Internet Engineering Task Force (IETF)                           P. Cain
Request for Comments: 5901                   The Cooper-Cain Group, Inc.
Category: Standards Track                                      D. Jevans
ISSN: 2070-1721                          The Anti-Phishing Working Group
                                                               July 2010
        
     Extensions to the IODEF-Document Class for Reporting Phishing
        

Abstract

抽象

This document extends the Incident Object Description Exchange Format (IODEF) defined in RFC 5070 to support the reporting of phishing events, which is a particular type of fraud. These extensions are flexible enough to support information gleaned from activities throughout the entire electronic fraud cycle -- from receipt of the phishing lure to the disablement of the collection site. Both simple reporting and complete forensic reporting are possible, as is consolidating multiple incidents.

この文書では、不正行為の特定のタイプであるイベントをフィッシングの報告を、サポートするために、RFC 5070で定義された事件オブジェクト説明交換フォーマット(IODEF)を拡張します。これらの拡張機能は、全体の電子詐欺サイクル全体での活動から収集された情報をサポートするのに十分な柔軟性があり - フィッシングルアーの領収書から収集サイトの無効化に。複数の事件を統合されたとしても、簡単な報告と完全な法医学報告は、可能です。

Status of This Memo

このメモのステータス

This is an Internet Standards Track document.

これは、インターネット標準化過程文書です。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.

このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。インターネット標準の詳細については、RFC 5741のセクション2で利用可能です。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5901.

このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc5901で取得することができます。

Copyright Notice

著作権表示

Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.

著作権(C)2010 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。

Table of Contents

目次

   1. Introduction ....................................................3
      1.1. Why a Common Report Format Is Needed .......................3
      1.2. Processing of Exchanged Data Not Defined ...................4
      1.3. Relation to the INCH IODEF Data Model ......................4
   2. Terminology Used in This Document ...............................4
      2.1. Requirements Language ......................................5
   3. Interesting Fraud Event Data ....................................5
      3.1. The Elements of a Phishing/Fraud Event .....................6
      3.2. Useful Data Items in a Fraud Event .........................7
   4. Fraud Activity Reporting via IODEF-Documents ....................8
      4.1. Fraud Report Types .........................................8
      4.2. Fraud Report XML Representation ............................9
      4.3. Syntactical Correctness of Fraud Activity Reports ..........9
   5. PhraudReport Element Definitions ...............................10
      5.1. PhraudReport Structure ....................................10
      5.2. Reuse of IODEF-Defined Elements ...........................11
      5.3. Element and Attribute Specification Format ................11
      5.4. Version Attribute .........................................12
      5.5. FraudType Attribute .......................................12
      5.6. PhishNameRef Element ......................................13
      5.7. PhishNameLocalRef Element .................................13
      5.8. FraudedBrandName Element ..................................13
      5.9. LureSource Element ........................................14
      5.10. OriginatingSensor Element ................................22
      5.11. The DCSite Element .......................................23
      5.12. TakeDownInfo Element .....................................25
      5.13. ArchivedData Element .....................................27
      5.14. RelatedData Element ......................................28
      5.15. CorrelationData Element ..................................28
      5.16. PRComments Element .......................................28
      5.17. EmailRecord Element ......................................28
   6. Mandatory IODEF and PhraudReport Elements ......................29
      6.1. Guidance on Usage .........................................30
   7. Security Considerations ........................................31
      7.1. Transport-Specific Concerns ...............................31
      7.2. Using the iodef:restriction Attribute .....................31
   8. IANA Considerations ............................................32
   9. Contributors ...................................................32
   10. References ....................................................32
      10.1. Normative References .....................................32
      10.2. Informative References ...................................33
   Appendix A.  Phishing Extensions XML Schema .......................34
   Appendix B.  Example Virus Report .................................43
      B.1.  Received Email ...........................................43
      B.2.  Generated Report .........................................44
        
   Appendix C.  Sample Phishing Report ...............................46
      C.1.  Received Lure ............................................46
      C.2.  Phishing Report ..........................................48
        
1. Introduction
1. はじめに

Deception activities, such as receiving an email purportedly from a bank requesting you to confirm your account information, are an expanding attack type on the Internet. The terms "phishing" and "fraud" are used interchangeably in this document to characterize broadly-launched social engineering attacks in which an electronic identity is misrepresented in an attempt to trick individuals into revealing their personal credentials (e.g., passwords, account numbers, personal information, ATM PINs, etc.). A successful phishing attack on an individual allows the phisher (i.e., the attacker) to exploit the individual's credentials for financial or other gain. Phishing attacks have morphed from directed email messages from alleged financial institutions to more sophisticated lures that may also include malware.

そのようなアカウント情報を確認するように要求銀行からうわさによれば、電子メールを受信したとして、詐欺の活動は、インターネット上で拡大して攻撃タイプです。用語「フィッシング」や「詐欺」は、電子アイデンティティは、個人、個人の資格情報(たとえば、パスワード、口座番号を明らかに個人をだまししようとする試みに誤って伝えられた広く-立ち上げ、ソーシャルエンジニアリング攻撃を特徴づけるために、本書では交換可能に使用されます情報、ATMのPINなど)。個々に成功したフィッシング攻撃は、フィッシャー(すなわち、攻撃者は)財務またはその他の利益のために個人の資格情報を利用することができます。フィッシング攻撃は、マルウェアを含むことがより洗練されたルアーに疑惑の金融機関からの指示の電子メールメッセージからモーフィングしています。

This document defines a data format extension to the Incident Object Description Exchange Format (IODEF) [RFC5070] that can be used to describe information about a phishing or other type of fraudulent incident. Sections 2 and 3 of this document provides an overview of the terminology and process of a phishing event. Section 4 introduces the high-level report format and how to use it. Sections 5 and 6 describe the data elements of the fraud extensions. The appendices include an XML schema for the extensions and a few example fraud reports.

この文書では、フィッシングや詐欺事件の他のタイプについての情報を記述するために使用することができるインシデントオブジェクト説明交換フォーマット(IODEF)[RFC5070]へのデータ形式の拡張子を定義します。このドキュメントのセクション2及び3は、フィッシングイベントの用語とプロセスの概要を提供します。第4章では、高レベルのレポート形式とその使用方法を紹介します。セクション5と6は、詐欺の拡張子のデータ要素について説明します。付録には、拡張機能や、いくつかの例詐欺レポートのXMLスキーマが含まれています。

The extensions defined in this document may be used to report the social engineering victim lure, the collection site, credential targeted ("spear") phishing, broad multi-recipient phishing, and other evolving Internet-based fraud attempts. Malware and other malicious software included within the lure may also be included within the report.

この文書で定義された拡張は、ソーシャルエンジニアリングの被害者のルアー、収集場所、(「槍」)フィッシング対象資格、幅広いマルチ受信者のフィッシング、およびその他の進化インターネットベースの詐欺の試みを報告するために使用することができます。マルウェアやルアーの中に含まれる他の悪意のあるソフトウェアは、レポート内に含まれてもよいです。

1.1. Why a Common Report Format Is Needed
1.1. 一般的なレポート形式が必要な理由

To combat the rise in malicious activity on the Internet, service providers and investigative agencies are sharing more and more network and event data in a coordinated effort to identify perpetrators and compromised accounts, coordinate responses, and prosecute attackers. As the number of data-sharing parties increases, the number of party-specific tools, formats, and definitions multiply rapidly until they overwhelm the investigative and coordination abilities of those parties.

インターネット上の悪意のある活動の上昇に対抗するために、サービスプロバイダや調査機関は、加害者と妥協のアカウントを特定の応答を調整し、攻撃者を起訴する協調努力の中で、より多くのネットワークやイベントデータを共有しています。彼らは、これらの当事者の調査と調整能力を圧倒するまで、データ共有、当事者の数が増えると、パーティ固有のツール、フォーマット、および定義の数は急速に増殖します。

By using a common format, it becomes easier for an organization to engage in this coordination as well as correlation of information from multiple data sources or products into a cohesive view. As the number of data sources increases, a common format becomes even more important, since multiple tools would be needed to interpret the different sources of data. A big win in a common format is the ability to automate many of the analysis tasks and significantly speed up the response and prosecution activities.

共通フォーマットを用いることにより、この調整に関与する組織ならびに凝集ビューに複数のデータソースまたは製品からの情報の相関のために容易になります。データの数が増加をソースとして複数のツールは、データの異なるソースを解釈するのに必要とされるであろうことから、一般的なフォーマットは、さらに重要になります。共通フォーマットでの大きな勝利は、分析作業の多くを自動化し、大幅に応答して起訴活動をスピードアップする機能です。

1.2. Processing of Exchanged Data Not Defined
1.2. 交換されるデータの処理が定義されていません

While the intended use of this specification is to facilitate data sharing between parties, the mechanics of this sharing process and its related political challenges are out of scope for this document.

この仕様書の使用目的は、当事者間のデータ共有を容易にするためですが、この共有プロセスの仕組みとその関連政治的な課題は、このドキュメントの範囲外です。

1.3. Relation to the INCH IODEF Data Model
1.3. INCH IODEFデータモデルとの関係

Instead of defining a new report format, this document defines an extension to [RFC5070]. The IODEF defines a flexible and extensible format and supports a granular level of specificity. These phishing and fraud extensions reuse subsets of the IODEF data model and, where appropriate, specify new data elements. Leveraging an existing specification allows for more rapid adoption and reuse of existing tools in organizations. For clarity, and in order to eliminate duplication, only the additional structures necessary for describing the exchange of phishing and e-crime activity are provided.

代わりに、新しいレポート形式を定義する、このドキュメントは[RFC5070]の拡張機能を定義します。 IODEFは、柔軟で拡張可能なフォーマットを定義し、特異性の粒状レベルをサポートします。これらのフィッシングや詐欺の拡張機能は、IODEFデータモデルのサブセットを再利用して、適切な場合には、新しいデータ要素を指定します。既存の仕様を活用して、より迅速な採用と組織の既存のツールを再利用することができます。明確にするため、および重複を排除するために、フィッシングや電子犯罪活動の交換を説明するために必要なだけ追加の構造が設けられています。

2. Terminology Used in This Document
この文書で使用される2.用語

Since many people use different but similar terms to mean the same thing, we use the following terminology in this document.

多くの人が同じことを意味するために、異なるが、同様の用語を使用しているので、私たちは、この文書の次の用語を使用します。

a. Phishing

A。フィッシング

       The overall process of identifying victims, contacting them via a
       lure, causing a victim to send a set of private credentials to a
       collection site, and storing those credentials is called
       phishing.
        

b. Fraud Event

B。不正イベント

       A fraud event is the combination of phishing and subsequent
       fraudulent use of the private credentials.
        

c. Lure

C。ルアー

       A lure is the decoy used to trick a victim into performing some
       activity, such as providing their private credentials.  The lure
       relies on social engineering concepts to convince the victim that
       the lure is genuine and its instructions should be followed.  A
       lure includes a pointer or link to a collection site.
        

d. Collection Site

D。コレクションサイト

       The website, email box, SMS number, phone number, or other place
       where a phished victim sends their private credentials for later
       fraudulent use by a criminal.
        

e. Credentials

電子。資格情報

       A credential is data that is transferred or presented to
       establish either a claimed identity or the authorizations of a
       system entity.  Many websites require a user name and password --
       combined, they are a credential -- to access sensitive content.
        

f. Message

F。メッセージ

       Although primarily email, a lure can be transported via any
       messaging medium, such as instant messages, Voice over IP (VoIP),
       or text via an SMS service.  The term "message" is used as a
       generic term for any of these transport mediums.
        
