indicate new collection sites, site takedown information, or related activities. Lastly, a reporter may have realized that the report is in error or contains significant incorrect data and that the prudent reaction is to *delete* the report.
フィッシングイベントの報告に関連する3つのアクションがあります。まず、レポーターは新しいイベントに関する新しいレポートを *作成して交換することができます。第二に、レポーターは、新しい収集サイト、サイトテイクダウン情報、または関連する活動を示すために、以前に交換されたレポートを更新 *することができます。最後に、レポーターは、レポートが誤っているか、重要な誤ったデータを含んでいること、および慎重な反応がレポートを *削除することにすることであることを認識した可能性があります。
The three types of reports are denoted through the use of the ext-purpose attribute of an Incident element. A new report contains an empty or a "create" ext-purpose value; an updated report contains an ext-value value of "update"; a request for deletion contains a "delete" ext-purpose value. Note that this is actually an advisory marking for the report originator or recipient, as operating procedures in a report life cycle are very environment specific.
3種類のレポートは、インシデント要素の延長属性の使用によって示されます。新しいレポートには、空のまたは「作成」の拡張値が含まれています。更新されたレポートには、「更新」のext値値が含まれています。削除のリクエストには、「削除」延長値が含まれています。レポートのライフサイクルでの操作手順は非常に環境固有であるため、これは実際にはレポートの創始者または受信者のアドバイザリーマークであることに注意してください。
The IODEF Incident element ([RFC5070], Section 3.2) is summarized below. It and the rest of the data model presented in Section 4 is expressed in Unified Modeling Language (UML) syntax as used in the IODEF specification. The UML representation is for illustrative purposes only; elements are specified in XML as defined in Appendix A.
IODEF入射要素([RFC5070]、セクション3.2)を以下にまとめます。ITおよびセクション4で提示された残りのデータモデルは、IODEF仕様で使用される統一モデリング言語(UML)構文で表されます。UMLの表現は、説明のみを目的としています。要素は、付録Aで定義されているようにXMLで指定されています。
+--------------------+
| Incident |
+--------------------+
| ENUM purpose |<>----------[ IncidentID ]
| STRING ext-purpose |<>--{0..1}--[ AlternativeID ]
| ENUM lang |<>--{0..1}--[ RelatedActivity ]
| ENUM restriction |<>--{0..1}--[ DetectTime ]
| |<>--{0..1}--[ StartTime ]
| |<>--{0..1}--[ EndTime ]
| |<>----------[ ReportTime ]
| |<>--{0..*}--[ Description ]
| |<>--{1..*}--[ Assessment ]
| |<>--{0..*}--[ Method ]
| |<>--{1..*}--[ Contact ]
| |<>--{0..*}--[ EventData ]
| | |<>--[ AdditionalData ]
| | |<>--[ PhraudReport ]
| |<>--{0..1}--[ History ]
| |<>--{0..*}--[ AdditionalData ]
+------------------+
Figure 4.1. The IODEF XML Incident Element (Modified)
図4.1。IODEF XMLインシデント要素(修正)
A fraud activity report is composed of one iodef:Incident element that contains one or more related PhraudReport elements embedded in the iodef:AdditionalData element of iodef:EventData. The PhraudReport element is added to the IODEF using its defined extension procedure documented in Section 5 of [RFC5070].
詐欺活動レポートは、IODEFに埋め込まれた1つ以上の関連するPhraudreport要素を含む1つのIODEF:IODEF:IODEF:EventDataの追加の要素を含む1つのインシデント要素で構成されています。Phraudreport要素は、[RFC5070]のセクション5に文書化された定義された拡張手順を使用してIODEFに追加されます。
One IODEF-Document may contain information on multiple incidents with information for each incident contained within an iodef:Incident element ([RFC5070], Section 3.12).
1つのIODEF-Documentには、IODEF:インシデント要素([RFC5070]、セクション3.12)に含まれる各インシデントの情報を含む複数のインシデントに関する情報が含まれている場合があります。
The fraud activity report MUST pass XML validation using the schema defined in [RFC5070] and the extensions defined in Appendix A of this document.
詐欺活動レポートは、[RFC5070]で定義されているスキーマと、このドキュメントの付録Aで定義されている拡張機能を使用してXML検証を渡す必要があります。
A PhraudReport consists of an extension to the Incident.EventData.AdditionalData element with a dtype of "xml". The elements of the PhraudReport will specify information about the six components of fraud activity identified in Section 3.1. Additional forensic information and commentary can be added by the reporter as necessary to show relation to other events, to show the output of an investigation, or for archival purposes.
Phraudreportは、インシデントの拡張で構成されています。EventData.AdditionAldata要素は、「XML」のDTYPEを使用しています。Phraudreportの要素は、セクション3.1で特定された詐欺活動の6つのコンポーネントに関する情報を指定します。追加の法医学的情報と解説は、他のイベントとの関係を示す、調査の出力を示すため、またはアーカイブの目的で、必要に応じてレポーターが追加することができます。
A PhraudReport element is structured as follows. The components of a PhraudReport are introduced in functional grouping, as some parameters are related and some elements may not make sense individually.
Phraudreport要素は次のように構成されています。いくつかのパラメーターが関連しており、一部の要素が個別に意味をなさない場合があるため、フラードレポートのコンポーネントは機能グループに導入されます。
+------------------+
| PhraudReport |
+------------------+
| STRING Version |<>--{0..1}--[ PhishNameRef ]
| ENUM FraudType |<>--{0..1}--[ PhishNameLocalRef ]
| STRING ext-value |<>--{0..1}--[ FraudParameter ]
| |<>--{0..*}--[ FraudedBrandName ]
| |<>--{1..*}--[ LureSource ]
| |<>--{1..*}--[ OriginatingSensor ]
| |<>--{0..1}--[ EmailRecord ]
| |<>--{0..*}--[ DCSite ]
| |<>--{0..*}--[ TakeDownInfo ]
| |<>--{0..*}--[ ArchivedData ]
| |<>--{0..*}--[ RelatedData ]
| |<>--{0..*}--[ CorrelationData ]
| |<>--{0..1}--[ PRComments ]
+------------------+
Figure 5.1. The PhraudReport Element
図5.1。Phraudreport要素
Relevant information about a phishing or fraud event is encoded into six components as follows:
フィッシングまたは詐欺イベントに関する関連情報は、次のように6つのコンポーネントにエンコードされています。
a. The PhishNameRef and PhishNameLocalRef elements identify the fraud or class of fraud.
a. PhishnamerefとPhishnameLocalrefの要素は、詐欺または詐欺のクラスを特定します。
b. The LureSource element describes the source of the attack or phishing lure, including host information and any included malware.
b. Luresource要素は、ホスト情報や含まれるマルウェアを含む攻撃またはフィッシングルアーのソースを説明しています。
c. The DCSite element describes the technical details of the credential collection site.
c. DCSITE要素は、資格情報収集サイトの技術的な詳細を説明しています。
d. The OriginatingSensor element describes the means of detection.
d. OriginAtingSensor要素は、検出手段を説明します。
The RelatedData, ArchivedData, and TakeDownInfo fields allow optional forensics and history data to be included.
関連Data、ArchivedData、およびTakedowninfoフィールドにより、オプションのフォレンジックおよび履歴データを含めることができます。
A specific phish/fraud activity can be identified using a combination of the FraudType, FraudParameter, FraudedBrandName, LureSource, and PhishNameRef elements.
Fraudtype、FraudParameter、詐欺ブランド名、ルーシュール、およびフィシュナムレフ要素の組み合わせを使用して、特定のPhish/詐欺活動を特定できます。
Elements, attributes, and parameters defined in the base IODEF specification were used whenever possible in the definition of the PhraudReport XML element. This specification does not introduce any new variable types or encodings to the IODEF data model, but extends the IODEF Contact and System elements.
ベースIODEF仕様で定義された要素、属性、およびパラメーターは、Phraudreport XML要素の定義で可能な限り使用されていました。この仕様では、IODEFデータモデルに新しい変数タイプまたはエンコーディングを導入するのではなく、IODEFの連絡先とシステム要素を拡張します。
The data model schema contains a copy of the iodef:System element. Although we would like to just extend the System element, it is defined in RFC 5070 with an unable-to-extend anonymous type, so we copied the element, named its underlying type, and then generated the extension to it.
データモデルスキーマには、IODEF:システム要素のコピーが含まれています。システム要素を拡張したいだけですが、RFC 5070で拡張できない匿名タイプで定義されているため、その基礎となるタイプという名前の要素をコピーしてから、拡張機能を生成しました。
Note: Elements that are imported from the base IODEF specification are prefaced with an "iodef" XML namespace and are noted with the section defining that element in [RFC5070]. Each element in a PhraudReport is used as described in the following sections.
注:ベースIODEF仕様からインポートされる要素には、「IODEF」XMLネームスペースが付いており、[RFC5070]でその要素を定義するセクションに記載されています。Phraudreportの各要素は、次のセクションで説明されているように使用されます。
The following sections describe the components of a PhraudReport XML element. Each description is structured as follows.
次のセクションでは、Phraudreport XML要素のコンポーネントについて説明します。各説明は次のように構成されています。
1. A terse XML-type identifier for the element or attribute.
1. 要素または属性の簡潔なXMLタイプ識別子。
2. An indication of whether the element or attribute is REQUIRED or optional. Mandatory items are noted as REQUIRED. If not specified, elements are optional. Note that when optional elements are included, they may REQUIRE specific sub-elements.
2. 要素または属性が必要かオプションであるかを示すこと。必須アイテムは必要に応じて注目されます。指定されていない場合、要素はオプションです。オプションの要素が含まれている場合、特定のサブ要素が必要になる場合があることに注意してください。
3. A description of the element or attribute and its intended use.
3. 要素または属性の説明とその目的の使用。
Elements that contain sub-elements or enumerated values are further sub-sectioned. Note that there is no "trickle-up" effect in elements. That is, the required elements of a sub-element are only populated if the sub-element is used.
サブ要素または列挙された値を含む要素は、さらにサブセクションになります。要素に「トリクルアップ」効果はないことに注意してください。つまり、サブ要素の必要な要素は、サブ要素が使用されている場合にのみ入力されます。
REQUIRED. STRING. The version shall be the value 0.06, to be compliant with this document.
必要。ストリング。バージョンは、このドキュメントに準拠するために、値0.06でなければなりません。
REQUIRED. One ENUM. The FraudType attribute describes the type of fraudulent activity described in this PhraudReport. The FraudType chosen determines the value of the FraudParameter filed. This field contains one of the following values:
必要。1つの列挙。詐欺属性属性は、このPhraudreportに記載されている詐欺的な活動のタイプを説明しています。選択された詐欺師は、提出された詐欺計の値を決定します。このフィールドには、次の値のいずれかが含まれています。
1. phishing. The FraudParameter should be the subject line of the phishing lure email or value of a lure IM or VoIP message. This type is a standard phishing lure, usually sent as email, and is intended to exploit the recipient's credentials for financial gain.
1. フィッシング。FraudParameterは、フィッシングルアーの電子メールまたはルアーIMまたはVOIPメッセージの値の件名である必要があります。このタイプは、通常は電子メールとして送信される標準的なフィッシングルアーであり、金銭的利益のために受信者の資格情報を活用することを目的としています。
2. recruiting. The FraudParameter is the subject line of the recruit, or mule, email or message.