2.1. Requirements Language
2.1. 要件言語

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].

この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]に記載されているように解釈されます。

3. Interesting Fraud Event Data
3.興味深い詐欺イベントデータ

Before defining the structure of the IODEF extensions, we identify the "interesting" data in phishing and other fraudulent activities.

IODEFの拡張の構造を定義する前に、我々は、フィッシングやその他の不正行為では「興味深い」のデータを特定します。

3.1. The Elements of a Phishing/Fraud Event
3.1. フィッシング/詐欺イベントの要素
   +-----------+        +------------------+
   | Fraudster |<---<-- | Collection Site  |<---O--<----<----+
   +----+------+        +------------------+    |            |
        |                                       |            |
        |                                    +--|-----+      ^
        |                                    | Sensor | Credentials
        |                                    +-|------+      |
        |      +---------------+               |        +-------+
        \--->--| Attack Source |--Lure--->-----O------> | User/ |
               +---------------+                        |Victim |
                                                        +-------+
        

Figure 3.1. The Components of Internet Fraud

図3.1。インターネット詐欺のコンポーネント

Internet-based phishing and fraud activities are normally comprised of at least six components:

インターネットベースのフィッシングや詐欺活動は、通常、少なくとも6つのコンポーネントで構成されています。

1. The phisher, fraudster, or party perpetrating the fraudulent activity. Most times this party is not readily identifiable.

1.フィッシング詐欺師、詐欺師、または当事者が不正行為を犯し。ほとんどの時間は、このパーティーは容易に識別可能ではありません。

2. The attack source -- the source of the phishing email, virus, trojan, or other attack -- is masked in an enticing manner.

2.攻撃元 - フィッシングメール、ウイルス、トロイの木馬、またはその他の攻撃のソースは - 魅力的な方法でマスクされています。

3. The lure used to trick the victim into responding.
3.ルアーが応答に被害者をだますために使用されます。
4. The user, victim, or intended target of the fraud or phish.
4.利用者、被害者、または詐欺やフィッシングの目的のターゲット。

5. The credentials, personal data, or other information the victim has surrendered to the phisher.

5.資格情報、個人データ、または他の情報は、被害者がフィッシャーに降伏しました。

6. The collection site, where the victim sends their credentials or personal data if they have been duped by the lure of the phisher. This may be a website, mailbox, phone operator, or database.

彼らはフィッシャーのルアーによってだまされていた場合、被害者が自分の資格情報または個人データを送信し、収集サイト、6。これは、ウェブサイト、メールボックス、携帯電話事業者、またはデータベースであってもよいです。

If we take a holistic view of the attack, there are some additional components:

我々は攻撃の全体像を取る場合は、いくつかの追加のコンポーネントがあります。

o The sensor -- the means by which the phish is detected. This element may be an intrusion detection system, firewall, filter, email gateway, or human analyst.

Oセンサ - フィッシングを検出する手段。この要素は、侵入検知システム、ファイアウォール、フィルタ、メールゲートウェイ、または人間のアナリストであってもよいです。

o A forensic or archive site (not pictured), where an investigator has copied or otherwise retained the data used for the fraud attempt or credential collection.

研究者がコピーされたか、そうでない場合は不正行為の試みや資格情報収集のために使用されるデータを保持している法医学やアーカイブサイト(図示せず)、O。

3.1.1. Fraudulent Activity Extensions to the IODEF-Document
3.1.1. IODEF-文書に不正行為の拡張機能

Fraud events are reported in a fraud activity report, which is an instance of an XML IODEF-Document Incident element with added EventData and AdditionalData elements. The additional fields in the EventData specific to phishing and fraud are enclosed in a PhraudReport XML element. Fraudulent activity may include multiple emails, instant messages, or network messages, scattered over various times, locations, and methodologies. The PhraudReport within an EventData may include information about the email header and body, details of the actual phishing lure, correlation to other attacks, and details of the removal of the web server or credential collector. As a phishing attack may generate multiple reports to an incident team, multiple PhraudReports may be combined into one EventData structure, and multiple EventData structures may be combined into one incident report. One IODEF incident report may record one or more individual phishing events and may include multiple EventData elements.

不正イベントを添加EventDataのとAdditionalData要素を持つXML IODEF-文書インシデント要素のインスタンスである不正アクティビティレポートで報告されています。フィッシングや詐欺に固有EventDataの中に追加のフィールドがPhraudReportのXML要素で囲まれています。不正行為は、様々な時間、場所、方法論に散らばって複数の電子メール、インスタントメッセージ、またはネットワークメッセージを含むことができます。 EventDataの内PhraudReportは、電子メールのヘッダ及び本体については、実際のフィッシングルアーの詳細は、他の攻撃に対して相関、及びウェブサーバ又は認証情報コレクタの除去の詳細を含むことができます。フィッシング攻撃が入射チームに複数のレポートを生成することができたように、複数のPhraudReportsは1つのEventDataの構造に結合されてもよいし、複数のEventDataの構造は、1つのインシデントレポートにまとめてもよいです。一回のIODEFインシデントレポートは、1つの以上の個々のフィッシングイベントを記録してもよいし、複数のEventDataの要素を含むことができます。

This document defines new extension elements for the EventData IODEF XML elements and identifies those required in a PhraudReport. The appendices contain sample fraud activity reports and a complete schema.

この文書では、EventDataのIODEFのXML要素のための新しい拡張要素を定義し、PhraudReportに必要なものをを識別します。付録には、サンプル詐欺の活動報告と完全なスキーマが含まれています。

The IODEF Extensions defined in this document comply with Section 4, "Extending the IODEF Format" in [RFC5070].

この文書で定義されたIODEFの拡張機能は、[RFC5070]で「IODEFフォーマットの拡張」、第4章に準拠しています。

3.2. Useful Data Items in a Fraud Event
3.2. 詐欺イベントで有用なデータ項目

There are a number of subtle and non-obvious data to capture from a fraud event that make the event analysis and correlation with other events more useful. These data can be grouped into categories:

他のイベントとイベント分析との相関がより使いやすく詐欺イベントからキャプチャする微妙かつ非自明なデータの数があります。これらのデータは、カテゴリに分類できます。

3.2.1. Data about the Lure
3.2.1. ルアーに関するデータ

If a lure was presented as part of the fraud event, this category includes the original received lure, the means by which the lure was received (e.g., email, phone, or SMS), and the source addresses that sent the lure. Other useful data includes DNS data about the lure source, identification of any accompanying malware, and the brand name defrauded.

ルアーは、詐欺イベントの一部として提示された場合、このカテゴリは、元の受信されたルアー、ルアーを受信したことにより、手段(例えば、電子メール、電話、またはSMS)、およびルアーを送信した送信元アドレスを含みます。他の有用なデータは、ルアー・ソース、任意の付随するマルウェアの識別、および詐取ブランド名に関するDNSデータが含まれています。

3.2.2. Credential Collection Site Data
3.2.2. 資格コレクションサイトデータ

The collection site contains victim identifications, along with copies of data supplied by the victims, such as account names or numbers, passwords, dates of birth, etc. This category of useful data includes these credentials, along with information about the collection site itself, such as its type, site DNS data, DNS registrant data, and site physical location. The location and registrant information is particularly important if law enforcement assistance is expected. Additionally, an entire site archive can be gathered to allow a collector on a shared website to be disabled without impacting other users.

コレクションサイトは、などの有用なデータのこのカテゴリには、収集サイト自体に関する情報とともに、これらの資格情報を含んでアカウント名または番号、パスワード、生年月日、などの被害者によって供給されたデータのコピーとともに、被害者の識別が含まれていますこのようなタイプ、サイトのDNSデータ、DNS登録者データ、およびサイトの物理的な場所として。法執行支援が期待されている場合場所と登録者情報は特に重要です。また、サイト全体のアーカイブは、共有ウェブサイト上のコレクタは、他のユーザーに影響を与えずに無効にすることができるようにするために収集することができます。

3.2.3. Detection Information
3.2.3. 検出情報

This is a non-obvious data category and contains data on how the lure or collection site was detected. Understanding how the lure was detected allows us to design and implement better detection systems.

このことは、自明でないデータカテゴリで、ルアーやコレクションサイトが検出されたどのようにデータが含まれています。ルアーが検出されたかを理解することは、私たちはより良い検出システムを設計、実装することができます。

3.2.4. Analysis Output
3.2.4. 分析出力

In an environment where time is critical, it is imperative that analysis from one party can be reliably explained to and shared with other investigative parties. This grouping includes data that an investigator found interesting or could be useful to others.

時間が重要な環境では、一方の当事者からの分析が確実に説明し、他の調査関係者と共有することができることが不可欠です。このグループ化は、研究者が面白い発見や他の人に役立つ可能性がデータを含んでいます。

4. Fraud Activity Reporting via IODEF-Documents
IODEF、ドキュメントを介して報告4不正アクティビティ

A fraud activity report is an instance of an XML IODEF-Document with additional extensions and usage guidance, as specified in Section 4 of this document. These additional extensions are implemented through the PhraudReport XML element.

このドキュメントのセクション4で指定されている、詐欺の活動報告は、追加の拡張機能や使用方法の指導を持つXML IODEF - ドキュメントのインスタンスです。これらの追加の拡張機能は、PhraudReport XML要素を介して実装されています。

As described in the following subsections, reporting fraud activity has three primary components: choosing a report type, a format for the data, and how to check the correctness of the format.

レポートの種類、データの形式を選択すると、どのようなフォーマットの正しさを確認するには、以下のサブセクションで説明したように、詐欺の活動を報告すると、3つの主要コンポーネントがあります。

4.1. Fraud Report Types
4.1. 詐欺レポートタイプ

There are three actions relating to reporting phishing events. First, a reporter may *create* and exchange a new report on a new event. Secondly, a reporter may *update* a previously exchanged report to indicate new collection sites, site takedown information, or related activities. Lastly, a reporter may have realized that the report is in error or contains significant incorrect data and that the prudent reaction is to *delete* the report.

フィッシングイベントをレポートに関連する3つのアクションがあります。まず、記者は* *を作成し、新しいイベントで新しいレポートを交換してもよいです。第二に、記者は、新しいコレクションのサイト、サイトテイクダウン情報、または関連活動を示すために*更新*以前に交換し報告することがあります。最後に、記者は報告書に誤りがあるか、重大な不正なデータが含まれており、慎重な反応は* *レポートを削除することであることをことを実現している可能性があります。

The three types of reports are denoted through the use of the ext-purpose attribute of an Incident element. A new report contains an empty or a "create" ext-purpose value; an updated report contains an ext-value value of "update"; a request for deletion contains a "delete" ext-purpose value. Note that this is actually an advisory marking for the report originator or recipient, as operating procedures in a report life cycle are very environment specific.

レポートの3つのタイプがインシデント要素のEXT-目的の属性を使用して表記されています。新しいレポートは、空または「作成」EXT-目的の値が含まれています。更新されたレポートは、「更新」のEXT-値の値が含まれています。削除要求は、「削除」EXT-目的値が含まれています。レポートのライフサイクルでの操作手順は非常に環境に固有のものとして、これは、実際にはレポートの創始者または受信者のためのマーキング顧問であることに注意してください。

4.2. Fraud Report XML Representation
4.2. 詐欺レポートXML表現

The IODEF Incident element ([RFC5070], Section 3.2) is summarized below. It and the rest of the data model presented in Section 4 is expressed in Unified Modeling Language (UML) syntax as used in the IODEF specification. The UML representation is for illustrative purposes only; elements are specified in XML as defined in Appendix A.