2. 採用。FraudParameterは、リクルートまたはミュール、電子メール、またはメッセージの件名です。
3. malware distribution. The FraudParameter is the email subject line of the phishing email. This type of email phish does not pose a risk of financial loss to the recipient, but lures the recipient to an infected site.
3. マルウェア分布。FraudParameterは、フィッシングメールの電子メール件名です。このタイプの電子メールPhishは、受取人に経済的損失のリスクをもたらすものではありませんが、受信者を感染したサイトに誘惑します。
4. fraudulent site. This identifies a known fraudulent site that does not necessarily send spam but is used to show lures. The FraudParameter may be used to identify the website.
4. 詐欺サイト。これは、必ずしもスパムを送信するわけではなく、ルアーを表示するために使用される既知の詐欺サイトを識別します。FraudParameterを使用してWebサイトを識別できます。
5. dnsspoof. This choice does not have a related FraudParameter. This value is used when a DNS system component responds with an untrue IP address for the requested domain name due to either cache poisoning, ID spoofing, or other manipulation of the DNS system.
5. dnsspoof。この選択には、関連するFraudParameterがありません。この値は、DNSシステムコンポーネントが、キャッシュ中毒、IDスプーフィング、またはDNSシステムのその他の操作のいずれかのために、要求されたドメイン名の不純粋なIPアドレスで応答するときに使用されます。
6. archive. There is no required FraudParameter for this choice, although the FraudParameter of the original phish could be entered. The data archived from the phishing server is placed in the ArchivedData element.
6. 記録。この選択には必要な詐欺計はありませんが、元のフィッシュの詐欺計を入力することができます。フィッシングサーバーからアーカイブされたデータは、ArchivedData要素に配置されます。
7. other. This is used to identify not-yet-enumerated fraud types.
7. 他の。これは、未定の詐欺タイプを特定するために使用されます。
8. unknown. This choice may have an associated FraudParameter. It is used to cover confused cases.
8. わからない。この選択には、関連するFraudParameterがある場合があります。混乱したケースをカバーするために使用されます。
9. ext-value. This choice identifies an unidentified FraudType. The FraudType should be captured in the ext-value attribute.
9. ext-value。この選択は、正体不明の詐欺を識別します。詐欺は、ext-value属性でキャプチャする必要があります。
OPTIONAL. This STRING may be populated with a FraudType that has not been predefined.
オプション。この文字列には、事前に定義されていない詐欺型が入力される場合があります。
Zero or one value of iodef:MLStringType. The contents of this element are dependent on the FraudType choice. It may be an email subject line, VoIP lure, link in an IM message, or a web URL. Note that some phishers add a number of random characters onto the end of a phish email subject line for uniqueness; reporters should delete those characters before insertion into the FraudParameter field.
IODEFのゼロまたは1つの値:mlStringType。この要素の内容は、詐欺の選択に依存します。これは、電子メールの件名、VoIP Lure、IMメッセージのリンク、またはWeb URLなどです。一部のフィッシャー人は、一意性のためにPhish電子メールの件名の端に多くのランダムな文字を追加することに注意してください。レポーターは、fraudparameterフィールドに挿入する前に、それらの文字を削除する必要があります。
Zero or one value of iodef:MLStringType. The PhishNameRef element is the common name used to identify this fraud event. It is often the name agreed upon by involved parties or vendors. Using this name can be a convenient way to reference the activity when collaborating with other parties, the media, or engaging in public education.
IODEFのゼロまたは1つの値:mlStringType。Phishnameref要素は、この詐欺イベントを識別するために使用される一般名です。多くの場合、関係者またはベンダーによって合意された名前です。この名前を使用することは、他の当事者、メディア、または公教育に従事する際に、活動を参照する便利な方法です。
Zero or one value of iodef:MLStringType. The PhishNameLocalRef element describes a local name or Unique-IDentifier (UID) that is used by various parties before a commonly agreed-upon term is adopted. This field allows a cross-reference from the submitting organization's system to a central repository.
IODEFのゼロまたは1つの値:mlStringType。PhishnameLocalref要素は、一般的に合意された任期が採用される前にさまざまな関係者によって使用されるローカル名または一意の識別子(UID)について説明します。このフィールドにより、提出組織のシステムから中央リポジトリへの相互参照が可能になります。
Zero or more values of iodef:MLStringType. This is the identifier of the recognized brand name or company name used in the phishing activity (e.g., XYZ Semiconductor Corp).
IODEFのゼロ以上の値:mlStringType。これは、フィッシングアクティビティで使用される認識されているブランド名または会社名(XYZ Semiconductor Corpなど)の識別子です。
REQUIRED. One or more values. The LureSource element describes the source of the PhraudReport lure. It allows the specification of IP addresses, DNS names, domain registry information, and rudimentary support for the files that might be downloaded or registry keys modified by the crimeware.
必要。1つ以上の値。Luresource要素は、Phraudreportルアーの原因を説明しています。これにより、IPアドレス、DNS名、ドメインレジストリ情報、およびダウンロードされる可能性のあるファイルまたはRegistry Keysが修正したファイルの基本的なサポートの指定を可能にします。
+-------------+
| LureSource |
+-------------+
| |<>--(1..*)--[ System ]
| |<>--(0..*)--[ DomainData ]
| |<>--(0..1)--[ IncludedMalware ]
| |<>--(0..1)--[ FilesDownloaded ]
| |<>--(0..1)--[ WindowsRegistryKeysModified ]
+-------------+
Figure 5.2. The LureSource Element
図5.2。ルールソース要素
REQUIRED. One or more values of the iodef:System ([RFC5070], Section 3.15). The system element describes a particular host involved in the phishing activity. If the real IP address can be ascertained, it should be populated. A spoofed address may also be entered, and the spoofed attribute SHALL be set.
必要。IODEFの1つ以上の値:システム([RFC5070]、セクション3.15)。システム要素は、フィッシング活動に関与する特定のホストを記述します。実際のIPアドレスを確認できる場合は、入力する必要があります。スプーフィングされたアドレスを入力することもでき、スプーフィングされた属性を設定する必要があります。
Multiple System elements may be used to identify the DNS name and IP address(es) of the lure source.
複数のシステム要素を使用して、ルアーソースのDNS名とIPアドレスを識別することができます。
Zero or more element values. The DomainData element describes the registration, delegation, and control of a domain used to source the lure and can identify the IP address associated with the System element URI. Capturing the domain data is very useful when investigating or correlating events.
ゼロ以上の要素値。DomainData要素は、ルアーの調達に使用されるドメインの登録、委任、および制御について説明し、システム要素URIに関連付けられたIPアドレスを識別できます。ドメインデータをキャプチャすることは、イベントを調査または相関させるときに非常に役立ちます。
The structure of a DomainData element is as follows:
DomainData要素の構造は次のとおりです。
+--------------------+
| DomainData |
+--------------------+
| |<>----------[ Name ]
| |<>--(0..1)--[ DateDomainWasChecked ]
| ENUM SystemStatus |<>--(0..1)--[ RegistrationDate ]
| ENUM DomainStatus |<>--(0..1)--[ ExpirationDate ]
| |<>--(0..*)--[ Nameservers ]
| |<>--(0..1)--[ DomainContacts ]
+--------------------+
Figure 5.3. The DomainData Element
図5.3。DomainData要素
REQUIRED. One value of iodef:MLStringType. The Name element contains the host DNS name used in this event. Its value should be the complete DNS host address; e.g., if an event targeted www.example.com, the value would be www.example.com.
必要。IODEFの1つの値:mlstringType。名前要素には、このイベントで使用されているホストDNS名が含まれています。その値は、完全なDNSホストアドレスである必要があります。たとえば、イベントがwww.example.comをターゲットにした場合、値はwww.example.comになります。
Zero or one value of DATETIME. This element includes the timestamp of when this domain data was checked and entered into this report, as many phishers modify their domain data at various stages of a phishing event.
ゼロまたは1つのデータの値。この要素には、多くのフィッシャーがフィッシングイベントのさまざまな段階でドメインデータを変更するため、このドメインデータがチェックされてこのレポートに入力されたときのタイムスタンプが含まれます。
Zero or one value of DATETIME. The RegistrationDate element shows the date of registration for a domain.
ゼロまたは1つのデータの値。登録デート要素には、ドメインの登録日が表示されます。
Zero or one value of DATETIME. The ExpirationDate element shows the date the domain will expire.
ゼロまたは1つのデータの値。ExpirationDate要素は、ドメインが期限切れになる日付を示しています。
Zero or more values. These fields hold nameservers identified for this domain. Each entry is a sequence of DNSNameType and iodef: Address pairs, as specified below.
ゼロ以上の値。これらのフィールドには、このドメイン用に識別された名前の名前が保持されます。各エントリは、以下に指定されているように、DNSNAMETYPEとIODEF:アドレスペアのシーケンスです。
+--------------------+
| Nameservers |
+--------------------+
| |<>----------[ Server]
| |<>--(1..*)--[ iodef:Address ]
+--------------------+
Figure 5.4. The Nameservers Element
図5.4。名前アーバー要素
The use of one Server value and multiple Address values is used to note multiple IP addresses associated with one DNS entry for the domain nameserver.
1つのサーバー値と複数のアドレス値の使用を使用して、Domain NameServerの1つのDNSエントリに関連付けられた複数のIPアドレスを記録します。
One value of iodef:MLStringType. This field contains the DNS name of the domain nameserver.
IODEFの1つの値:mlstringType。このフィールドには、ドメイン名のDNS名が含まれています。
One or more values of iodef:Address. This field lists the IP address(es) associated with this Server element.
IODEFの1つ以上の値:アドレス。このフィールドは、このサーバー要素に関連付けられたIPアドレス(ES)をリストします。
REQUIRED. Choice of either a SameDomainContact or one or more Contact elements. The DomainContacts element allows the reporter to enter contact information supplied by the registrar or returned by whois queries. For efficiency of the reporting party, the domain contact information may be marked to be the same as another domain already reported using the SameDomainContact element.
必要。SamedomainContactまたは1つ以上の接触要素のいずれかの選択。DomainContacts要素により、レポーターはレジストラが提供するか、WHOISクエリによって返される連絡先情報を入力できます。レポート当事者の効率性のために、ドメインの連絡先情報は、SamedomainContact要素を使用してすでに報告されている別のドメインと同じとマークされる場合があります。
+----------------+
| DomainContacts |
+----------------+
| |<>--(0..1)--[ SameDomainContact ]
| |<>--(1..*)--[ Contact ]
+----------------|
Figure 5.5. The DomainContacts Element
図5.5。domainContacts要素
REQUIRED. One iodef:MLStringType. The SameDomainContact element is populated with a domain name if the contact information for this domain is identical to that name in this or another report. Implementors are cautioned to only use this element when the domain contact data returned by a registrar or registry is identical.
必要。1つのIODEF:mlstringType。このドメインの連絡先情報がこの名前または別のレポートの名前と同一である場合、SamedomainContact要素にはドメイン名が入力されます。実装者は、レジストラまたはレジストリによって返されるドメイン連絡先データが同一である場合にのみこの要素を使用するように注意されています。
REQUIRED. One or more iodef:Contact elements. This element reuses and extends the iodef:Contact elements for its components. Each component may have zero or more values. If only the role attribute and the ContactName component are populated, the same (identical) information is listed for multiple roles.