IODEFインシデント要素([RFC5070]、セクション3.2)は以下に要約されます。 IODEF仕様で使用されるように、セクション4に示されたデータ・モデルの残りの部分は、統一モデリング言語(UML)構文で表現されます。 UML表現は、単に例示目的のためです。付録A.で定義された要素は、XMLで指定されています

   +--------------------+
   | Incident           |
   +--------------------+
   | ENUM purpose       |<>----------[ IncidentID ]
   | STRING ext-purpose |<>--{0..1}--[ AlternativeID ]
   | ENUM lang          |<>--{0..1}--[ RelatedActivity ]
   | ENUM restriction   |<>--{0..1}--[ DetectTime ]
   |                    |<>--{0..1}--[ StartTime ]
   |                    |<>--{0..1}--[ EndTime ]
   |                    |<>----------[ ReportTime ]
   |                    |<>--{0..*}--[ Description ]
   |                    |<>--{1..*}--[ Assessment ]
   |                    |<>--{0..*}--[ Method ]
   |                    |<>--{1..*}--[ Contact ]
   |                    |<>--{0..*}--[ EventData ]
   |                    |              |<>--[ AdditionalData ]
   |                    |                     |<>--[ PhraudReport ]
   |                    |<>--{0..1}--[ History ]
   |                    |<>--{0..*}--[ AdditionalData ]
   +------------------+
        

Figure 4.1. The IODEF XML Incident Element (Modified)

図4.1。 IODEF XMLインシデント要素(修正)

A fraud activity report is composed of one iodef:Incident element that contains one or more related PhraudReport elements embedded in the iodef:AdditionalData element of iodef:EventData. The PhraudReport element is added to the IODEF using its defined extension procedure documented in Section 5 of [RFC5070].

インシデント要素IODEFに埋め込まれた1つのまたは複数の関連PhraudReport要素が含まれます:IODEFのAdditionalData要素を:EventDataの詐欺の活動報告は、1 IODEFで構成されています。 PhraudReport要素は[RFC5070]のセクション5に記載され、その定義された拡張プロシージャを使用してIODEFに添加されます。

One IODEF-Document may contain information on multiple incidents with information for each incident contained within an iodef:Incident element ([RFC5070], Section 3.12).

インシデント要素([RFC5070]、セクション3.12):一IODEF-ドキュメントIODEF内に含まれる各インシデントの情報が複数のインシデントに関する情報を含むことができます。

4.3. Syntactical Correctness of Fraud Activity Reports
4.3. 詐欺活動報告の構文正し

The fraud activity report MUST pass XML validation using the schema defined in [RFC5070] and the extensions defined in Appendix A of this document.

詐欺アクティビティレポートは、[RFC5070]で定義されたスキーマと、このドキュメントの付録Aで定義された拡張機能を使用してXMLの検証に合格する必要があります。

5. PhraudReport Element Definitions
5. PhraudReport要素定義

A PhraudReport consists of an extension to the Incident.EventData.AdditionalData element with a dtype of "xml". The elements of the PhraudReport will specify information about the six components of fraud activity identified in Section 3.1. Additional forensic information and commentary can be added by the reporter as necessary to show relation to other events, to show the output of an investigation, or for archival purposes.

PhraudReportは「XML」のDTYPEとIncident.EventData.AdditionalData要素に拡張から成ります。 PhraudReportの要素は3.1節で識別詐欺活動の6つのコンポーネントに関する情報を指定します。付加的なフォレンジック情報と解説は、他のイベントとの関係を示すために、調査の出力を表示する、またはアーカイブの目的のために、必要に応じてレポーターによって付加することができます。

5.1. PhraudReport Structure
5.1. PhraudReport構造

A PhraudReport element is structured as follows. The components of a PhraudReport are introduced in functional grouping, as some parameters are related and some elements may not make sense individually.

次のようにPhraudReport要素が構成されています。 PhraudReportの構成要素は、いくつかのパラメータが関連しているように、機能グループに導入され、いくつかの要素は、個々に意味を持たなくてもよいです。

   +------------------+
   |   PhraudReport   |
   +------------------+
   | STRING Version   |<>--{0..1}--[ PhishNameRef ]
   | ENUM FraudType   |<>--{0..1}--[ PhishNameLocalRef ]
   | STRING ext-value |<>--{0..1}--[ FraudParameter ]
   |                  |<>--{0..*}--[ FraudedBrandName ]
   |                  |<>--{1..*}--[ LureSource ]
   |                  |<>--{1..*}--[ OriginatingSensor ]
   |                  |<>--{0..1}--[ EmailRecord ]
   |                  |<>--{0..*}--[ DCSite ]
   |                  |<>--{0..*}--[ TakeDownInfo ]
   |                  |<>--{0..*}--[ ArchivedData ]
   |                  |<>--{0..*}--[ RelatedData ]
   |                  |<>--{0..*}--[ CorrelationData ]
   |                  |<>--{0..1}--[ PRComments ]
   +------------------+
        

Figure 5.1. The PhraudReport Element

図5.1。 PhraudReport要素

Relevant information about a phishing or fraud event is encoded into six components as follows:

次のようにフィッシング詐欺やイベントについての関連情報は、6つの成分に符号化されます。

a. The PhishNameRef and PhishNameLocalRef elements identify the fraud or class of fraud.

A。 PhishNameRefとPhishNameLocalRef要素は、詐欺の詐欺またはクラスを識別します。

b. The LureSource element describes the source of the attack or phishing lure, including host information and any included malware.

B。 LureSource要素は、ホスト情報と任意含まマルウェアを含む攻撃やフィッシングルアーのソースを記載しています。

c. The DCSite element describes the technical details of the credential collection site.

C。 DCSite要素は、資格の収集サイトの技術的な詳細を説明します。

d. The OriginatingSensor element describes the means of detection.

D。 OriginatingSensor要素は、検出の手段が記載されています。

The RelatedData, ArchivedData, and TakeDownInfo fields allow optional forensics and history data to be included.

RelatedData、ArchivedData、およびTakeDownInfoフィールドは、オプションのフォレンジックと履歴データが含まれることを可能にします。

A specific phish/fraud activity can be identified using a combination of the FraudType, FraudParameter, FraudedBrandName, LureSource, and PhishNameRef elements.

特定フィッシング/不正活動がFraudType、FraudParameter、FraudedBrandName、LureSource、及びPhishNameRef要素の組み合わせを用いて同定することができます。

5.2. Reuse of IODEF-Defined Elements
5.2. IODEF-定義された要素の再利用

Elements, attributes, and parameters defined in the base IODEF specification were used whenever possible in the definition of the PhraudReport XML element. This specification does not introduce any new variable types or encodings to the IODEF data model, but extends the IODEF Contact and System elements.

ベースIODEF仕様で定義された要素、属性、およびパラメータがPhraudReport XML要素の定義に可能な限り使用しました。この仕様は、IODEFデータモデルに新しい変数の種類やエンコーディングをご紹介しますが、IODEF連絡先とシステムの要素を拡張しません。

The data model schema contains a copy of the iodef:System element. Although we would like to just extend the System element, it is defined in RFC 5070 with an unable-to-extend anonymous type, so we copied the element, named its underlying type, and then generated the extension to it.

システム要素:データモデルスキーマは、IODEFのコピーが含まれています。私たちは、システム要素を拡張したいと思いますが、それはできないツー延長匿名型とRFC 5070で定義されているので、私たちはその基になる型という要素を、コピーし、それに拡張子を生成しました。

Note: Elements that are imported from the base IODEF specification are prefaced with an "iodef" XML namespace and are noted with the section defining that element in [RFC5070]. Each element in a PhraudReport is used as described in the following sections.

注:ベースIODEF仕様からインポートされた要素は、「IODEF」XML名前空間で始まるされ、[RFC5070]にその要素を定義するセクションで指摘されています。次のセクションで説明したようにPhraudReport内の各要素が使用されます。

5.3. Element and Attribute Specification Format
5.3. 要素や属性の指定形式

The following sections describe the components of a PhraudReport XML element. Each description is structured as follows.

以下のセクションでは、PhraudReport XML要素の構成要素を記述する。次のようにそれぞれの説明が構成されています。

1. A terse XML-type identifier for the element or attribute.
1.要素または属性の簡潔なXML型の識別子。

2. An indication of whether the element or attribute is REQUIRED or optional. Mandatory items are noted as REQUIRED. If not specified, elements are optional. Note that when optional elements are included, they may REQUIRE specific sub-elements.

2.要素または属性が必要であるかどうかの指示、またはオプション。必須項目は必要に応じて記載されています。指定しない場合、要素はオプションです。任意の要素が含まれる場合、それらは特定のサブエレメントを必要とし得ることに留意されたいです。

3. A description of the element or attribute and its intended use.
3.要素や属性とその使用目的についての説明。

Elements that contain sub-elements or enumerated values are further sub-sectioned. Note that there is no "trickle-up" effect in elements. That is, the required elements of a sub-element are only populated if the sub-element is used.

サブ要素または列挙値を含む要素は、さらに、サブ切片です。要素には、「トリクルアップ」効果がないことに注意してください。すなわち、サブエレメントが使用される場合、サブ要素の必要な要素のみが移入されています。

5.4. Version Attribute
5.4. バージョン属性

REQUIRED. STRING. The version shall be the value 0.06, to be compliant with this document.

必須。 STRING。バージョンは、この文書に準拠する値0.06、しなければなりません。

5.5. FraudType Attribute
5.5. FraudType属性

REQUIRED. One ENUM. The FraudType attribute describes the type of fraudulent activity described in this PhraudReport. The FraudType chosen determines the value of the FraudParameter filed. This field contains one of the following values:

必須。ワンENUM。 FraudType属性は、このPhraudReportで説明した不正行為の種類を説明しています。選ばれたFraudTypeは、提出されたFraudParameterの値を決定します。このフィールドには、次のいずれかの値が含まれています。

1. phishing. The FraudParameter should be the subject line of the phishing lure email or value of a lure IM or VoIP message. This type is a standard phishing lure, usually sent as email, and is intended to exploit the recipient's credentials for financial gain.

1.フィッシング。 FraudParameterはルアーIMやVoIPのメッセージのフィッシングルアー電子メールまたは値の件名でなければなりません。このタイプは通常、電子メールとして送信される標準フィッシングルアー、で、金銭的な利益のために、受信者の資格情報を活用することを意図しています。

2. recruiting. The FraudParameter is the subject line of the recruit, or mule, email or message.

2.募集。 FraudParameterはリクルート、またはラバ、電子メールまたはメッセージの件名です。

3. malware distribution. The FraudParameter is the email subject line of the phishing email. This type of email phish does not pose a risk of financial loss to the recipient, but lures the recipient to an infected site.

3.マルウェア配布。 FraudParameterは、フィッシングメールの電子メールの件名です。電子メールのフィッシングのこのタイプは、受信者への財務上の損失のリスクをもたらすが、感染したサイトへの受信者を魅了していません。

4. fraudulent site. This identifies a known fraudulent site that does not necessarily send spam but is used to show lures. The FraudParameter may be used to identify the website.

4.詐欺サイト。これは、必ずしもスパムを送信しませんが、ルアーを表示するために使用されて知られている詐欺サイトを識別します。 FraudParameterは、ウェブサイトを識別するために使用することができます。

5. dnsspoof. This choice does not have a related FraudParameter. This value is used when a DNS system component responds with an untrue IP address for the requested domain name due to either cache poisoning, ID spoofing, or other manipulation of the DNS system.