必要。1つ以上のIODEF:連絡先要素。この要素は、IODEF:コンポーネントの接触要素を再利用および拡張します。各コンポーネントにはゼロ以上の値がある場合があります。役割属性と連絡先コンポーネントのみが入力されている場合、複数のロールに対して同じ(同一の)情報がリストされています。
+--------------------+
| Contact |
+--------------------+
| |<>----------[ iodef:ContactName ]
| |<>--(0..*)--[ iodef:Description ]
| ENUM role |<>--(0..*)--[ iodef:RegistryHandle ]
| |<>--(0..1)--[ iodef:PostalAddress ]
| ENUM restriction |<>--(0..*)--[ iodef:Email ]
| STRING ext-role |<>--(0..*)--[ iodef:Telephone ]
| ENUM type |<>--(0..1)--[ iodef:Fax ]
| STRING ext-type |<>--(0..1)--[ iodef:Timezone ]
| |<->----------[ AdditionalData ]
| | +<-> [ Confidence ]
+--------------------+
Figure 5.6. The Contact Element
図5.6。連絡先要素
Each Contact has optional attributes to capture the sensitivity and role for which the contact is listed. Elements reused from [RFC5070] are not discussed in this document.
各連絡先には、接触がリストされている感度と役割をキャプチャするオプションの属性があります。[RFC5070]から再利用される要素については、このドキュメントでは説明していません。
REQUIRED. ENUM. The Confidence element describes a qualitative assessment of the veracity of the contact information. This attribute is an extension to the iodef:Contact element and is defined in this document. There are five possible Confidence values, as follows.
必要。列挙。信頼要素は、連絡先情報の真実性の定性的評価を説明しています。この属性は、IODEF:連絡先要素の拡張機能であり、このドキュメントで定義されています。次のように、5つの可能な信頼値があります。
1. known-fraudulent. This contact information has been previously determined to be fraudulent, as either non-existent physical information or containing real information not associated with this domain registration.
1. 既知のfraudulent。この連絡先情報は、存在しない物理情報またはこのドメイン登録に関連付けられていない実際の情報を含むため、以前は不正であると判断されています。
2. looks-fraudulent. The contact information has suspicious information included.
2. 見た目が整然としています。連絡先情報には疑わしい情報が含まれています。
3. known-real. The contact information has been previously investigated or determined to be correct.
3. 既知のリアル。連絡先情報は、以前に調査されているか、正しいと判断されています。
4. looks-real. The contact information does not arouse suspicion but has not been previously validated.
4. ルックスリアル。連絡先情報は疑いを喚起しませんが、以前に検証されていません。
5. unknown. The reporter cannot make a value judgment on the contact data.
5. わからない。レポーターは、連絡先データについて価値判断を下すことはできません。
REQUIRED. ENUM. The ext-role attribute is extended from the iodef: ext-role attribute with values identified in RFC 3982 [RFC3982]. The ext-value value of the role attribute should be used, with the ext-role attribute value chosen from one of the following values:
必要。列挙。ext-role属性は、RFC 3982 [RFC3982]で識別された値を持つIODEF:ext-Role属性から拡張されます。役割属性のext値値を使用する必要があります。次の値のいずれかから選択されたext-role属性値を使用してください。
1. billingContacts
1. BillingContacts
2. technicalContacts
2. TechnicalContacts
3. administrativeContacts
3. 管理連絡先
4. legalContacts
4. LegalContacts
5. zoneContacts
5. ZoneContacts
6. abuseContacts
6. 虐待
7. securityContacts
7. SecurityContacts
8. otherContacts
8. その他のコンタクト
9. hostingProvider. This contact is the hosting provider of this server. Although not in RFC 3982, it is useful in investigations to note where the server is located and who operates it. Load-balanced, multicast, or anycast servers may have multiple hostingProvider contact entries.
9. HostingProvider。この連絡先は、このサーバーのホスティングプロバイダーです。RFC 3982ではありませんが、サーバーがどこにあり、誰がそれを操作するかを調べることは調査に役立ちます。ロードバランスの取れたマルチキャスト、またはAnycastサーバーには、複数のHostingProvider連絡先エントリがある場合があります。
REQUIRED. ENUM. The SystemStatus attribute assesses a system's involvement in this event. The value is chosen from this list:
必要。列挙。SystemStatus属性は、このイベントでのシステムの関与を評価します。値はこのリストから選択されます。
1. spoofed. This domain or system did not participate in this event, but its address space or DNS name was simply used by another party.
1. スプーフィング。このドメインまたはシステムはこのイベントには参加しませんでしたが、そのアドレススペースまたはDNS名は単に別のパーティによって使用されました。
2. fraudulent. The system is operated with fraudulent intentions, e.g., the domain name is a homophone.
2. 不正。システムは不正な意図で動作します。たとえば、ドメイン名は同性愛者です。
3. innocent-hacked. The system was compromised by a third party and used in this event.
3. 無実のハッキング。このシステムは第三者によって妥協され、このイベントで使用されました。
4. innocent-hijacked. The IP address or domain name was deliberately hijacked via BGP or DNS and used in this event to source the lure or host the collection site.
4. 無実のハイジャック。IPアドレスまたはドメイン名は、BGPまたはDNSを介して意図的にハイジャックされ、このイベントで使用されてルアーを調達したり、コレクションサイトをホストしたりしました。
5. unknown. No conclusions are inferred from this event.
5. わからない。このイベントから結論は推測されていません。
ENUM. The DomainStatus attribute describes the registry status of a domain at the time of the report. The following enumerated list is taken from the "domainStatusType" of [RFC3982]. An extra "unknown" value was added in case the status is indeterminable.
列挙。DomainStatus属性は、レポート時にドメインのレジストリステータスを記述します。次の列挙されたリストは、[RFC3982]の「domainstatustype」から取得されます。ステータスが不確定である場合、追加の「未知の」値が追加されました。
1. reservedDelegation
1. 予約済みデール
2. assignedAndActive
2. assiondAndactive
3. assignedAndInactive
3. assiondandinactive
4. assignedAndOnHold
4. AssignDandonhold
5. revoked
5. 取り消された
6. transferPending
6. 転送
7. registryLock
7. レジストリロック
8. registrarLock
8. RegistrArlock
9. other
9. 他の
10. unknown
10. わからない
Zero or one value. The IncludedMalware element allows for the identification and optional inclusion of the actual malware that was part of the lure. The goal of this element is not to detail the characteristics of the malware but rather to allow for a convenient element to link malware to a phishing campaign.
ゼロまたは1つの値。伴われたマルウェア要素により、ルアーの一部であった実際のマルウェアを識別し、オプションの含めることができます。この要素の目標は、マルウェアの特性を詳述することではなく、マルウェアをフィッシングキャンペーンにリンクする便利な要素を可能にすることです。
+------------------+
| IncludedMalware |
+------------------+
| |<>--(1..*)--[ Name ]
| |<>--(0..1)--[ ds:Reference ]
| |<>--(0..1)--[ Data ]
+------------------+
+-----------------------+
| Data |
+-----------------------+
| hexBinary XORPattern |
+-----------------------+
Figure 5.7. The IncludedMalware Element
図5.7。含まれるマルウェア要素
REQUIRED. One or more values of iodef:MLStringType. This field is used to identify the lure malware by its known name. Unnamed malware may be identified by a value of "unknown".
必要。IODEFの1つ以上の値:mlStringType。このフィールドは、既知の名前でルアーマルウェアを識別するために使用されます。名前のないマルウェアは、「不明」の値によって識別される場合があります。
Zero or one value of the Reference. This optional field is used to hold the algorithm identification and value of a hash computed over the malware executable. This entire element is imported from [RFC3275]. Implementations SHOULD support the use of SHA-1 [SHA] as a DigestMethod.
参照のゼロまたは1つの値。このオプションのフィールドは、マルウェア実行可能ファイルで計算されたハッシュのアルゴリズムの識別と値を保持するために使用されます。この要素全体は[RFC3275]からインポートされています。実装では、SHA-1 [SHA]のDigestMethodとしての使用をサポートする必要があります。
Zero or one value. The optional Data element is used to include the lure malware, which is encoded as a hexBinary type and XORed with a pattern to render it harmless.
ゼロまたは1つの値。オプションのデータ要素は、ヘクスビナリータイプとしてエンコードされ、パターンでXAREDをゼロにするためにそれを無害にするためにルアーマルウェアを含めるために使用されます。
One value of hexBinary. The Data element includes a 16-hexadecimal-character XORPattern attribute to support disabling the included malware to bypass anti-virus filters. The default value is 0x55AA55AA55AA55BB, which would be XORed with the malware datastring to recover the actual malware.
1ヘクスビナリーの1つの値。データ要素には、含められたマルウェアをバイパスするアンチウイルスフィルターを無効にするサポートをサポートするための16ヘキサデシメル - キャラクターXorpattern属性が含まれています。デフォルト値は0x555AA555555555BBで、実際のマルウェアを回復するためにマルウェアデータストリングでXAREDされます。
Zero or one value of a sequence of File elements.
ファイル要素のシーケンスのゼロまたは1つの値。
+---------------------+
| FilesDownloaded |
+---------------------+
| |<>--(1..*)--[ File ]
+---------------------+
Figure 5.8. The FilesDownloaded Element
図5.8。ファイルダウンロードされた要素
One or more values of iodef:MLStringType. The File element value is the name of a file downloaded by this lure.
IODEFの1つ以上の値:mlStringType。ファイル要素値は、このルアーによってダウンロードされたファイルの名前です。
One or more values of the Key sequence. The contents of the WindowsRegistryKeysModified element are sequences of Key elements.
キーシーケンスの1つ以上の値。WindowsRegistryKeySmodified要素の内容は、重要な要素のシーケンスです。
+------------------------------+
| WindowsRegistryKeysModified |
+------------------------------+
| |<>--(1..*)--[ Key ]
+------------------------------+
+--------------+
| Key |
+--------------+
| |<>-----[ Name ]
| |<>-----[ Value ]
+--------------+
Figure 5.9. The WindowsRegistryKeysModified Element
図5.9。WindowsRegistryKeySmodified要素
One or more sequences. The Key element is a sequence of Name and Value pairs representing an operating system registry key and its value. The key and value are encoded as in Microsoft .reg files [KB310516].
1つ以上のシーケンス。キー要素は、オペレーティングシステムレジストリキーとその値を表す名前と値のペアのシーケンスです。キーと値は、Microsoft .Regファイル[KB310516]のようにエンコードされています。
One STRING, representing the Windows Operating System Registry Key Name. The value is encoded as in Microsoft .reg files, e.g., [HKEY_LOCAL_MACHINE\Software\Test\KeyName].
Windowsオペレーティングシステムレジストリキー名を表す1つの文字列。値は、microsoft .regファイルのようにエンコードされています。
One STRING, representing the value of the associated Key encoded as in Microsoft .reg files, e.g., REG_BINARY:01.
Microsoft .Regファイルのようにエンコードされた関連キーの値を表す1つの文字列、例:reg_binary:01。
REQUIRED. The OriginatingSensor element contains the identification and cognizant data of the network element that detected this fraud activity. Note that the network element does not have to be on the Internet itself (i.e., it may be a local Intrusion Detection System (IDS)), nor is it required to be mechanical (e.g., humans are allowed).