5. dnsspoof。この選択は、関連FraudParameterを持っていません。 DNSシステムコンポーネントが原因キャッシュ汚染、IDスプーフィング、またはDNSシステムの他の操作のいずれかに要求されたドメイン名の虚偽IPアドレスで応答したときにこの値が使用されます。

6. archive. There is no required FraudParameter for this choice, although the FraudParameter of the original phish could be entered. The data archived from the phishing server is placed in the ArchivedData element.

6.アーカイブ。元フィッシングのFraudParameterを入力することができるが、この選択には必須のFraudParameterは、ありません。フィッシングサーバーからアーカイブされたデータは、ArchivedData要素内に配置されています。

7. other. This is used to identify not-yet-enumerated fraud types.
7.その他。これは、未列挙詐欺の種類を識別するために使用されます。

8. unknown. This choice may have an associated FraudParameter. It is used to cover confused cases.

8.不明。この選択は、関連するFraudParameterを有することができます。混乱してケースをカバーするために使用されます。

9. ext-value. This choice identifies an unidentified FraudType. The FraudType should be captured in the ext-value attribute.

9. EXT-値。この選択は、正体不明のFraudTypeを識別します。 FraudTypeがext-value属性でキャプチャする必要があります。

5.5.1. ext-value Attribute
5.5.1. EXT-VALUE属性

OPTIONAL. This STRING may be populated with a FraudType that has not been predefined.

オプション。この文字列は、事前定義されていないFraudType移入することができます。

5.5.2. FraudParameter Element
5.5.2. FraudParameter要素

Zero or one value of iodef:MLStringType. The contents of this element are dependent on the FraudType choice. It may be an email subject line, VoIP lure, link in an IM message, or a web URL. Note that some phishers add a number of random characters onto the end of a phish email subject line for uniqueness; reporters should delete those characters before insertion into the FraudParameter field.

IODEFのゼロまたは1値:MLStringType。この要素の内容はFraudTypeの選択に依存しています。これは、電子メールの件名、VoIPのルアー、IMメッセージ、またはWeb URL内のリンクかもしれません。一部のフィッシング詐欺は、一意性のためのフィッシング電子メールの件名行の末尾にランダムな文字の数を追加することに注意してください。記者はFraudParameterフィールドに挿入する前に、これらの文字を削除する必要があります。

5.6. PhishNameRef Element
5.6. PhishNameRef要素

Zero or one value of iodef:MLStringType. The PhishNameRef element is the common name used to identify this fraud event. It is often the name agreed upon by involved parties or vendors. Using this name can be a convenient way to reference the activity when collaborating with other parties, the media, or engaging in public education.

IODEFのゼロまたは1値:MLStringType。 PhishNameRef要素は、この詐欺のイベントを識別するために使用される一般的な名前です。それは多くの場合、関係者やベンダーが合意された名前です。この名前を使用すると、他の関係者との連携時に活動を参照するための便利な方法、メディア、または公教育に従事することができます。

5.7. PhishNameLocalRef Element
5.7. PhishNameLocalRef要素

Zero or one value of iodef:MLStringType. The PhishNameLocalRef element describes a local name or Unique-IDentifier (UID) that is used by various parties before a commonly agreed-upon term is adopted. This field allows a cross-reference from the submitting organization's system to a central repository.

IODEFのゼロまたは1値:MLStringType。 PhishNameLocalRef要素は、一般的に合意された用語が採用される前に、様々な関係者によって使用されるローカル名やユニークな識別子(UID)を記述する。このフィールドは、中央リポジトリに提出組織のシステムから相互参照を可能にします。

5.8. FraudedBrandName Element
5.8. FraudedBrandName要素

Zero or more values of iodef:MLStringType. This is the identifier of the recognized brand name or company name used in the phishing activity (e.g., XYZ Semiconductor Corp).

IODEFのゼロ以上の値:MLStringType。これはフィッシング活動(例えば、XYZセミコンダクター社)で使用される認知されたブランド名や会社名の識別子です。

5.9. LureSource Element
5.9. LureSource要素

REQUIRED. One or more values. The LureSource element describes the source of the PhraudReport lure. It allows the specification of IP addresses, DNS names, domain registry information, and rudimentary support for the files that might be downloaded or registry keys modified by the crimeware.

必須。 1つ以上の値。 LureSource要素はPhraudReportルアーのソースを記述します。これは、ダウンロードまたはレジストリキーがクライムウェアによって変更される可能性がありますファイルのためのIPアドレス、DNS名、ドメインレジストリ情報の仕様、および基本的なサポートを可能にします。

   +-------------+
   | LureSource  |
   +-------------+
   |             |<>--(1..*)--[ System ]
   |             |<>--(0..*)--[ DomainData ]
   |             |<>--(0..1)--[ IncludedMalware  ]
   |             |<>--(0..1)--[ FilesDownloaded  ]
   |             |<>--(0..1)--[ WindowsRegistryKeysModified  ]
   +-------------+
        

Figure 5.2. The LureSource Element

図5.2。 LureSource要素

5.9.1. System Element
5.9.1. システム要素

REQUIRED. One or more values of the iodef:System ([RFC5070], Section 3.15). The system element describes a particular host involved in the phishing activity. If the real IP address can be ascertained, it should be populated. A spoofed address may also be entered, and the spoofed attribute SHALL be set.

必須。 IODEFの1つ以上の値:システム([RFC5070]、セクション3.15)。システム要素は、フィッシング活動に関与する特定のホストを記述します。実際のIPアドレスを確認することができるならば、それは移入する必要があります。偽装されたアドレスも入力することができる、と偽装された属性が設定されなければなりません。

Multiple System elements may be used to identify the DNS name and IP address(es) of the lure source.

複数のシステム要素がルアーソースのDNS名とIPアドレスを識別するために使用され得ます。

5.9.2. DomainData Element
5.9.2. DomainData要素

Zero or more element values. The DomainData element describes the registration, delegation, and control of a domain used to source the lure and can identify the IP address associated with the System element URI. Capturing the domain data is very useful when investigating or correlating events.

ゼロ個以上の要素の値。 DomainData要素がルアーを調達するとシステム要素URIに関連付けられたIPアドレスを識別することができます使用するドメインの登録、委任、およびコントロールについて説明します。調査やイベントを相関するとき、ドメインデータをキャプチャすることは非常に便利です。

The structure of a DomainData element is as follows:

次のようにDomainData素子の構造は以下の通りであります:

   +--------------------+
   | DomainData         |
   +--------------------+
   |                    |<>----------[ Name ]
   |                    |<>--(0..1)--[ DateDomainWasChecked ]
   | ENUM SystemStatus  |<>--(0..1)--[ RegistrationDate ]
   | ENUM DomainStatus  |<>--(0..1)--[ ExpirationDate ]
   |                    |<>--(0..*)--[ Nameservers ]
   |                    |<>--(0..1)--[ DomainContacts ]
   +--------------------+
        

Figure 5.3. The DomainData Element

図5.3。 DomainData要素

5.9.2.1. Name Element
5.9.2.1。名前の要素

REQUIRED. One value of iodef:MLStringType. The Name element contains the host DNS name used in this event. Its value should be the complete DNS host address; e.g., if an event targeted www.example.com, the value would be www.example.com.

必須。 IODEFの一つの値:MLStringType。 Name要素は、このイベントに使用されるホストのDNS名が含まれています。その値は、完全なDNSホストアドレスでなければなりません。イベントがwww.example.comをターゲットにあれば、例えば、値がwww.example.comになります。

5.9.2.2. DateDomainWasChecked Element
5.9.2.2。 DateDomainWasChecked要素

Zero or one value of DATETIME. This element includes the timestamp of when this domain data was checked and entered into this report, as many phishers modify their domain data at various stages of a phishing event.

ゼロまたはDATETIMEの一つの値。この要素は、このドメインのデータがチェックされ、多くのフィッシャーは、フィッシングイベントの様々な段階で、そのドメインのデータを修正するように、この報告書に入力されたときのタイムスタンプを含みます。

5.9.2.3. RegistrationDate Element
5.9.2.3。 RegistrationDate要素

Zero or one value of DATETIME. The RegistrationDate element shows the date of registration for a domain.

ゼロまたはDATETIMEの一つの値。 RegistrationDate要素は、ドメインの登録の日付が表示されます。

5.9.2.4. ExpirationDate Element
5.9.2.4。 ExpirationDateと要素

Zero or one value of DATETIME. The ExpirationDate element shows the date the domain will expire.

ゼロまたはDATETIMEの一つの値。 ExpirationDateと要素は、ドメインの有効期限が切れる日付が表示されます。

5.9.2.5. Nameservers Element
5.9.2.5。ネームサーバー要素

Zero or more values. These fields hold nameservers identified for this domain. Each entry is a sequence of DNSNameType and iodef: Address pairs, as specified below.

ゼロ以上の値。これらのフィールドは、このドメインのために特定のネームサーバーを保持します。下記の指定として、アドレスのペア:各エントリはDNSNameTypeとIODEFのシーケンスです。

   +--------------------+
   | Nameservers        |
   +--------------------+
   |                    |<>----------[ Server]
   |                    |<>--(1..*)--[ iodef:Address ]
   +--------------------+
        

Figure 5.4. The Nameservers Element

図5.4。ネームサーバー要素

The use of one Server value and multiple Address values is used to note multiple IP addresses associated with one DNS entry for the domain nameserver.

1台のサーバーの値と複数のアドレス値の使用は、ドメインネームサーバのための1つのDNSエントリに関連付けられた複数のIPアドレスを注意するために使用されます。

5.9.2.5.1. Server Element
5.9.2.5.1。 Server要素

One value of iodef:MLStringType. This field contains the DNS name of the domain nameserver.

IODEFの一つの値:MLStringType。このフィールドは、ドメインネームサーバのDNS名が含まれています。

5.9.2.5.2. iodef:Address Element
5.9.2.5.2。 IODEF:address要素

One or more values of iodef:Address. This field lists the IP address(es) associated with this Server element.

IODEFの1つ以上の値:住所。このフィールドは、このServer要素に関連付けられたIPアドレスを示しています。

5.9.2.6. DomainContacts Element
5.9.2.6。 DomainContacts要素

REQUIRED. Choice of either a SameDomainContact or one or more Contact elements. The DomainContacts element allows the reporter to enter contact information supplied by the registrar or returned by whois queries. For efficiency of the reporting party, the domain contact information may be marked to be the same as another domain already reported using the SameDomainContact element.

必須。 SameDomainContactまたは1つ以上の接触要素のいずれかの選択。 DomainContacts要素は、記者がWHOISクエリによってレジストラが提供または返された連絡先情報を入力することができます。通報者の効率化のため、ドメインの連絡先情報は、既にSameDomainContact要素を使用して報告し、別のドメインと同じになるようにマークすることができます。

   +----------------+
   | DomainContacts |
   +----------------+
   |                |<>--(0..1)--[ SameDomainContact ]
   |                |<>--(1..*)--[ Contact ]
   +----------------|
        

Figure 5.5. The DomainContacts Element

図5.5。 DomainContacts要素

5.9.2.6.1. SameDomainContact Element
5.9.2.6.1。 SameDomainContact要素

REQUIRED. One iodef:MLStringType. The SameDomainContact element is populated with a domain name if the contact information for this domain is identical to that name in this or another report. Implementors are cautioned to only use this element when the domain contact data returned by a registrar or registry is identical.