必要。OriginAtingSensor要素には、この詐欺活動を検出したネットワーク要素の識別データと認知データが含まれています。ネットワーク要素はインターネット自体にある必要はないことに注意してください(つまり、局所侵入検知システム(IDS)である可能性があります)、また機械的である必要はありません(たとえば、人間は許可されています)。
Multiple OriginatingSensor elements are allowed to support detection at multiple locations.
複数のOriginAtingSensor要素は、複数の場所での検出をサポートすることができます。
+----------------------------+
| OriginatingSensor |
+----------------------------+
| ENUM OriginatingSensorType |<>------------[ DateFirstSeen ]
| |<>--(1..*)----[ iodef:System ]
+----------------------------+
Figure 5.10. The OriginatingSensor Element
図5.10。OriginAtingSensor要素
The OriginatingSensor requires a type value and identification of the entity that detected this fraudulent event.
OriginAtingSensorには、この不正行為を検出したエンティティのタイプ値と識別が必要です。
REQUIRED. ENUM. The value is chosen from the following list, categorizing the function of this sensor:
必要。列挙。値は次のリストから選択され、このセンサーの関数を分類します。
1. web. A web server or service detected this event.
1. ウェブ。このイベントを検出したWebサーバーまたはサービス。
2. webgateway. A proxy, firewall, or other network gateway detected this event.
2. Webgateway。プロキシ、ファイアウォール、またはその他のネットワークゲートウェイがこのイベントを検出しました。
3. mailgateway. The event was detected via a mail gateway or filter.
3. Mailgateway。イベントは、メールゲートウェイまたはフィルターを介して検出されました。
4. browser. The event was detected at the user web interface or browser-type element.
4. ブラウザ。このイベントは、ユーザーWebインターフェイスまたはブラウザタイプの要素で検出されました。
5. ispsensor. The event was detected by an automated system in the network, such as Intrusion Detection System, Intrusion Protection System, or other Internet Service Provider device.
5. ISPSENSOR。このイベントは、侵入検知システム、侵入保護システム、またはその他のインターネットサービスプロバイダーデバイスなど、ネットワーク内の自動化されたシステムによって検出されました。
6. human. A non-automated system (e.g., a human, manual analysis, etc.) detected this event.
6. 人間。非自動システム(たとえば、人間、手動分析など)がこのイベントを検出しました。
7. honeypot. The event was detected by receipt at a decoy device.
7. ハニーポット。イベントは、おとりデバイスで領収書によって検出されました。
8. other. The detection was performed via a non-listed method.
8. 他の。検出は、リストされていない方法を介して実行されました。
REQUIRED. DATETIME. This is the date and time that this sensor first saw this phishing activity.
必要。日付時刻。これは、このセンサーがこのフィッシング活動を最初に見た日時です。
REQUIRED. One or more values of iodef:System. This is identification information (such as the IP version, IP address, etc.) of the entity that detected this event. The ability to identify multiple detectors is supported.
必要。IODEFの1つ以上の値:システム。これは、このイベントを検出したエンティティの識別情報(IPバージョン、IPアドレスなど)です。複数の検出器を識別する機能がサポートされています。
Zero or more DCSite elements. The DCSite captures the type, identifier, location, and other pertinent information about the credential gathering process, or data collection site, used in the phishing incident. The data collection site is identified by four elements: the type of collector, the network location, information about its DNS domain, and a confidence factor. Further details about the domain, system, or owner of the DCSite can be inserted into the DomainData sub-element.
ゼロ以上のdcsite要素。DCSiteは、フィッシングインシデントで使用されている資格収集プロセス、またはデータ収集サイトに関するタイプ、識別子、場所、およびその他の関連情報をキャプチャします。データ収集サイトは、コレクターのタイプ、ネットワークの場所、DNSドメインに関する情報、および信頼係数の4つの要素によって識別されます。DCSiteのドメイン、システム、または所有者の詳細については、DomainDataサブエレメントに挿入できます。
If the DCSite element is present, a value is required. Multiple DCSite elements are allowed to indicate multiple collection sites for a single collector. Multiple URLs pointing to the same DNS entry can be identified with multiple SiteURL elements.
dcsite要素が存在する場合、値が必要です。複数のDCサイト要素は、単一のコレクターの複数の収集サイトを示すことができます。同じDNSエントリを指す複数のURLは、複数のSiteURL要素で識別できます。
+--------------+
| DCSite |
+--------------+
| ENUM DCType |<>--+--------[ SiteURL ]
| | +--------[ Domain ]
| | +--------[ EmailSite ]
| | +--------[ System ]
| | +--------[ Unknown ]
| |<>--(0..*)---[ iodef:Node ]
| |<>--(0..1)---[ DomainData ]
| |<>--(0..1)---[ iodef:Assessment ]
+--------------+
Figure 5.11. The DCSite Element
図5.11。dcsite要素
REQUIRED. ENUM. The DCType attribute identifies the method of data collection as determined through the analysis of the victim computer, lure, or malware. This attribute coupled with the DCSite content identifies the data collection site.
必要。列挙。DCType属性は、被害者コンピューター、ルアー、またはマルウェアの分析を通じて決定されたデータ収集の方法を識別します。DCSiteコンテンツと組み合わせたこの属性は、データ収集サイトを識別します。
1. web. The user is redirected to a website to collect the data.
1. ウェブ。ユーザーは、データを収集するためにウェブサイトにリダイレクトされます。
2. email. The victim sends an email with credentials enclosed.
2. Eメール。被害者は、資格情報が囲まれた電子メールを送信します。
3. keylogger. Some form of keylogger is downloaded to the victim.
3. キーロガー。何らかの形のキーロガーが被害者にダウンロードされます。
4. automation. Other forms of automatic data collection, such as background Object Linking and Embedding (OLE) automation, are used to capture information on the user's machine.
4. オートメーション。バックグラウンドオブジェクトのリンクと埋め込み(OLE)自動化など、他の形式の自動データ収集は、ユーザーのマシン上の情報をキャプチャするために使用されます。
5. unspecified.
5. 不特定。
REQUIRED. The DCSite element contains the IP address, URL, email site, or other identifier of the credential or data collection site. The Domain choice may be used to identify entire "phishy" domains like those used for the RockPhish and related malware. Each DCSite element also includes a confidence attribute to convey the reporter's assessment of their confidence that this DCSite element is valid and involved with this event. The confidence value is a per-DCSite value, as multiple-site data collectors may have different confidence values.
必要。DCSite要素には、IPアドレス、URL、電子メールサイト、または資格情報またはデータ収集サイトのその他の識別子が含まれています。ドメインの選択は、ロックフィッシュおよび関連するマルウェアに使用されるような「フィッシー」ドメイン全体を識別するために使用できます。各DCSite要素には、このDCSite要素がこのイベントに有効で関係しているという自信をレポーターの評価に伝える信頼属性も含まれています。マルチサイトのデータコレクターには信頼値が異なる場合があるため、信頼値はDCサイトごとの値です。
The DCSite element is a choice of:
dcsite要素は次の選択です。
1. SiteURL. One value of iodef:MLStringType. This choice supports URIs and other web-based identifiers.
1. サイトのURL。IODEFの1つの値:mlstringType。この選択は、URISおよびその他のWebベースの識別子をサポートします。
2. Domain. One value of iodef:MLStringType. This choice allows the entry of a DNS domain name.
2. ドメイン。IODEFの1つの値:mlstringType。この選択により、DNSドメイン名の入力が可能になります。
3. EmailSite. One value of iodef:MLStringType. This choice includes an email address if the site used email communications.
3. 電子メールサイト。IODEFの1つの値:mlstringType。この選択には、サイトが電子メール通信を使用した場合のメールアドレスが含まれています。
4. iodef:Address. One value of iodef:Address element. This choice is used to capture the IP address of a site.
4. IODEF:アドレス。IODEFの1つの値:アドレス要素。この選択は、サイトのIPアドレスをキャプチャするために使用されます。
5. Unknown. One value of iodef:MLStringType. The unknown entry is used for exceptions to the preceding choices.
5. わからない。IODEFの1つの値:mlstringType。未知のエントリは、前の選択肢の例外に使用されます。
One value of INTEGER. The confidence attribute is a value between 0 and 100, representing the reporter's certainty that this is a genuine phishing site. A value of 0 represents a false positive; a value of 100 signifies that the reporter has independently verified this site.
整数の1つの値。信頼属性は0〜100の値であり、これが本物のフィッシングサイトであるという記者の確実性を表しています。0の値は誤検出を表します。100の値は、記者がこのサイトを独立して検証したことを意味します。
Zero or more values of iodef:Node. This element is used to identify the IP address(es) or DNS names associated with the DCSite element value.
IODEFのゼロ以上の値:ノード。この要素は、DCSite要素値に関連付けられたIPアドレス(ES)またはDNS名を識別するために使用されます。
Zero or one value of DomainData (Section 5.9.2). This element allows for the identification of data associated with the data collection site.
domainDataのゼロまたは1つの値(セクション5.9.2)。この要素により、データ収集サイトに関連付けられたデータの識別が可能になります。
Zero or one value of iodef:Assessment. This element is used to designate different confidence levels of multiple-site data collectors.
IODEFのゼロまたは1つの値:評価。この要素は、複数サイトのデータコレクターの異なる信頼レベルを指定するために使用されます。
Zero or more TakeDownInfo elements. This element identifies the agent or agency that performed the removal, DNS domain disablement, or ISP-blockage of the phish or fraud collector site. A PhraudReport may have multiple TakeDownInfo elements to support activities where multiple takedown activities are involved on different dates. Note that the term "agency" is used to identify any party performing the blocking or removal, such as ISPs or private parties, and not just government entities.
ゼロ以上のtakedowninfo要素。この要素は、除去、DNSドメインの無効化、またはPhishまたは詐欺コレクターサイトのISPブロックを実行したエージェントまたは代理店を識別します。Phraudreportには、複数のテイクダウンアクティビティがさまざまな日付に関係するアクティビティをサポートするために、複数のTakedownInfo要素がある場合があります。「代理店」という用語は、政府機関だけでなく、ISPや民間当事者など、ブロッキングまたは除去を実行する当事者を特定するために使用されることに注意してください。
The TakeDownInfo element allows one date element with multiple TakeDownAgency and Comment elements to support operations using multiple agencies.
TakedownInfo要素により、複数のTakedOwnagencyを備えた1つの日付要素が許可され、複数の機関を使用した運用をサポートする要素がコメントできます。
+-------------------+
| TakeDownInfo |
+-------------------+
| |<>---(0..1)--[ TakeDownDate ]
| |<>---(0..*)--[ TakeDownAgency ]
| |<>---(0..*)--[ TakeDownComments ]
+-------------------+
Figure 5.12. The TakeDownInfo Element
図5.12。Takedowninfo要素
Zero or one value of DATETIME. This is the date and time that takedown of the collector site occurred.
ゼロまたは1つのデータの値。これは、コレクターサイトのテイクダウンが発生した日時です。
Zero or more iodef:MLStringType elements. This is a free-form string identifying the agency, corporation, or cooperative that performed the takedown.
ゼロ以上IODEF:mlstringType要素。これは、テイクダウンを実行した代理店、企業、または協同組合を識別する自由形式の文字列です。
Zero or more iodef:MLStringType elements. A free-form field to add any additional details of this takedown effort or to identify parties that assisted in the effort at an Internet Service Provider (ISP), Computer Emergency Response Team (CERT), or DNS registry.