必須。ワンIODEF:MLStringType。このドメインの連絡先情報、レポートまたは別のものの名前と同じ場合SameDomainContact要素は、ドメイン名が取り込まれます。実装者は、レジストラまたはレジストリによって返されたドメインの連絡先データが同一で​​ある場合にのみ、この要素を使用することを警告しています。

5.9.2.6.2. Contact Element
5.9.2.6.2。コンタクトエレメント

REQUIRED. One or more iodef:Contact elements. This element reuses and extends the iodef:Contact elements for its components. Each component may have zero or more values. If only the role attribute and the ContactName component are populated, the same (identical) information is listed for multiple roles.

必須。一つ以上のIODEF:コンタクト要素。この要素は、IODEFを再利用して拡張します。そのコンポーネントのための要素にお問い合わせください。各成分は、ゼロ以上の値を有していてもよいです。役割属性と[担当成分のみが移入されている場合、同じ(同一の)情報は、複数の役割のために記載されています。

   +--------------------+
   | Contact            |
   +--------------------+
   |                    |<>----------[ iodef:ContactName ]
   |                    |<>--(0..*)--[ iodef:Description ]
   | ENUM role          |<>--(0..*)--[ iodef:RegistryHandle ]
   |                    |<>--(0..1)--[ iodef:PostalAddress ]
   | ENUM restriction   |<>--(0..*)--[ iodef:Email ]
   | STRING ext-role    |<>--(0..*)--[ iodef:Telephone ]
   | ENUM type          |<>--(0..1)--[ iodef:Fax ]
   | STRING ext-type    |<>--(0..1)--[ iodef:Timezone ]
   |                    |<->----------[ AdditionalData ]
   |                    |                  +<-> [ Confidence ]
   +--------------------+
        

Figure 5.6. The Contact Element

図5.6。コンタクトエレメント

Each Contact has optional attributes to capture the sensitivity and role for which the contact is listed. Elements reused from [RFC5070] are not discussed in this document.

各連絡先は、連絡先がリストされているため、感度や役割をキャプチャするオプションの属性を持っています。 [RFC5070]から再利用要素は本書では説明しません。

5.9.2.6.2.1. Confidence Element
5.9.2.6.2.1。自信要素

REQUIRED. ENUM. The Confidence element describes a qualitative assessment of the veracity of the contact information. This attribute is an extension to the iodef:Contact element and is defined in this document. There are five possible Confidence values, as follows.

必須。 ENUM。信頼要素は、連絡先情報の信憑性の定性的評価を説明しています。連絡先の要素と、この文書で定義されています。この属性は、IODEFを拡張したものです。次のように5つの信頼値は、あります。

1. known-fraudulent. This contact information has been previously determined to be fraudulent, as either non-existent physical information or containing real information not associated with this domain registration.

1.既知の詐欺。この連絡先情報は、以前に存在しない物理的な情報や、このドメイン登録に関連付けられていない本当の情報を含むいずれかとして、不正であることが決定されました。

2. looks-fraudulent. The contact information has suspicious information included.

2.見え-詐欺。連絡先情報は、不審な情報が含まれています。

3. known-real. The contact information has been previously investigated or determined to be correct.

3.既知本当。連絡先情報は、以前に調査したり正しいと判断されました。

4. looks-real. The contact information does not arouse suspicion but has not been previously validated.

4.見え、本物。連絡先情報は疑いを喚起しませんが、以前に検証されていません。

5. unknown. The reporter cannot make a value judgment on the contact data.

5.不明。レポーターは、連絡先のデータに価値判断をすることはできません。

5.9.2.6.2.2. ext-role Attribute
5.9.2.6.2.2。 EXT-role属性

REQUIRED. ENUM. The ext-role attribute is extended from the iodef: ext-role attribute with values identified in RFC 3982 [RFC3982]. The ext-value value of the role attribute should be used, with the ext-role attribute value chosen from one of the following values:

必須。 ENUM。 EXT-role属性は、IODEFから延長されていますRFC 3982 [RFC3982]で特定された値とEXT-role属性。 role属性のEXT-値の値は、次の値のいずれかから選ばれたEXT-role属性値と、使用する必要があります。

1. billingContacts
1. billingContacts
2. technicalContacts
2. technicalContacts
3. administrativeContacts
3.管理者の連絡先
4. legalContacts
4. legalContacts
5. zoneContacts
5. zoneContacts
6. abuseContacts
6. abuseContacts
7. securityContacts
7. securityContacts
8. otherContacts
8. otherContacts

9. hostingProvider. This contact is the hosting provider of this server. Although not in RFC 3982, it is useful in investigations to note where the server is located and who operates it. Load-balanced, multicast, or anycast servers may have multiple hostingProvider contact entries.

9. hostingProvider。この接触は、このサーバーのホスティングプロバイダです。ないRFC 3982でますが、サーバーが置かれている場所の調査は注意するに有用であり、誰がそれを運営しています。負荷分散され、マルチキャスト、またはエニーキャストのサーバーが複数のhostingProviderの連絡先のエントリを有することができます。

5.9.3. SystemStatus Attribute
5.9.3. システムステータス属性

REQUIRED. ENUM. The SystemStatus attribute assesses a system's involvement in this event. The value is chosen from this list:

必須。 ENUM。 SystemStatus属性は、このイベントでは、システムの関与を評価します。値は、このリストから選択されます。

1. spoofed. This domain or system did not participate in this event, but its address space or DNS name was simply used by another party.

1.詐称します。このドメインまたはシステムでは、このイベントに参加しなかったが、そのアドレス空間またはDNS名は、単に別の当事者によって使用されました。

2. fraudulent. The system is operated with fraudulent intentions, e.g., the domain name is a homophone.

2.詐欺。システムが不正な意図で運転され、例えば、ドメイン名が同音です。

3. innocent-hacked. The system was compromised by a third party and used in this event.

3.無実-ハッキング。このシステムは、第三者によって侵害とこのイベントに使用されました。

4. innocent-hijacked. The IP address or domain name was deliberately hijacked via BGP or DNS and used in this event to source the lure or host the collection site.

4.無実-ハイジャック。 IPアドレスまたはドメイン名は、故意にBGPまたはDNS経由でハイジャックやルアーをソースまたはコレクションのサイトをホストするためにこのイベントに使用されました。

5. unknown. No conclusions are inferred from this event.
5.不明。何の結論は、このイベントから推測されていません。
5.9.4. DomainStatus Attribute
5.9.4. DomainStatus属性

ENUM. The DomainStatus attribute describes the registry status of a domain at the time of the report. The following enumerated list is taken from the "domainStatusType" of [RFC3982]. An extra "unknown" value was added in case the status is indeterminable.

ENUM。 DomainStatus属性は、レポートの時点でドメインのレジストリの状態を説明しています。以下の列挙されたリストは、[RFC3982]の「domainStatusType」から取られています。ステータスが確定できない場合には余分な「不明」値が追加されました。

1. reservedDelegation
1. reservedDelegation
2. assignedAndActive
2. assignedAndActive
3. assignedAndInactive
3. assignedAndInactive
4. assignedAndOnHold
4. assignedAndOnHold
5. revoked
5.取り消さ
6. transferPending
6. transferPending
7. registryLock
7. registryLock
8. registrarLock
8. registrarLock
9. other
他9.
10. unknown
不明10
5.9.5. IncludedMalware Element
5.9.5. IncludedMalware要素

Zero or one value. The IncludedMalware element allows for the identification and optional inclusion of the actual malware that was part of the lure. The goal of this element is not to detail the characteristics of the malware but rather to allow for a convenient element to link malware to a phishing campaign.

0または1の値です。 IncludedMalware要素は、識別とルアーの一部であった実際のマルウェアのオプションを含めることを可能にします。この要素の目的は、細部へのマルウェアの特性ではなく、フィッシングキャンペーンにマルウェアをリンクするのに便利な要素を可能にします。

   +------------------+
   | IncludedMalware  |
   +------------------+
   |                  |<>--(1..*)--[ Name ]
   |                  |<>--(0..1)--[ ds:Reference ]
   |                  |<>--(0..1)--[ Data ]
   +------------------+
        
   +-----------------------+
   | Data                  |
   +-----------------------+
   | hexBinary XORPattern  |
   +-----------------------+
        

Figure 5.7. The IncludedMalware Element

図5.7。 IncludedMalware要素

5.9.5.1. Name Element
5.9.5.1。名前の要素

REQUIRED. One or more values of iodef:MLStringType. This field is used to identify the lure malware by its known name. Unnamed malware may be identified by a value of "unknown".

必須。 IODEFの1つ以上の値:MLStringType。このフィールドは、その知られた名前でルアーのマルウェアを識別するために使用されます。名前マルウェアは、「不明」の値によって識別することができます。

5.9.5.2. Reference Element
5.9.5.2。リファレンスエレメント

Zero or one value of the Reference. This optional field is used to hold the algorithm identification and value of a hash computed over the malware executable. This entire element is imported from [RFC3275]. Implementations SHOULD support the use of SHA-1 [SHA] as a DigestMethod.

ゼロまたは基準の一つの値。このオプションフィールドは、マルウェアの実行にわたって計算されたハッシュアルゴリズムの識別と値を保持するために使用されます。この全体の要素は[RFC3275]からインポートされています。実装はDigestMethodとしてSHA-1 [SHA]の使用をサポートしなければなりません。

5.9.5.3. Data Element
5.9.5.3。データ要素

Zero or one value. The optional Data element is used to include the lure malware, which is encoded as a hexBinary type and XORed with a pattern to render it harmless.

0または1の値です。オプションのデータ要素は、のhexBinaryタイプとして符号化し、無害化するパターンとXORされたルアーマルウェアを含むために使用されます。

5.9.5.3.1. XORPattern Attribute
5.9.5.3.1。 XORPattern属性

One value of hexBinary. The Data element includes a 16-hexadecimal-character XORPattern attribute to support disabling the included malware to bypass anti-virus filters. The default value is 0x55AA55AA55AA55BB, which would be XORed with the malware datastring to recover the actual malware.

hexBinaryでの一つの値。データ要素は、16桁の16進数文字は、アンチウイルスフィルタを回避するために含まマルウェアを無効にすることをサポートするために、属性XORPattern含まれています。デフォルト値は、実際のマルウェアを回復するために、マルウェアdatastringとXORされるだろう0x55AA55AA55AA55BB、です。

5.9.6. FilesDownloaded Element
5.9.6. FilesDownloaded要素

Zero or one value of a sequence of File elements.

ゼロまたはファイルの要素のシーケンスの一つの値。

   +---------------------+
   | FilesDownloaded     |
   +---------------------+
   |                     |<>--(1..*)--[ File ]
   +---------------------+
        

Figure 5.8. The FilesDownloaded Element

図5.8。 FilesDownloaded要素

5.9.6.1. File Element
5.9.6.1。ファイルの要素

One or more values of iodef:MLStringType. The File element value is the name of a file downloaded by this lure.

IODEFの1つ以上の値:MLStringType。ファイルの要素の値は、このルアーでダウンロードしたファイルの名前です。

5.9.7. WindowsRegistryKeysModified Element
5.9.7. WindowsRegistryKeysModified要素

One or more values of the Key sequence. The contents of the WindowsRegistryKeysModified element are sequences of Key elements.

キー配列の1つのまたは複数の値。 WindowsRegistryKeysModified要素の内容は重要な要素の配列です。

   +------------------------------+
   | WindowsRegistryKeysModified  |
   +------------------------------+
   |                              |<>--(1..*)--[ Key ]
   +------------------------------+
        
   +--------------+
   | Key          |
   +--------------+
   |              |<>-----[ Name ]
   |              |<>-----[ Value ]
   +--------------+
        

Figure 5.9. The WindowsRegistryKeysModified Element

図5.9。 WindowsRegistryKeysModified要素

5.9.7.1. Key Element
5.9.7.1。重要な要素

One or more sequences. The Key element is a sequence of Name and Value pairs representing an operating system registry key and its value. The key and value are encoded as in Microsoft .reg files [KB310516].

一つ以上のシーケンス。主な要素は、オペレーティングシステムのレジストリキーとその値を表す名前と値のペアのシーケンスです。キーと値は、Microsoftの.regファイル[KB310516]のようにエンコードされます。

5.9.7.1.1. Name Element
5.9.7.1.1。名前の要素

One STRING, representing the Windows Operating System Registry Key Name. The value is encoded as in Microsoft .reg files, e.g., [HKEY_LOCAL_MACHINE\Software\Test\KeyName].

Windowsオペレーティングシステムのレジストリキー名を表す1つの文字列、。値は、Microsoftの.regファイル、例えば、[HKEY_LOCAL_MACHINE \ SOFTWARE \テスト\キー名]のように符号化されています。

5.9.7.1.2. Value Element
5.9.7.1.2。値エレメント

One STRING, representing the value of the associated Key encoded as in Microsoft .reg files, e.g., REG_BINARY:01.

マイクロソフトの.regファイルのようにエンコードされた関連するキーの値を表す1つの文字列、例えば、REG_BINARY:01。

5.10. OriginatingSensor Element
5.10. OriginatingSensor要素

REQUIRED. The OriginatingSensor element contains the identification and cognizant data of the network element that detected this fraud activity. Note that the network element does not have to be on the Internet itself (i.e., it may be a local Intrusion Detection System (IDS)), nor is it required to be mechanical (e.g., humans are allowed).

必須。 OriginatingSensor要素は、この不正アクティビティを検出されたネットワーク要素の識別及び認識したデータを含んでいます。 (例えば、ヒトが許可されている)(すなわち、それは局所侵入検知システム(IDS)であってもよい)、ネットワーク要素は、インターネット自体にある必要はないことに留意されたい、またそれは、機械的であることが要求されます。

Multiple OriginatingSensor elements are allowed to support detection at multiple locations.

複数のOriginatingSensor要素が複数の場所での検出をサポートするために許可されています。

   +----------------------------+
   | OriginatingSensor          |
   +----------------------------+
   | ENUM OriginatingSensorType |<>------------[ DateFirstSeen ]
   |                            |<>--(1..*)----[ iodef:System ]
   +----------------------------+
        

Figure 5.10. The OriginatingSensor Element

図5.10。 OriginatingSensor要素

The OriginatingSensor requires a type value and identification of the entity that detected this fraudulent event.

OriginatingSensorこの不正イベントを検出したエンティティのタイプ値および識別を必要とします。

5.10.1. OriginatingSensorType Attribute
5.10.1. OriginatingSensorType属性

REQUIRED. ENUM. The value is chosen from the following list, categorizing the function of this sensor:

必須。 ENUM。値は、このセンサの機能を分類、以下のリストから選択されます。

1. web. A web server or service detected this event.
1.ウェブ。 Webサーバやサービスは、このイベントを検出しました。

2. webgateway. A proxy, firewall, or other network gateway detected this event.

2. webgateway。プロキシ、ファイアウォール、または他のネットワークゲートウェイは、このイベントを検出しました。

3. mailgateway. The event was detected via a mail gateway or filter.

3. mailgateway。イベントは、メールゲートウェイまたはフィルタを介して検出しました。

4. browser. The event was detected at the user web interface or browser-type element.

4.ブラウザ。イベントは、ユーザのウェブインタフェースまたはブラウザ型の素子で検出されました。

5. ispsensor. The event was detected by an automated system in the network, such as Intrusion Detection System, Intrusion Protection System, or other Internet Service Provider device.

5. ispsensor。イベントは、侵入検知システム、侵入防止システム、または他のインターネットサービスプロバイダデバイスとして、ネットワーク内の自動化システムによって検出されました。

6. human. A non-automated system (e.g., a human, manual analysis, etc.) detected this event.

6.人間。非自動化システム(例えば、ヒト、手動分析、等)このイベントを検出しました。

7. honeypot. The event was detected by receipt at a decoy device.
7.ハニーポット。イベントは、デコイ装置で受信することにより検出しました。
8. other. The detection was performed via a non-listed method.
8.その他。検出は、非上場方法により行いました。
5.10.2. DateFirstSeen Element
5.10.2. DateFirstSeen要素

REQUIRED. DATETIME. This is the date and time that this sensor first saw this phishing activity.

必須。日付時刻。これは、このセンサーが最初にこのフィッシング活動を見た日付と時刻です。

5.10.3. iodef:System Element
5.10.3. IODEF:システム要素

REQUIRED. One or more values of iodef:System. This is identification information (such as the IP version, IP address, etc.) of the entity that detected this event. The ability to identify multiple detectors is supported.

必須。 IODEFの1つ以上の値:システム。これは、このイベントを検出したエンティティ(例えば、IPバージョン、IPアドレス、等)の識別情報です。複数の検出器を識別する能力がサポートされています。

5.11. The DCSite Element
5.11. DCSite要素

Zero or more DCSite elements. The DCSite captures the type, identifier, location, and other pertinent information about the credential gathering process, or data collection site, used in the phishing incident. The data collection site is identified by four elements: the type of collector, the network location, information about its DNS domain, and a confidence factor. Further details about the domain, system, or owner of the DCSite can be inserted into the DomainData sub-element.

ゼロ以上DCSite要素。 DCSiteはフィッシング事件で使用されるタイプ、識別子、位置、および資格収集プロセスに関するその他の関連情報、またはデータ収集サイトを取り込みます。コレクタの種類、ネットワーク上の場所、そのDNSドメインに関する情報、および信頼係数:データ収集サイトは四つの要素によって識別されます。 DCSiteのドメイン、装置、または所有者に関するさらなる詳細はDomainDataサブエレメント内に挿入することができます。

If the DCSite element is present, a value is required. Multiple DCSite elements are allowed to indicate multiple collection sites for a single collector. Multiple URLs pointing to the same DNS entry can be identified with multiple SiteURL elements.

DCSite要素が存在する場合、値が必要とされます。複数のDCSite要素は、単一のコレクターのための複数の収集サイトを示すために許可されています。同じDNSエントリを指し示す複数のURLが複数SITEURL要素と識別することができます。

   +--------------+
   | DCSite       |
   +--------------+
   | ENUM DCType  |<>--+--------[ SiteURL ]
   |              |    +--------[ Domain ]
   |              |    +--------[ EmailSite ]
   |              |    +--------[ System ]
   |              |    +--------[ Unknown ]
   |              |<>--(0..*)---[ iodef:Node ]
   |              |<>--(0..1)---[ DomainData ]
   |              |<>--(0..1)---[ iodef:Assessment ]
   +--------------+
        

Figure 5.11. The DCSite Element

図5.11。 DCSite要素

5.11.1. DCType Attribute
5.11.1. DCType属性

REQUIRED. ENUM. The DCType attribute identifies the method of data collection as determined through the analysis of the victim computer, lure, or malware. This attribute coupled with the DCSite content identifies the data collection site.

必須。 ENUM。被害者のコンピュータ、ルアー、またはマルウェアの分析を通じて決定されるDCType属性は、データ収集の方法を特定します。 DCSite内容と相まってこの属性は、データ収集サイトを識別します。

1. web. The user is redirected to a website to collect the data.
1.ウェブ。ユーザーがデータを収集するためにウェブサイトにリダイレクトされます。
2. email. The victim sends an email with credentials enclosed.
2.電子メール。被害者は、囲まれた資格情報を使用して電子メールを送信します。
3. keylogger. Some form of keylogger is downloaded to the victim.
3.キーロガー。キーロガーのいくつかの形式は、被害者にダウンロードされます。

4. automation. Other forms of automatic data collection, such as background Object Linking and Embedding (OLE) automation, are used to capture information on the user's machine.

4.自動化。このような背景のオブジェクトのリンクと埋め込み(OLE)オートメーション、自動データ収集の他の形態は、ユーザーのマシン上の情報をキャプチャするために使用されています。

5. unspecified.
5.指定されていません。
5.11.2. DCSite Values
5.11.2. DCSite値

REQUIRED. The DCSite element contains the IP address, URL, email site, or other identifier of the credential or data collection site. The Domain choice may be used to identify entire "phishy" domains like those used for the RockPhish and related malware. Each DCSite element also includes a confidence attribute to convey the reporter's assessment of their confidence that this DCSite element is valid and involved with this event. The confidence value is a per-DCSite value, as multiple-site data collectors may have different confidence values.

必須。 DCSite要素は、IPアドレス、URL、Eメール・サイト、または資格情報またはデータ収集サイトの他の識別子が含まれています。ドメインの選択はRockPhishおよび関連マルウェアのために使用されるもののような全体の「フィッシングの」ドメインを同定するために使用することができます。各DCSite要素も、このDCSite要素が有効であり、このイベントに関与していると自信の記者の評価を伝えるために、信頼属性が含まれています。複数サイトのデータコレクタが異なる信頼値を有することができるよう信頼値は、あたりDCSite値です。

The DCSite element is a choice of:

DCSite要素が選択され:

1. SiteURL. One value of iodef:MLStringType. This choice supports URIs and other web-based identifiers.

1. SITEURL。 IODEFの一つの値:MLStringType。この選択は、URIと他のWebベースの識別子をサポートしています。

2. Domain. One value of iodef:MLStringType. This choice allows the entry of a DNS domain name.

2.ドメイン。 IODEFの一つの値:MLStringType。この選択は、DNSドメイン名の入力を可能にします。

3. EmailSite. One value of iodef:MLStringType. This choice includes an email address if the site used email communications.

3. EmailSite。 IODEFの一つの値:MLStringType。この選択は、サイトには、電子メール通信を使用した場合、電子メールアドレスが含まれています。

4. iodef:Address. One value of iodef:Address element. This choice is used to capture the IP address of a site.

4. IODEF:住所。 IODEFの一つの値:Address要素。この選択は、サイトのIPアドレスを捕捉するために使用されます。

5. Unknown. One value of iodef:MLStringType. The unknown entry is used for exceptions to the preceding choices.

5.不明。 IODEFの一つの値:MLStringType。未知のエントリは、前の選択肢には例外のために使用されています。

5.11.2.1. Confidence Attribute
5.11.2.1。信頼属性

One value of INTEGER. The confidence attribute is a value between 0 and 100, representing the reporter's certainty that this is a genuine phishing site. A value of 0 represents a false positive; a value of 100 signifies that the reporter has independently verified this site.

INTEGERの一つの値。信頼属性は、これが本物のフィッシングサイトであることを記者の確実性を表す、0〜100の値です。 0の値は、偽陽性を表します。 100の値は、記者が独立してこのサイトを確認したことを示しています。

5.11.3. iodef:Node Element
5.11.3. IODEF:ノード要素

Zero or more values of iodef:Node. This element is used to identify the IP address(es) or DNS names associated with the DCSite element value.

IODEFのゼロ以上の値:ノード。この要素はDCSite要素の値に関連付けられたIPアドレス(ES)またはDNS名を識別するために使用されます。

5.11.4. DomainData Element
5.11.4. DomainData要素

Zero or one value of DomainData (Section 5.9.2). This element allows for the identification of data associated with the data collection site.