ゼロ以上IODEF:mlstringType要素。このテイクダウンの取り組みの追加の詳細を追加するためのフリーフォームフィールド、またはインターネットサービスプロバイダー(ISP)、コンピューター緊急対応チーム(CERT)、またはDNSレジストリでの努力を支援した当事者を特定するためのフリーフォームフィールド。
Zero or more values of the ArchivedData element are allowed.
ArchivedData要素のゼロ以上の値が許可されています。
+-------------------+
| ArchivedData |
+-------------------+
| ENUM type |<>---(0..1)--[ URL ]
| |<>---(0..1)--[ Comments ]
| |<>---(0..1)--[ Data ]
+-------------------+
Figure 5.13. The ArchivedData Element
図5.13。ArchivedData要素
The ArchivedData URL element is populated with a pointer to the contents of a data collection site, base camp (i.e., development site), or other site used by a phisher. The ArchivedData Data element may also include a copy of the archived data recovered from a phishing system. This element will be populated when, for example, an ISP takes down a phisher's website and has copied the site data into an archive file.
ArchivedData URL要素には、データ収集サイト、ベースキャンプ(つまり、開発サイト)、またはPhisherが使用するその他のサイトの内容へのポインターが入力されています。ArchivedDataデータ要素には、フィッシングシステムから回収されたアーカイブデータのコピーも含まれている場合があります。この要素は、たとえばISPがPhisherのWebサイトを削除し、サイトデータをアーカイブファイルにコピーした場合に入力されます。
There are four types of archives currently supported, as specified in the type field.
タイプフィールドで指定されているように、現在サポートされている4つのタイプのアーカイブがあります。
REQUIRED. This parameter specifies the type of site data pointed to by the ArchivedData URL element, from the following list:
必要。このパラメーターは、次のリストから、ArchivedData URL要素によって指摘されたサイトデータのタイプを指定します。
1. collectionsite. The archive is a set of files from the collection site.
1. CollectionSite。アーカイブは、コレクションサイトのファイルのセットです。
2. basecamp. The contents of a criminal development site are included in the archive.
2. ベースキャンプ。刑事開発サイトの内容はアーカイブに含まれています。
3. sendersite. The archive is a set of files or data from a phishing lure sending site.
3. SenderSite。アーカイブは、フィッシングルアー送信サイトのファイルまたはデータのセットです。
4. credentialInfo. The included archives are recovered private credentials.
4. credentienceinfo。付属のアーカイブは、個人資格情報を回収します。
5. unspecified. The archive contents do not fit into one of the above categories and will be described in the DataComments element.
5. 不特定。アーカイブのコンテンツは、上記のカテゴリのいずれかに収まらないため、DataComments要素で説明されます。
Zero or one value of anyURL. As the archive of an entire site can be quite large, the URL element points to an Internet-based server where the actual content of the site archive can be retrieved. Note that this element just points out where the archive is and does not include the entire archive in the report. This is the URL where the archive file is located.
Anyurlのゼロまたは1つの値。サイト全体のアーカイブが非常に大きくなる可能性があるため、URL要素は、サイトアーカイブの実際のコンテンツを取得できるインターネットベースのサーバーを指します。この要素は、アーカイブがどこにあるかを指摘しているだけでなく、レポートにアーカイブ全体が含まれていないことに注意してください。これは、アーカイブファイルが配置されているURLです。
Zero or one value of iodef:MLStringType. This field is a free-form area for comments on the archive and/or URL.
IODEFのゼロまたは1つの値:mlStringType。このフィールドは、アーカイブやURLに関するコメントのための自由形式の領域です。
Zero or one value of xs:Base64Binary. This field contains a base64- encoded version of the data described in the comment field above.
XSのゼロまたは1つの値:base64binary。このフィールドには、上記のコメントフィールドで説明されているデータのbase64エンコードバージョンが含まれています。
Zero or more values of anyURI. This element allows the listing of other websites or net sites that are related to this incident (e.g., victim site, etc.).
Anyuriのゼロ以上の値。この要素により、このインシデントに関連する他のWebサイトまたはネットサイト(犠牲者サイトなど)のリストが可能になります。
Zero or more values of iodef:MLStringType. Any information that correlates this incident to other incidents can be entered here.
IODEFのゼロ以上の値:mlStringType。この事件を他のインシデントと相関させる情報は、ここに入力できます。
Zero or one value of iodef:MLStringType. This field allows for any comments specific to this PhraudReport that do not fit in any other field.
IODEFのゼロまたは1つの値:mlStringType。このフィールドは、他のフィールドに適合しないこのPhraudreportに固有のコメントを可能にします。
This element supports the inclusion of the actual email message received as a phishing lure. Inclusion of the actual mail message is supported by two methods: either the message may be included as one large string, or the header and body components may be dissected and included as a series of strings.
この要素は、フィッシングルアーとして受信した実際の電子メールメッセージを含めることをサポートしています。実際のメールメッセージを含めることは、2つの方法でサポートされています。メッセージを1つの大きな文字列として含めるか、ヘッダーとボディコンポーネントを分析して一連の文字列として含めることができます。
+--------------------+
| EmailRecord |
+--------------------+
| |<>--------------[ EmailCount ]
| |<>--(0..1)------[ EmailMessage ]
| |<>--(0..1)------[ EmailComments ]
+--------------------+
Figure 5.14. The EmailRecord Element
図5.14。電子メールレコード要素
REQUIRED. INTEGER. This field enumerates the number of email messages identified in this record as detected by the reporter.
必要。整数。このフィールドは、レポーターによって検出されたこのレコードで特定された電子メールメッセージの数を列挙します。
Zero or one value of iodef:MLStringType. The entire SMTP mail message -- rfc822 header followed by body, as specified in [RFC5322] -- should be inserted as one large text string. In some communities, this combination is known as the message contents and full headers.
IODEFのゼロまたは1つの値:mlStringType。[RFC5322]で指定されているように、SMTPメールメッセージ全体 - RFC822ヘッダーとボディがそれに続くボディを1つの大きなテキスト文字列として挿入する必要があります。一部のコミュニティでは、この組み合わせはメッセージコンテンツとフルヘッダーとして知られています。
Zero or one value of iodef:MLStringType elements. This field contains comments or relevant data not placed elsewhere about the phishing email.
IODEFのゼロまたは1つの値:mlStringType要素。このフィールドには、フィッシングメールについて他の場所に配置されていないコメントまたは関連するデータが含まれています。
A report about fraud or phishing requires certain identifying information that is contained within the standard IODEF Incident data structure and the PhraudReport extensions. The following table identifies attributes required to be present in a compliant PhraudReport to report phishing or fraud. The required attributes are a combination of those required by the base IODEF element, as shown in Figure 6.1, and those required by this document, shown in Figure 6.2. Attributes identified as required SHALL be populated in conforming phishing activity reports.
詐欺またはフィッシングに関するレポートでは、標準のIODEFインシデントデータ構造とPhraudreport拡張に含まれる特定の識別情報が必要です。次の表は、フィッシングまたは詐欺を報告するために準拠したフラードレポートに存在するために必要な属性を識別します。必要な属性は、図6.1に示すように、ベースIODEF要素で必要な属性と、図6.2に示すこのドキュメントで必要な属性の組み合わせです。必要に応じて識別される属性は、フィッシング活動の報告書に適合することに存在するものとします。
A compliant IODEF PhraudReport SHALL contain the following elements and attributes:
準拠したIODEF Phraudreportには、次の要素と属性が含まれているものとします。
+--------------+
| Incident |
+--------------+
| ENUM Purpose |---[ IncidentID ]
| |---[ ReportTime ]
| |---[ Assessment ]
| | ---> [ Impact ]
| |---[ Contact ]
| | ---> [ @type ]
| | ---> [ @role ]
| | ---> [ * ]
| |---[ EventData ]
| | ---> [ DetectTime ]
| | ---> [ AdditionalData ]
| | ---> [ PhraudReport ]
+--------------+
Figure 6.1. IODEF Required Classes for a PhraudReport
図6.1。iodefは、Phraudreportにクラスを必要としました
+----------------+
| PhraudReport |
+----------------+
| ENUM FraudType |---[ LureSource ]
| STRING Version | ---> [ iodef:System ]
| |---[ OriginatingSensor ]
| | --> [ DateFirstSeen ]
| | --> [ iodef:System ]
| | --> [ iodef:Node ]
| |
+----------------+
Figure 6.2. PhraudReport Required Elements
図6.2。Phraudreport要素が必要です
* Note that the iodef:Contact element is required, but none of its sub-elements are required. For proper XML correctness, one of the sub-elements is required; pick one.
* IODEF:連絡先要素が必要であることに注意してくださいが、そのサブ要素はどれも必要ありません。適切なXMLの正確性には、サブエレメントの1つが必要です。一つを選ぶ。
It may be apparent that the mandatory attributes for a PhraudReport make for a quite sparse report. As incident forensics and data analysis require detailed information, the originator of a PhraudReport SHOULD include any tidbit of information gleaned from the attack analysis. Information that is considered sensitive can be marked as such using the restriction parameter of each data element.
Phraudreportの必須属性が非常にまばらなレポートを作成することは明らかかもしれません。インシデントフォレンジックとデータ分析には詳細情報が必要なため、Phraudreportの創始者には、攻撃分析から収集された情報の情報を含める必要があります。機密性が高いと見なされる情報は、各データ要素の制限パラメーターを使用して、そのようにマークすることができます。
The reporting party is encouraged to provide more than just the minimally required data elements about an event in a PhraudReport. The additional information may be volatile and not recoverable in the future, and may be useful in answering investigation questions or in performing correlation with other reported events.
報告当事者は、Phraudreportでのイベントに関する最小限に必要なデータ要素以上のものを提供することをお勧めします。追加情報は揮発性であり、将来回収できない場合があり、調査の質問に答えるため、または他の報告されたイベントとの相関を実行するのに役立つ場合があります。
This document specifies a format for encoding a particular class of security incidents appropriate for exchange across organizations. As merely a data representation, it does not directly introduce security issues. However, it is guaranteed that parties exchanging instances of this specification will have certain concerns. For this reason, the underlying message format and transport protocol used MUST ensure the appropriate degree of confidentiality, integrity, and authenticity for the specific environment.
このドキュメントは、組織間の交換に適した特定のクラスのセキュリティインシデントをエンコードするための形式を指定します。単なるデータ表現として、セキュリティの問題は直接導入されません。ただし、この仕様のインスタンスを交換する当事者が特定の懸念を抱えることが保証されています。このため、使用される基礎となるメッセージ形式と輸送プロトコルは、特定の環境の適切な秘密性、完全性、および信頼性を確保する必要があります。
Organizations that exchange data using this document are URGED to develop operating procedures that document the following areas of concern.
このドキュメントを使用してデータを交換する組織は、以下の懸念領域を文書化する操作手順を開発することをお勧めします。
The critical security concerns are that phishing activity reports may be falsified or the PhraudReport may become corrupt during transit. In areas where transmission security or secrecy is questionable, the application of a digital signature and/or message encryption on each report will counteract both of these concerns. We expect that each exchanging organization will determine the need, and mechanism, for transport protection.