ゼロ又はDomainDataの一つの値(セクション5.9.2)。この要素は、データ収集サイトに関連付けられたデータの識別が可能になります。

5.11.5. iodef:Assessment Element
5.11.5. IODEF:評価要素

Zero or one value of iodef:Assessment. This element is used to designate different confidence levels of multiple-site data collectors.

IODEFのゼロまたは1値:評価。この要素は、複数のサイトのデータコレクタの異なる信頼レベルを指定するために使用されます。

5.12. TakeDownInfo Element
5.12. TakeDownInfo要素

Zero or more TakeDownInfo elements. This element identifies the agent or agency that performed the removal, DNS domain disablement, or ISP-blockage of the phish or fraud collector site. A PhraudReport may have multiple TakeDownInfo elements to support activities where multiple takedown activities are involved on different dates. Note that the term "agency" is used to identify any party performing the blocking or removal, such as ISPs or private parties, and not just government entities.

ゼロ以上TakeDownInfo要素。この要素は、フィッシングや詐欺コレクタ部位の除去、DNSドメインの無効化、またはISP-閉塞を行っエージェントまたは代理店を識別します。 PhraudReportは、複数のテイクダウン活動が異なる日付に関与している活動を支援するために、複数のTakeDownInfo要素を有することができます。用語「代理店」とは、ISPやプライベートパーティーだけではなく、政府機関などのブロッキングまたは除去を行って当事者を識別するために使用されることに注意してください。

The TakeDownInfo element allows one date element with multiple TakeDownAgency and Comment elements to support operations using multiple agencies.

TakeDownInfo要素は、複数の機関を使用して操作をサポートするために、複数のTakeDownAgencyとコメント要素を1つの日付要素を可能にします。

   +-------------------+
   | TakeDownInfo      |
   +-------------------+
   |                   |<>---(0..1)--[ TakeDownDate ]
   |                   |<>---(0..*)--[ TakeDownAgency ]
   |                   |<>---(0..*)--[ TakeDownComments ]
   +-------------------+
        

Figure 5.12. The TakeDownInfo Element

図5.12。 TakeDownInfo要素

5.12.1. TakeDownDate
5.12.1. TakeDownDate

Zero or one value of DATETIME. This is the date and time that takedown of the collector site occurred.

ゼロまたはDATETIMEの一つの値。これは、コレクタサイトのテイクダウンが発生した日時です。

5.12.2. TakeDownAgency
5.12.2. TakeDownAgency

Zero or more iodef:MLStringType elements. This is a free-form string identifying the agency, corporation, or cooperative that performed the takedown.

ゼロ以上のIODEF:MLStringType要素。これはテイクダウンを行っ機関、法人、または協力を特定する自由形式の文字列です。

5.12.3. TakeDownComments
5.12.3. TakeDownComments

Zero or more iodef:MLStringType elements. A free-form field to add any additional details of this takedown effort or to identify parties that assisted in the effort at an Internet Service Provider (ISP), Computer Emergency Response Team (CERT), or DNS registry.

ゼロ以上のIODEF:MLStringType要素。自由形式のフィールドは、このテイクダウンの努力のいずれかの追加の詳細を追加したり、インターネットサービスプロバイダ(ISP)、コンピュータ緊急対応チーム(CERT)、またはDNSレジストリの努力を支援し、当事者を特定すること。

5.13. ArchivedData Element
5.13. ArchivedData要素

Zero or more values of the ArchivedData element are allowed.

ArchivedData要素のゼロ以上の値が許可されています。

   +-------------------+
   | ArchivedData      |
   +-------------------+
   | ENUM type         |<>---(0..1)--[ URL ]
   |                   |<>---(0..1)--[ Comments ]
   |                   |<>---(0..1)--[ Data ]
   +-------------------+
        

Figure 5.13. The ArchivedData Element

図5.13。 ArchivedData要素

The ArchivedData URL element is populated with a pointer to the contents of a data collection site, base camp (i.e., development site), or other site used by a phisher. The ArchivedData Data element may also include a copy of the archived data recovered from a phishing system. This element will be populated when, for example, an ISP takes down a phisher's website and has copied the site data into an archive file.

ArchivedData URL要素は、フィッシャーが使用するデータ収集サイト、ベースキャンプ(すなわち、開発サイト)、または他のサイトのコンテンツへのポインタが取り込まれます。 ArchivedDataデータ要素はまた、フィッシングシステムから回収されたアーカイブされたデータのコピーを含んでいてもよいです。例えば、ISPは、フィッシングのウェブサイトをダウン取り、アーカイブファイルにサイトのデータをコピーした際に、この要素が取り込まれます。

There are four types of archives currently supported, as specified in the type field.

タイプフィールドで指定され、現在サポートされているアーカイブの4種類があります。

5.13.1. type Attribute
5.13.1. type属性

REQUIRED. This parameter specifies the type of site data pointed to by the ArchivedData URL element, from the following list:

必須。このパラメータは、サイトデータの種類は、以下のリストから、ArchivedData URL要素によって指さ指定します。

1. collectionsite. The archive is a set of files from the collection site.

1. collectionsite。アーカイブは、収集サイトからのファイルのセットです。

2. basecamp. The contents of a criminal development site are included in the archive.

2.ベースキャンプ。犯罪の開発サイトの内容は、アーカイブに含まれています。

3. sendersite. The archive is a set of files or data from a phishing lure sending site.

3. sendersite。アーカイブは、フィッシングルアー送信サイトからファイルまたはデータのセットです。

4. credentialInfo. The included archives are recovered private credentials.

4. credentialInfo。付属のアーカイブは、民間の資格情報を回収します。

5. unspecified. The archive contents do not fit into one of the above categories and will be described in the DataComments element.

5.指定されていません。アーカイブの内容は、上記のカテゴリのいずれかに適合しないとDataComments要素に説明します。

5.13.2. URL Element
5.13.2. URLの要素

Zero or one value of anyURL. As the archive of an entire site can be quite large, the URL element points to an Internet-based server where the actual content of the site archive can be retrieved. Note that this element just points out where the archive is and does not include the entire archive in the report. This is the URL where the archive file is located.

ゼロまたはanyURLの一つの値。サイト全体のアーカイブとしてサイトのアーカイブの実際のコンテンツを検索することができ、インターネットベースのサーバーに非常に大きく、URLの要素をポイントすることができます。アーカイブは、レポートにアーカイブ全体を含まない場合、この要素がちょうど指摘ことに注意してください。これは、アーカイブファイルが置かれているURLです。

5.13.3. Comments Element
5.13.3. コメント要素

Zero or one value of iodef:MLStringType. This field is a free-form area for comments on the archive and/or URL.

IODEFのゼロまたは1値:MLStringType。このフィールドは、アーカイブおよび/またはURLのコメントのための自由形式の領域です。

5.13.4. Data Element
5.13.4. データ要素

Zero or one value of xs:Base64Binary. This field contains a base64- encoded version of the data described in the comment field above.

ゼロまたはxsの一つの値:base64Binaryの。このフィールドは、上記のコメント欄に記載されたデータのbase64-エンコードされたバージョンが含まれています。

5.14. RelatedData Element
5.14. RelatedData要素

Zero or more values of anyURI. This element allows the listing of other websites or net sites that are related to this incident (e.g., victim site, etc.).

anyURIののゼロ以上の値。この要素は、この事件(例えば、被害者のサイトなど)に関連している他のウェブサイトやネットサイトのリストを可能にします。

5.15. CorrelationData Element
5.15. CorrelationData要素

Zero or more values of iodef:MLStringType. Any information that correlates this incident to other incidents can be entered here.

IODEFのゼロ以上の値:MLStringType。他のインシデントにこの事件を関連付けたすべての情報はここに入力することができます。

5.16. PRComments Element
5.16. PRComments要素

Zero or one value of iodef:MLStringType. This field allows for any comments specific to this PhraudReport that do not fit in any other field.

IODEFのゼロまたは1値:MLStringType。このフィールドは他のフィールドに収まらないこのPhraudReportに固有のコメントが可能になります。

5.17. EmailRecord Element
5.17. EmailRecord要素

This element supports the inclusion of the actual email message received as a phishing lure. Inclusion of the actual mail message is supported by two methods: either the message may be included as one large string, or the header and body components may be dissected and included as a series of strings.

この要素は、フィッシングルアーとして受け取った実際の電子メールメッセージを含めることをサポートしています。実際のメールメッセージを含めることは、2つの方法でサポートされていますいずれかのメッセージが一つの大きな文字列として含まれてもよいし、ヘッダとボディコンポーネントが解剖および一連の文字列として含まれてもよいです。

   +--------------------+
   | EmailRecord        |
   +--------------------+
   |                    |<>--------------[ EmailCount ]
   |                    |<>--(0..1)------[ EmailMessage ]
   |                    |<>--(0..1)------[ EmailComments ]
   +--------------------+
        

Figure 5.14. The EmailRecord Element

図5.14。 EmailRecord要素

5.17.1. EmailCount Element
5.17.1. 要素EmailCount

REQUIRED. INTEGER. This field enumerates the number of email messages identified in this record as detected by the reporter.

必須。整数。レポーターによって検出されたとして、このフィールドは、このレコードで識別される電子メールメッセージの数を列挙します。

5.17.2. EmailMessage Element
5.17.2. EmailMessageの要素

Zero or one value of iodef:MLStringType. The entire SMTP mail message -- rfc822 header followed by body, as specified in [RFC5322] -- should be inserted as one large text string. In some communities, this combination is known as the message contents and full headers.

IODEFのゼロまたは1値:MLStringType。全体のSMTPメールメッセージ - [RFC5322]で指定されるように本体続いRFC822ヘッダは、 - 一つの大きな文字列として挿入されるべきです。いくつかのコミュニティでは、この組み合わせは、メッセージの内容と完全なヘッダとして知られています。

5.17.3. EmailComments Element
5.17.3. 要素EmailComments

Zero or one value of iodef:MLStringType elements. This field contains comments or relevant data not placed elsewhere about the phishing email.

IODEFのゼロまたは1値:MLStringType要素。このフィールドは、フィッシング詐欺メールについては他の場所に配置されていないコメントや関連データが含まれています。

6. Mandatory IODEF and PhraudReport Elements
6.必須IODEFとPhraudReport要素

A report about fraud or phishing requires certain identifying information that is contained within the standard IODEF Incident data structure and the PhraudReport extensions. The following table identifies attributes required to be present in a compliant PhraudReport to report phishing or fraud. The required attributes are a combination of those required by the base IODEF element, as shown in Figure 6.1, and those required by this document, shown in Figure 6.2. Attributes identified as required SHALL be populated in conforming phishing activity reports.

詐欺やフィッシングに関するレポートは、標準IODEFインシデントデータ構造とPhraudReport拡張内に含まれる特定の識別情報を必要とします。次の表は、フィッシングや詐欺を報告するために準拠したPhraudReport中に存在することが必要な属性を識別します。必要な属性は、図6.2に示す。図6.1に示すように、ベースIODEF要素によって要求されるもの、および本文書によって必要とされるもの、の組み合わせです。必要に応じて特定された属性は、フィッシング活動報告を準拠に移入するものとします。

A compliant IODEF PhraudReport SHALL contain the following elements and attributes:

対応IODEF PhraudReportは、以下の要素と属性が含まれていなければなりません。

   +--------------+
   | Incident     |
   +--------------+
   | ENUM Purpose |---[ IncidentID ]
   |              |---[ ReportTime ]
   |              |---[ Assessment ]
   |              |   ---> [ Impact ]
   |              |---[ Contact ]
   |              |   ---> [ @type ]
   |              |   ---> [ @role ]
   |              |   ---> [ * ]
   |              |---[ EventData ]
   |              |   ---> [ DetectTime ]
   |              |   ---> [ AdditionalData ]
   |              |        ---> [ PhraudReport ]
   +--------------+
        

Figure 6.1. IODEF Required Classes for a PhraudReport

図6.1。 PhraudReportためIODEF必須クラス

   +----------------+
   | PhraudReport   |
   +----------------+
   | ENUM FraudType |---[ LureSource ]
   | STRING Version |   ---> [ iodef:System ]
   |                |---[ OriginatingSensor ]
   |                |   --> [ DateFirstSeen ]
   |                |   --> [ iodef:System ]
   |                |       --> [ iodef:Node ]
   |                |
   +----------------+
        

Figure 6.2. PhraudReport Required Elements

図6.2。 PhraudReport必須要素

* Note that the iodef:Contact element is required, but none of its sub-elements are required. For proper XML correctness, one of the sub-elements is required; pick one.