重要なセキュリティ上の懸念は、フィッシング活動の報告が偽造されるか、輸送中にフラードレポートが破損する可能性があることです。送信セキュリティまたは秘密が疑わしい領域では、各レポートにデジタル署名やメッセージ暗号化を適用することで、これらの懸念の両方に対抗します。各交換組織が輸送保護の必要性とメカニズムを決定することを期待しています。
In some instances, data values in particular elements may contain data deemed sensitive by the reporter. Although there are no general-purpose rules on when to mark certain values as "private" or "need-to-know" via the iodef:restriction attribute, the reporter is cautioned not to apply element-level sensitivity markings unless they believe the receiving party (i.e., the party they are exchanging the event report data with) has a mechanism to adequately safeguard and process the data as marked. For example, if the PhraudReport element is marked private and contains a phishing collector URL in the DCSite/SiteURL element, can that URL be included within a block list distributed to other parties? No guidance is provided here except to urge exchanging parties to review the IODEF and PhraudReport documents to decide on common marking rules.
場合によっては、特定の要素のデータ値には、レポーターが感受性とみなされるデータが含まれる場合があります。IODEF:制限属性を介して特定の値を「プライベート」または「知る必要がある」とマークする時期に関する汎用規則はありませんが、レポーターは、受信を信じない限り、要素レベルの感度マークを適用しないように注意してください当事者(つまり、彼らがイベントレポートデータを交換している当事者)には、マークされたようにデータを適切に保護し、処理するメカニズムがあります。たとえば、Phraudreport要素がプライベートとマークされ、DCSite/SiteURL要素にフィッシングコレクターURLが含まれている場合、そのURLは他の関係者に配布されたブロックリストに含めることができますか?ここでは、IODEFおよびPhraudreport文書を確認するために、一般的なマーキングルールを決定するために当事者の交換を促すことを除いて、ここではガイダンスは提供されていません。
This document uses URNs to describe XML namespaces and XML schemas conforming to a registry mechanism described in [RFC3688].
このドキュメントでは、URNSを使用して、[RFC3688]に記載されているレジストリメカニズムに準拠したXMLネームスペースとXMLスキーマを記述します。
Registration request for the IODEF phishing namespace:
IODEFフィッシングネームスペースの登録リクエスト:
URI: urn:ietf:params:xml:ns:iodef-phish-1.0
Registrant Contact: See the "Authors' Addresses" section of this document.
登録者の連絡先:このドキュメントの「著者のアドレス」セクションを参照してください。
XML: None.
XML:なし。
Registration request for the IODEF phishing extension XML schema:
IODEFフィッシングエクステンションXMLスキーマの登録リクエスト:
URI: urn:ietf:params:xml:schema:iodef-phish-1.0
Registrant Contact: See the "Authors' Addresses" section of this document.
登録者の連絡先:このドキュメントの「著者のアドレス」セクションを参照してください。
XML: See Appendix A, "Phishing Extensions XML Schema", of this document.
XML:このドキュメントの付録A、フィッシング拡張XMLスキーマ」を参照してください。
The extensions are an outgrowth of the Anti-Phishing Working Group (APWG) activities in data collection and sharing of phishing and other e-crimeware. (The APWG has no relationship to an IETF working group.)
拡張は、フィッシングおよびその他のe-crimewareのデータ収集と共有におけるアンチフィッシングワーキンググループ(APWG)活動の成長です。(APWGはIETFワーキンググループとの関係はありません。)
This document has received significant assistance from members of the IETF INCH working group and two groups addressing the phishing problem: members of the APWG and participants in the Financial Services Technology Consortium's Counter-Phishing project. A special thanks goes to the hardy people who supplied valuable feedback after using this format to report phishing.
この文書は、IETFインチワーキンググループのメンバーとフィッシングの問題に対処する2つのグループから大きな支援を受けています。APWGのメンバーとFinancial Services Technology Consortiumのカウンターフィッシングプロジェクトの参加者です。この形式を使用してフィッシングを報告した後に貴重なフィードバックを提供した丈夫な人々に特別な感謝を捧げます。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC3275] Eastlake, D., Reagle, J., and D. Solo, "(Extensible Markup Language) XML-Signature Syntax and Processing", RFC 3275, March 2002.
[RFC3275] EastLake、D.、Reagle、J。、およびD. Solo、「(拡張可能なマークアップ言語)XML-Signature構文と処理」、RFC 3275、2002年3月。
[RFC3982] Newton, A. and M. Sanz, "IRIS: A Domain Registry (dreg) Type for the Internet Registry Information Service (IRIS)", RFC 3982, January 2005.
[RFC3982] Newton、A。およびM. Sanz、「IRIS:インターネットレジストリ情報サービス(IRIS)のドメインレジストリ(DREG)タイプ」、RFC 3982、2005年1月。
[RFC5070] Danyliw, R., Meijer, J., and Y. Demchenko, "The Incident Object Description Exchange Format", RFC 5070, December 2007.
[RFC5070] Danyliw、R.、Meijer、J。、およびY. Demchenko、「インシデントオブジェクト説明交換形式」、RFC 5070、2007年12月。
[SHA] National Institute of Standards and Technology, U.S. Department of Commerce, "Secure Hash Standard", FIPS 180-2, August 2002.
[SHA]国立標準技術研究所、米国商務省、「Secure Hash Standard」、Fips 180-2、2002年8月。
[KB310516] Microsoft Corporation, "How to add, modify, or delete registry subkeys and values by using a registration entries (.reg) file", December 2007.
[KB310516] Microsoft Corporation、「登録エントリ(.REG)ファイルを使用して、レジストリサブキーと値を追加、変更、または削除する方法」、2007年12月。
[RFC3688] Mealling, M., "The IETF XML Registry", RFC 3688, January 2004.
[RFC3688] Mealling、M。、「IETF XMLレジストリ」、RFC 3688、2004年1月。
[RFC5322] Resnick, P., "Internet Message Format", RFC 5322, October 2008.
[RFC5322] Resnick、P。、「インターネットメッセージ形式」、RFC 5322、2008年10月。
<?xml version="1.0" encoding="UTF-8"?>
<xs:schema attributeFormDefault="unqualified"
elementFormDefault="qualified"
targetNamespace="urn:ietf:params:xml:ns:iodef-phish-1.0"
xmlns="urn:ietf:params:xml:ns:iodef-1.0"
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:phish="urn:ietf:params:xml:ns:iodef-phish-1.0"
xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0"
xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<xs:import namespace="http://www.w3.org/2000/09/xmldsig#"
schemaLocation=
"http://www.w3.org/TR/2002/REC-xmldsig-core-20020212
/xmldsig-core-schema.xsd"/>
<!--
==========================================================
=== Top-Level Class: PhraudReport ===
==========================================================
It is incorporated within an IODEF.Incident.EventData.AdditionalData element.
Iodef.incident.eventdata.additionaldata要素に組み込まれています。
All the top-level or major elements are defined as xs:types to make future extension easier.
すべてのトップレベルまたは主要な要素は、XSとして定義されます。将来の拡張機能を容易にするタイプ。
-->
- >
<xs:element name="PhraudReport">
<xs:complexType>
<xs:sequence>
<xs:element minOccurs="0" name="PhishNameRef"
type="iodef:MLStringType"/>
<xs:element minOccurs="0" name="PhishNameLocalRef"
type="iodef:MLStringType"/>
<xs:element minOccurs="0" name="FraudParameter"
type="iodef:MLStringType"/>
<xs:element maxOccurs="unbounded" minOccurs="0"
name="FraudedBrandName" type="iodef:MLStringType"/>
<xs:element maxOccurs="unbounded" minOccurs="1"
name="LureSource" type="phish:LureSource.type"/>
<xs:element maxOccurs="unbounded" minOccurs="1"
name="OriginatingSensor"
type="phish:OriginatingSensor.type"/>
<xs:element maxOccurs="1" minOccurs="0" name="EmailRecord"
type="phish:EmailRecord.type"/>
<xs:element maxOccurs="unbounded" minOccurs="0"
name="DCSite" type="phish:DCSite.type"/>
<xs:element maxOccurs="unbounded" minOccurs="0"
ref="phish:TakeDownInfo"/>
<xs:element maxOccurs="unbounded" minOccurs="0"
ref="phish:ArchivedData"/>
<xs:element maxOccurs="unbounded" minOccurs="0"
name="RelatedData" type="xs:anyURI"/>
<xs:element maxOccurs="unbounded" minOccurs="0"
name="CorrelationData" type="iodef:MLStringType"/>
<xs:element maxOccurs="1" minOccurs="0" name="PRComments"
type="iodef:MLStringType"/>
</xs:sequence>
<xs:attribute default="1.0" name="Version" use="optional"/>
<xs:attribute name="FraudType" type="phish:FraudType.type"
use="required"/>
<xs:attribute name="ext-value" type="xs:string" use="optional"/>
</xs:complexType>
</xs:element>
<xs:simpleType name="FraudType.type">
<xs:restriction base="xs:string">
<xs:enumeration value="phishing"/>
<xs:enumeration value="recruiting"/>
<xs:enumeration value="malware distribution"/>
<xs:enumeration value="fraudulent site"/>
<xs:enumeration value="dnsspoof"/>
<xs:enumeration value="archive"/>
<xs:enumeration value="other"/>
<xs:enumeration value="unknown"/>
<xs:enumeration value="ext-value"/>
</xs:restriction>
</xs:simpleType>
<!--
==========================================================
=== End of the Top-Level Element ===
==========================================================
-->
<!--
==========================================================
=== The LureSource Element ===
==========================================================
-->
<xs:complexType mixed="false" name="LureSource.type">
<xs:sequence>
<xs:element maxOccurs="unbounded" minOccurs="1"
ref="iodef:System"/>
<xs:element minOccurs="0" maxOccurs="unbounded"
ref="phish:DomainData"/>
<xs:element minOccurs="0" name="IncludedMalware"
type="phish:IncludedMalware.type"/>
<xs:element minOccurs="0" name="FilesDownloaded">
<xs:complexType>
<xs:sequence>
<xs:element minOccurs="1" name="File"
type="iodef:MLStringType"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:element minOccurs="0" name="WindowsRegistryKeysModified">
<xs:complexType>
<xs:sequence>
<xs:element maxOccurs="unbounded" name="Key">
<xs:complexType>
<xs:sequence>
<xs:element name="Name" type="xs:string"/>
<xs:element name="Value" type="xs:string"/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:sequence>
</xs:complexType>
<!--
=== LureSource sub-elements ===
-->
<xs:complexType name="IncludedMalware.type">
<xs:sequence>
<xs:element name="Name"
maxOccurs="unbounded" type="iodef:MLStringType"/>
<xs:element minOccurs="0" ref="ds:Reference"/>
<xs:element minOccurs="0" name="Data">
<xs:complexType >
<xs:simpleContent>
<xs:extension base="xs:hexBinary">
<xs:attribute default="55AA55AA55AA55BB"
name="XORPattern" type="xs:hexBinary"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
</xs:sequence>
</xs:complexType>
<!--
===========================================================
=== The EmailRecord Element ===
===========================================================
-->
<xs:complexType name="EmailRecord.type">
<xs:sequence>
<xs:element name="EmailCount" type="xs:integer"/>
<xs:element maxOccurs="1" minOccurs="0" name="EmailMessage"
type="iodef:MLStringType"/>
<xs:element maxOccurs="1" minOccurs="0" name="EmailComments"
type="iodef:MLStringType"/>
</xs:sequence>
</xs:complexType>
<!--
===========================================================
=== The Data Collection Site (DCSite) Info Element ===
===========================================================
-->
<xs:complexType name="DCSite.type">
<xs:sequence>
<xs:choice>
<xs:element name="SiteURL">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="iodef:MLStringType">
<xs:attribute ref="phish:confidence"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Domain">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="iodef:MLStringType">
<xs:attribute ref="phish:confidence"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="EmailSite">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="iodef:MLStringType">
<xs:attribute ref="phish:confidence"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="System">
<xs:complexType id="SystemType">
<xs:sequence>
<xs:element ref="iodef:Address"/>
</xs:sequence>
<xs:attribute ref="phish:confidence"/>
</xs:complexType>
</xs:element>
<xs:element name="Unknown">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="iodef:MLStringType">
<xs:attribute ref="phish:confidence"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
</xs:choice>
<xs:element ref="iodef:Node" minOccurs="0" maxOccurs="unbounded"/>
<xs:element minOccurs="0" ref="phish:DomainData"/>
<xs:element minOccurs="0" ref="iodef:Assessment"/>
</xs:sequence>
<xs:attribute name="DCType" use="required">
<xs:simpleType>
<xs:restriction base="xs:string">
<xs:enumeration value="web"/>
<xs:enumeration value="email"/>
<xs:enumeration value="keylogger"/>
<xs:enumeration value="automation"/>
<xs:enumeration value="unspecified"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
</xs:complexType>
<!--
=================================================
==== The Domain Data Element used in System =====
=================================================
-->
<xs:element name="DomainData">
<xs:complexType id="DomainData.type">
<xs:sequence>
<xs:element maxOccurs="1"
name="Name" type="iodef:MLStringType"/>
<xs:element maxOccurs="1" minOccurs="0"
name="DateDomainWasChecked" type="xs:dateTime"/>
<xs:element maxOccurs="1" minOccurs="0" name="RegistrationDate"
type="xs:dateTime"/>
<xs:element maxOccurs="1" minOccurs="0" name="ExpirationDate"
type="xs:dateTime"/>
<xs:element maxOccurs="unbounded" minOccurs="0"
name="Nameservers">
<xs:complexType id="Nameservers.type">
<xs:sequence>
<xs:element name="Server" type="iodef:MLStringType"/>
<xs:element ref="iodef:Address" maxOccurs="unbounded"/>
</xs:sequence>
</xs:complexType>
</xs:element>
<xs:choice id="DomainContacts" maxOccurs="1" minOccurs="0">
<xs:element name="SameDomainContact"
type="iodef:MLStringType"/>
<xs:sequence>
<xs:element maxOccurs="unbounded" minOccurs="1"
ref="iodef:Contact"/>
</xs:sequence>
</xs:choice>
</xs:sequence>
<xs:attribute name="SystemStatus">
<xs:simpleType id="SystemStatus.type">
<xs:restriction base="xs:string">
<xs:enumeration value="spoofed"/>
<xs:enumeration value="fraudulent"/>
<xs:enumeration value="innocent-hacked"/>
<xs:enumeration value="innocent-hijacked"/>
<xs:enumeration value="unknown"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
<xs:attribute name="DomainStatus">
<xs:simpleType id="DomainStatus.type">
<xs:restriction base="xs:string">
<xs:enumeration value="reservedDelegation"/>
<xs:enumeration value="assignedAndActive"/>
<xs:enumeration value="assignedAndInactive"/>
<xs:enumeration value="assignedAndOnHold"/>
<xs:enumeration value="revoked"/>
<xs:enumeration value="transferPending"/>
<xs:enumeration value="registryLock"/>
<xs:enumeration value="registrarLock"/>
<xs:enumeration value="other"/>
<xs:enumeration value="unknown"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
</xs:complexType>
</xs:element>
<xs:element name="Confidence">
<xs:simpleType>
<xs:restriction base="xs:nonNegativeInteger">
<xs:minInclusive value="0"/>
<xs:maxInclusive value="100"/>
</xs:restriction>
</xs:simpleType>
</xs:element>
<xs:attribute name="confidence">
<xs:simpleType>
<xs:restriction base="xs:nonNegativeInteger">
<xs:minInclusive value="0"/>
<xs:maxInclusive value="100"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
<!--
=====================================================================
= ext-role Values for use within the DomainContact Contacts Element =
=====================================================================
-->
<xs:simpleType name="ext-role">
<xs:restriction base="xs:string">
<xs:enumeration value="billingContacts"/>
<xs:enumeration value="technicalContacts"/>
<xs:enumeration value="administrativeContacts"/>
<xs:enumeration value="legalContacts"/>
<xs:enumeration value="zoneContacts"/>
<xs:enumeration value="abuseContacts"/>
<xs:enumeration value="securityContacts"/>
<xs:enumeration value="otherContacts"/>
<xs:enumeration value="hostingProvider"/>
</xs:restriction>
</xs:simpleType>
<!--
=================================================
=== The OriginatingSensor Data Element ===
=================================================
-->
<xs:complexType name="OriginatingSensor.type">
<xs:sequence>
<xs:element name="DateFirstSeen" type="xs:dateTime"/>
<xs:element maxOccurs="unbounded" minOccurs="1"
ref="iodef:System"/>
</xs:sequence>
<xs:attribute name="OriginatingSensorType" use="required">
<xs:simpleType id="OriginatingSensorType.type">
<xs:restriction base="xs:NMTOKENS">
<xs:enumeration value="web"/>
<xs:enumeration value="webgateway"/>
<xs:enumeration value="mailgateway"/>
<xs:enumeration value="browser"/>
<xs:enumeration value="ispsensor"/>
<xs:enumeration value="human"/>
<xs:enumeration value="honeypot"/>
<xs:enumeration value="other"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
</xs:complexType>
<!--
======================================================
=== The TakeDown Data Structure ===
======================================================
-->
<xs:element name="TakeDownInfo" type="phish:TakeDownInfo.type"/>
<xs:complexType name="TakeDownInfo.type">
<xs:sequence>
<xs:element maxOccurs="1" minOccurs="0" name="TakeDownDate"
type="xs:dateTime"/>
<xs:element maxOccurs="unbounded" minOccurs="0"
name="TakeDownAgency" type="iodef:MLStringType"/>
<xs:element maxOccurs="unbounded" minOccurs="0"
name="TakeDownComments" type="iodef:MLStringType"/>
</xs:sequence>
</xs:complexType>
<!--
=========================================================
=== The ArchivedData Element ===
=========================================================
-->
<xs:element name="ArchivedData" type="phish:ArchivedData.type"/>
<xs:complexType name="ArchivedData.type">
<xs:sequence>
<xs:element minOccurs="0" name="URL" type="xs:anyURI"/>
<xs:element minOccurs="0" name="Comments"
type="iodef:MLStringType"/>
<xs:element maxOccurs="1" minOccurs="0" name="Data"
type="xs:base64Binary"/>
</xs:sequence>
<xs:attribute name="type" use="required">
<xs:simpleType id="ArchivedDataType.type">
<xs:restriction base="xs:NMTOKENS">
<xs:enumeration value="collectionsite"/>
<xs:enumeration value="basecamp"/>
<xs:enumeration value="sendersite"/>
<xs:enumeration value="credentialInfo"/>
<xs:enumeration value="unspecified"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
</xs:complexType>
</xs:schema>
This section shows a received electronic mail message that included a virus in a zipped attachment and a report that was generated for that message.
このセクションでは、ジップアタッチメントにウイルスを含む電子メールメッセージと、そのメッセージのために生成されたレポートが含まれています。
From: support@example.com
Sent: Friday, June 10, 2005 3:52 PM
To: someone@example.com
Subject: Account update
To: someone@example.com
Date: Sun, 10 June 2005 3:52:44 +0200
We would like to inform you that we have released a new version of our Customer Form. This form is required to be completed by all customers.
顧客フォームの新しいバージョンをリリースしたことをお知らせします。このフォームは、すべての顧客が完成させる必要があります。
Please follow these steps:
これらの手順に従ってください:
1.Open the form at http://www.example.com/customerservice/cform.php <http://www.2.example.com/customerservice/cform.php &email=(someone@example.com)> . 2.Follow given instructions.
1.フォームをhttp://www.example.com/customerservice/cform.php <http://www.2.example.com/customerservice/cform.php&amp; email =(honeine@example.com)>。2.指定された指示をフォローします。
Thank you, Our Support Team
サポートチームに感謝します
NOTE: Some wrapping and folding liberties have been applied to fit it into the margins.
注:マージンに適合するために、いくつかのラッピングおよび折りたたみ自由が適用されています。
<?xml version="1.0" encoding="UTF-8"?>
<IODEF-Document lang="en-US"
xmlns:phish="urn:ietf:params:xml:ns:iodef-phish-1.0"
xmlns="urn:ietf:params:xml:ns:iodef-1.0"
xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0">
<Incident purpose="reporting" ext-purpose="create">
<IncidentID name="example.com">PAT2005-06</IncidentID>
<ReportTime>2005-06-22T08:30:00-05:00</ReportTime>
<Description>This is a test report from actual data.
</Description>
<Assessment>
<Impact type="social-engineering"/>
<Confidence rating="high"/>
</Assessment>
<Contact role="creator" type="person">
<ContactName>patcain</ContactName>
<Email>pcain@coopercain.com</Email>
</Contact>
<EventData>
<DetectTime>2005-06-21T18:22:02-05:00</DetectTime>
<AdditionalData dtype="xml">
<phish:PhraudReport FraudType="phishing">
<phish:FraudParameter>
Subject: Account Update
</phish:FraudParameter>
<phish:FraudedBrandName>Cooper-Cain
</phish:FraudedBrandName>
<phish:LureSource>
<System category="source">
<Node>
<Address>192.0.2.18</Address>
</Node>
</System>
<phish:IncludedMalware>
<phish:Name>W32.Mytob.EA@mm</phish:Name>
</phish:IncludedMalware>
</phish:LureSource>
<phish:OriginatingSensor OriginatingSensorType="human">
<phish:DateFirstSeen>2005-06-10T15:52:11-05:00
</phish:DateFirstSeen>
<System>
<Node>
<Address>192.0.2.13</Address>
</Node>
</System>
</phish:OriginatingSensor>
<phish:EmailRecord>
<phish:EmailCount>1</phish:EmailCount>
<phish:EmailMessage>
Return-path: <support@example.com>
Envelope-to: someone@example.com
Delivery-date: Fri, 10 Jun 2005:52:11-0400
Received: from dsl18-2-0-192.dsl.example.net([192.0.2.18]
helo=example.com) by mail06.example.com esmtp (Exim) id
1DgpXy-0002Ua-IR for someone@example.com;,
10 Jun 2005 15:52:10-0400
From: support@example.com
To: someone@example.com
Subject: Account Update
Date: Fri, 10 Jun 2005 12:52:00 -0700
MIME-Version: 1.0
Content Type: text/plain;
charset="Windows-1251"
X-Priority: 3MSMail-Priority: Normal
X-EN-OrigIP: 192.0.2.18
EN-OrigHost: dsl18-2-0-192.dsl.example.net
Spam-Checker-Version: SpamAssassin 3.0.2 (2004-11-16)
on.example.net
X-Spam-Level: ***** X-Spam-Status: No,
score=5.6 required=6.0 tests=BAYES_95,CABLEDSL,HTML_20_30,
HTML_MESSAGE,MIME_HTML_ONLY,MISSING_MIMEOLE,
NO_REAL_NAME,
PRIORITY_NO_NAME autolearn=disabled version=3.0.2
From:support@example.com
Sent: Friday, June 10, 2005 3:52 PM
Subject: Account update
To: someone@example.com
Date: Sun, 10 June 2005 3:52:44 +0200
We would like to inform you that we have released a new version of our Customer Form. This form is required to be completed by all customers.
顧客フォームの新しいバージョンをリリースしたことをお知らせします。このフォームは、すべての顧客が完成させる必要があります。
Please follow these steps:
これらの手順に従ってください:
1.Open the form at http://www.example.com/customerservice/cform.php <http://www.2.example.com/customerservice/cform.php &email=(someone@example.com)> . 2.Follow given instructions.
1. http://www.example.com/customerservice/cform.php&lt; http://www.2.example.com/customerservice/cform.php&amp; email =(hone@example.com)>。2.指定された指示をフォローします。
Thank you,
Our Support Team
</phish:EmailMessage>
</phish:EmailRecord>
</phish:PhraudReport>
</AdditionalData>
</EventData>
</Incident>
</IODEF-Document>
A sample report generated from a received electronic mail phishing message in shown in this section.
このセクションに示されている電子メールフィッシングメッセージから生成されたサンプルレポート。
Return-path: <service@example.com>
Envelope-to: pcain@example.com
Delivery-date: Tue, 13 Jun 2006 05:37:22 -0400
Received: from mail15.example.com ([10.1.1.161]
helo=mail15.example.com)
by mailscan38.example.com with esmtp (Exim)
id 1Fq5Kr-0005wU-LT for pcain@example.com; Tue, 13 Jun 2006
05:37:21 -0400
Received: from [192.0.2.61] (helo=TSI)
by mail15.example.com with
esmtp (Exim) id 1Fq5Bj-0006dv-6b
for pcain@example.com; Tue, 13 Jun 2006 05:37:21 -0400
Received: from User ([192.0.2.157]) by TSI with
Microsoft SMTPSVC(5.0.2195.6713);
Tue, 13 Jun 2006 02:24:30 -0400
Reply-To: <nospam@example.org>
From: "company"<service@example.com>
Subject: * * * Update & Verify Your Example Company Account * * *
Date: Tue, 13 Jun 2006 02:36:34 -0400
MIME-Version: 1.0
Content-Type: text/html; charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Message-ID: <TSIlYbvhBISmT6QcWY90000085f@TSI>
X-OriginalArrivalTime: 13 Jun 2006 06:24:30.0218 (UTC)
FILETIME=[072A66A0:01C68EB2]
X-EN-OrigSender: service@example.com
X-EN-OrigIP: 192.0.2.1
X-EN-OrigHost: unknown
Company<http://www.example.com/images/company_logo.gif>
<http://www.example.com/images/pixel.gif>
<http://www.example.com/images/pixel.gif>
<http://www.example.com/images/pixel.gif>
Account Update Request
Dear Example. member:,
親愛なる例。メンバー:、
You are receiving this notification because company is required by law to notify you, that you urgently need to update your online account statement, due to high risks of fraud intentions.
詐欺の意図のリスクが高いため、会社はお客様に通知するために法律で義務付けられているため、オンラインアカウントステートメントを緊急に更新する必要があるため、この通知を受け取っています。
The updating of your example account can be done at any time by clicking on the link shown below http://www.example.com/cgi-bin/webscr?cmd=_login-run <http://192.0.2.41:8080/.cgi-bin/.webscr/.secure-login/%20/%20/.payp al.com/index.htm>
サンプルアカウントの更新は、http://www.example.com/cgi-bin/webscr?cmd=_login-run <http://192.0.2.41:8080080080080080080以下に示すリンクをクリックすることで、いつでも実行できます。/.cgi-bin/.webscr/.secure-login/%20/%20/.payp al.com/index.htm>
Once you log in, update your account information. After updating your account, click on the History sub tab of your Account Overview page to see your most recent statement.
ログインしたら、アカウント情報を更新します。アカウントを更新したら、アカウントの概要ページの履歴サブタブをクリックして、最新のステートメントを確認してください。
If you need help with your password, click the Help link that is at the upper righthand side of the company website. To report errors in your statement or make inquiries, click the Contact Us link in the footer on any page of the company website, call our Customer Service center at (999) 555-0167, or write us at:
パスワードのヘルプが必要な場合は、会社Webサイトの上部右側にあるヘルプリンクをクリックしてください。声明のエラーを報告するか、問い合わせを行うには、会社Webサイトの任意のページのフッターのお問い合わせリンクをクリックして、(999)555-0167のカスタマーサービスセンターに電話するか、次のことを書きます。
Company, Inc. P.O. Box 0 Anytown, MA 00000
Company、Inc。P.O.Box 0 Anytown、MA 00000
Sincerely,
心から、
Big Example Company
大きな例の会社
<http://www.example.com/images/dot_row_long.gif>
<?xml version="1.0" encoding="UTF-8"?>
<IODEF-Document xmlns:phish="urn:ietf:params:xml:ns:iodef-phish-1.0"
xmlns="urn:ietf:params:xml:ns:iodef-1.0"
xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0" lang="en-US">
<Incident purpose="mitigation" ext-purpose="create"
restriction="private">
<IncidentID name="example.com">CC200600000002</IncidentID>
<ReportTime>2006-06-13T21:14:56-05:00</ReportTime>
<Description>This is a sample phishing email received report.
The phish was actually received as is.</Description>
<Assessment>
<Impact severity="high" type="social-engineering"/>
<Confidence rating="numeric">85</Confidence>
</Assessment>
<Contact role="creator" type="person">
<ContactName>patcain</ContactName>
<Email>pcain@example.com</Email>
</Contact>
<EventData>
<DetectTime>2006-06-13T05:37:21-04:00</DetectTime>
<AdditionalData dtype="xml">
<phish:PhraudReport FraudType="phishing">
<phish:FraudParameter>
* * * Update & Verify Your Company Account * * *
</phish:FraudParameter>
<phish:FraudedBrandName>company</phish:FraudedBrandName>
<phish:LureSource>
<System category="source">
<Node>
<Address>192.0.2.4</Address>
</Node>
</System>
</phish:LureSource>
<phish:OriginatingSensor OriginatingSensorType="mailgateway">
<phish:DateFirstSeen>
2006-06-13T05:37:22-04:00</phish:DateFirstSeen>
<System>
<Node>
<NodeRole category="mail"/>
</Node>
</System>
</phish:OriginatingSensor>
<phish:EmailRecord>
<phish:EmailCount>1</phish:EmailCount>
<phish:EmailMessage>
Return-path: <service@example.com>
Envelope-to: pcain@example.com
Delivery-date: Tue, 13 Jun 2006 05:37:22 -0400
Received: from mail15.example.com ([10.1.1.161]
helo=mail15.example.com)
by mailscan38.example.com with esmtp (Exim)
id 1Fq5Kr-0005wU-LT for pcain@example.com; Tue, 13 Jun 2006
05:37:21 -0400
Received: from [192.0.2.61] (helo=TSI)
by mail15.example.com with
esmtp (Exim) id 1Fq5Bj-0006dv-6b
for pcain@example.com; Tue, 13 Jun 2006 05:37:21 -0400
Received: from User ([192.0.2.157]) by TSI with
Microsoft SMTPSVC(5.0.2195.6713);
Tue, 13 Jun 2006 02:24:30 -0400
Reply-To: <nospam@example.org>
From: "company"<service@example.com>
Subject: * * * Update & Verify Your Example Company Account * * *
Date: Tue, 13 Jun 2006 02:36:34 -0400
MIME-Version: 1.0
Content-Type: text/html; charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Message-ID: <TSIlYbvhBISmT6QcWY90000085f@TSI>
X-OriginalArrivalTime: 13 Jun 2006 06:24:30.0218 (UTC)
FILETIME=[072A66A0:01C68EB2]
X-EN-OrigSender: service@example.com
X-EN-OrigIP: 192.0.2.1
X-EN-OrigHost: unknown
<img src="http://www.example.com/images/company_logo.gif">
<img src="http://www.example.com/images/pixel.gif">
<img src="http://www.example.com/images/pixel.gif">
<img src="http://www.example.com/im/pixel.gif">
Account Update Request
Dear Example. member:, You are receiving this notification because company is required by law to notify you, that you urgently need to update your online account statement, due to high risks of fraud intentions.
親愛なる例。メンバー:、詐欺の意図のリスクが高いため、会社はあなたに通知するために法律で義務付けられているため、オンラインアカウントステートメントを緊急に更新する必要があるため、この通知を受け取っています。
The updating of your example account can be done at any time by
clicking on the link shown below
<a href="http://192.0.2.41:8080/.cgi-bin/.webscr/.secure-
login/%20/%20/.example.com/index.htm">
http://www.example.com/cgi-bin/webscr?cmd=_login-run </a>
Once you log in,update your account information. After updating your account click on the History sub tab of your Account Overview page to see your most recent statement.
ログインしたら、アカウント情報を更新します。アカウントを更新したら、アカウントの概要ページの履歴サブタブをクリックして、最新のステートメントを確認してください。
If you need help with your password, click the Help link which is at the upper right hand side of the company website. To report errors in your statement or make inquiries, click the Contact Us link in the footer on any page of the company website, call our Customer Service center at (999) 555-0167, or write us at:
パスワードのヘルプが必要な場合は、会社のWebサイトの右上にあるヘルプリンクをクリックしてください。声明のエラーを報告するか、問い合わせを行うには、会社Webサイトの任意のページのフッターのお問い合わせリンクをクリックして、(999)555-0167のカスタマーサービスセンターに電話するか、次のことを書きます。
Company, Inc. P.O. Box 0 Anytown, MA 00000
Company、Inc。P.O.Box 0 Anytown、MA 00000
Sincerely,
心から、
Big Example Company
大きな例の会社
<img src="http://www.example.com/images/dot_row_long.gif">
</phish:EmailMessage>
</phish:EmailRecord>
<phish:DCSite DCType="web">
<phish:SiteURL>http://190.0.2.41:8080/.cgi-bin/.webscr/.secure-
login/%20%20/.example.com/index.htm</phish:SiteURL>
<phish:DomainData DomainStatus="assignedAndActive"
SystemStatus="unknown">
<phish:Name>bad.example.com</phish:Name>
<phish:DateDomainWasChecked>2006-06-14T13:05:00-05:00
</phish:DateDomainWasChecked>
<phish:RegistrationDate>
2000-12-13T00:00:00</phish:RegistrationDate>
<phish:Nameservers>
<phish:Server>ns1.example.net</phish:Server>
<Address>192.0.2.18</Address>
</phish:Nameservers>
</phish:DomainData>
</phish:DCSite>
</phish:PhraudReport>
</AdditionalData>
</EventData>
</Incident>
</IODEF-Document>
Authors' Addresses
著者のアドレス
Patrick Cain The Cooper-Cain Group, Inc. P.O. Box 400992 Cambridge, MA 02140 USA
Patrick Cain The Cooper-Cain Group、Inc。P.O.ボックス400992ケンブリッジ、マサチューセッツ州02140 USA
EMail: pcain@coopercain.com
David Jevans The Anti-Phishing Working Group 5150 El Camino Real, Suite A20 Los Altos, CA 94022 USA
David Jevans The Anti-Phising Working Group 5150 El Camino Real、Suite A20 Los Altos、CA 94022 USA
EMail: dave.jevans@antiphishing.org