* IODEFことに注意してください:連絡先の要素が必要とされるが、そのサブ要素のいずれも必要ありません。適切なXMLの正確ため、サブ要素のいずれかが必要です。一つを選ぶ。

6.1. Guidance on Usage
6.1. 使い方に関するガイダンス

It may be apparent that the mandatory attributes for a PhraudReport make for a quite sparse report. As incident forensics and data analysis require detailed information, the originator of a PhraudReport SHOULD include any tidbit of information gleaned from the attack analysis. Information that is considered sensitive can be marked as such using the restriction parameter of each data element.

PhraudReportのための必須属性がかなりまばらなレポートのために作ることは明らかであります。インシデントフォレンジックデータ解析は、詳細な情報を必要とする、PhraudReportの発信者は、攻撃分析から収集された情報のいずれかちらほらを含むべきです。敏感であると考えられる情報は、各データ要素の制限パラメータを使用してそのようにマークすることができます。

The reporting party is encouraged to provide more than just the minimally required data elements about an event in a PhraudReport. The additional information may be volatile and not recoverable in the future, and may be useful in answering investigation questions or in performing correlation with other reported events.

通報者はPhraudReportでのイベントについてだけで最低限必要なデータ要素以上のものを提供することが奨励されます。追加情報は、揮発性及び将来的に回復不可能であってもよく、調査の質問に答えるか、他の報告されたイベントとの相関を実行するのに有用であり得ます。

7. Security Considerations
7.セキュリティの考慮事項

This document specifies a format for encoding a particular class of security incidents appropriate for exchange across organizations. As merely a data representation, it does not directly introduce security issues. However, it is guaranteed that parties exchanging instances of this specification will have certain concerns. For this reason, the underlying message format and transport protocol used MUST ensure the appropriate degree of confidentiality, integrity, and authenticity for the specific environment.

この文書では、組織間で交換のための適切なセキュリティインシデントの特定のクラスを符号化するためのフォーマットを指定します。単にデータ表現として、それが直接、セキュリティ上の問題を紹介しません。しかし、この仕様のインスタンスを交換する当事者が一定の懸念を持っていることが保証されます。このため、使用される基本的なメッセージフォーマットとトランスポートプロトコルは、機密性、完全性、および特定の環境のための真正性の適切度を確保しなければなりません。

Organizations that exchange data using this document are URGED to develop operating procedures that document the following areas of concern.

このドキュメントを使用してデータを交換する組織は、懸念の次の領域を文書化する操作手順を開発するために促しています。

7.1. Transport-Specific Concerns
7.1. 転送固有の懸念

The critical security concerns are that phishing activity reports may be falsified or the PhraudReport may become corrupt during transit. In areas where transmission security or secrecy is questionable, the application of a digital signature and/or message encryption on each report will counteract both of these concerns. We expect that each exchanging organization will determine the need, and mechanism, for transport protection.

重要なセキュリティ上の懸念は、フィッシング活動報告が改ざんされたり、PhraudReportが輸送中に破損していることです。送信セキュリティ又は秘密は疑問である地域では、各レポートのデジタル署名及び/又はメッセージの暗号化の適用は、これらの懸念の両方に対抗します。私たちは、それぞれの交換組織はトランスポート保護のため、必要性、およびメカニズムを決定することを期待しています。

7.2. Using the iodef:restriction Attribute
7.2. IODEFの使用:制限属性を

In some instances, data values in particular elements may contain data deemed sensitive by the reporter. Although there are no general-purpose rules on when to mark certain values as "private" or "need-to-know" via the iodef:restriction attribute, the reporter is cautioned not to apply element-level sensitivity markings unless they believe the receiving party (i.e., the party they are exchanging the event report data with) has a mechanism to adequately safeguard and process the data as marked. For example, if the PhraudReport element is marked private and contains a phishing collector URL in the DCSite/SiteURL element, can that URL be included within a block list distributed to other parties? No guidance is provided here except to urge exchanging parties to review the IODEF and PhraudReport documents to decide on common marking rules.

いくつかの例では、特定の要素のデータ値は、レポーターにより敏感とみなさデータを含んでいてもよいです。 IODEFを経由して「プライベート」や「知る必要性」などの特定の値をマークするときには、汎用ルールありませんが:制限属性は、彼らが受信を信じていない限り、レポーターは、要素レベルの感度のマーキングを適用しないことに警告しました当事者は(つまり、彼らはイベントレポートデータを交換している党)がマークされてデータを適切に保護し、処理するための機構を有しています。例えば、PhraudReport要素がプライベートマークされ、DCSite / SITEURL要素におけるフィッシングコレクタURLが含まれている場合、そのURLは、他の関係者に配布ブロックリスト内に含まれることができますか?何ガイダンスは、共通のマーキングルールを決定するためにIODEFとPhraudReportドキュメントを確認するために交換関係者に促す除いて、ここで提供されていません。

8. IANA Considerations
8. IANAの考慮事項

This document uses URNs to describe XML namespaces and XML schemas conforming to a registry mechanism described in [RFC3688].

このドキュメントは[RFC3688]に記載されたレジストリ・メカニズムに準拠するXML名前空間とXMLスキーマを記述するためのURNを使用します。

Registration request for the IODEF phishing namespace:

IODEFフィッシング名前空間の登録要求:

URI: urn:ietf:params:xml:ns:iodef-phish-1.0

URI:URN:IETF:のparams:XML:NS:IODEF - フィッシング - 1.0

Registrant Contact: See the "Authors' Addresses" section of this document.

登録者連絡先:このドキュメントの「著者のアドレス」を参照してください。

XML: None.

XML:なし。

Registration request for the IODEF phishing extension XML schema:

IODEFフィッシング拡張XMLスキーマの登録要求:

URI: urn:ietf:params:xml:schema:iodef-phish-1.0

URI:URN:IETF:のparams:XML:スキーマ:IODEF - フィッシング - 1.0

Registrant Contact: See the "Authors' Addresses" section of this document.

登録者連絡先:このドキュメントの「著者のアドレス」を参照してください。

XML: See Appendix A, "Phishing Extensions XML Schema", of this document.

XML:この文書で、「フィッシング拡張XMLスキーマ」、付録Aを参照してください。

9. Contributors
9.協力者

The extensions are an outgrowth of the Anti-Phishing Working Group (APWG) activities in data collection and sharing of phishing and other e-crimeware. (The APWG has no relationship to an IETF working group.)

拡張子は、フィッシングやその他の電子クライムウェアのデータ収集・共有におけるフィッシング対策ワーキンググループ(APWG)の活動の副産物です。 (APWGは、IETFワーキンググループに関係がありません。)

This document has received significant assistance from members of the IETF INCH working group and two groups addressing the phishing problem: members of the APWG and participants in the Financial Services Technology Consortium's Counter-Phishing project. A special thanks goes to the hardy people who supplied valuable feedback after using this format to report phishing.

APWGのメンバーと金融サービス・テクノロジーコンソーシアムのカウンターフィッシングプロジェクトの参加者:この文書は、IETF INCHワーキンググループのメンバーとフィッシングの問題に対処する二つのグループからの重要な支援を受けています。特別な感謝は、フィッシングを報告するには、このフォーマットを使用した後に貴重なフィードバックを与え丈夫な人に行きます。

10. References
10.参考文献
10.1. Normative References
10.1. 引用規格

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。

[RFC3275] Eastlake, D., Reagle, J., and D. Solo, "(Extensible Markup Language) XML-Signature Syntax and Processing", RFC 3275, March 2002.

[RFC3275]イーストレーク、D.、Reagle、J.、およびD.ソロ "(拡張マークアップ言語)、XML署名の構文および処理"、RFC 3275、2002年3月。

[RFC3982] Newton, A. and M. Sanz, "IRIS: A Domain Registry (dreg) Type for the Internet Registry Information Service (IRIS)", RFC 3982, January 2005.

[RFC3982]ニュートン、A.とM.サンス、 "IRIS:ドメインレジストリ(DREG)インターネットレジストリ情報サービス(IRIS)のために入力し、"、RFC 3982、2005年1月。

[RFC5070] Danyliw, R., Meijer, J., and Y. Demchenko, "The Incident Object Description Exchange Format", RFC 5070, December 2007.

[RFC5070] Danyliw、R.、マイヤー、J.、およびY. Demchenko、 "インシデントオブジェクト説明交換フォーマット"、RFC 5070、2007年12月。

[SHA] National Institute of Standards and Technology, U.S. Department of Commerce, "Secure Hash Standard", FIPS 180-2, August 2002.

[SHA]アメリカ国立標準技術研究所、米国商務省が、「ハッシュ標準セキュア」、2002年8月、180-2をFIPS。

10.2. Informative References
10.2. 参考文献

[KB310516] Microsoft Corporation, "How to add, modify, or delete registry subkeys and values by using a registration entries (.reg) file", December 2007.

[KB310516]マイクロソフト社は、「追加する方法、変更、または登録エントリ(.reg)ファイルを使用してレジストリサブキーおよび値を削除」、2007年12月に。

[RFC3688] Mealling, M., "The IETF XML Registry", RFC 3688, January 2004.

[RFC3688] Mealling、M.、 "IETF XMLレジストリ"、RFC 3688、2004年1月。

[RFC5322] Resnick, P., "Internet Message Format", RFC 5322, October 2008.

[RFC5322]レズニック、P.、 "インターネットメッセージ形式"、RFC 5322、2008年10月。

Appendix A. Phishing Extensions XML Schema

付録A.フィッシング拡張XMLスキーマ

<?xml version="1.0" encoding="UTF-8"?> <xs:schema attributeFormDefault="unqualified" elementFormDefault="qualified" targetNamespace="urn:ietf:params:xml:ns:iodef-phish-1.0" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:phish="urn:ietf:params:xml:ns:iodef-phish-1.0" xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <xs:import namespace="http://www.w3.org/2000/09/xmldsig#" schemaLocation= "http://www.w3.org/TR/2002/REC-xmldsig-core-20020212 /xmldsig-core-schema.xsd"/>

<?xml version = "1.0" エンコード= "UTF-8"?> <XS:スキーマのattributeFormDefault = "非修飾" のelementFormDefault = "資格" のtargetNamespace = "壷:IETF:のparams:XML:NS:IODEF - フィッシング-1.0" xmlns = "壷:IETF:のparams:XML:NS:IODEF-1.0" のxmlns:XS = "http://www.w3.org/2001/XMLSchema" のxmlns:フィッシング= "壷:IETF:のparams:XML:NS :IODEF-フィッシング-1.0" のxmlns:IODEF = "URN:IETF:paramsは:XML:NS:IODEF-1.0" のxmlns:DS = "http://www.w3.org/2000/09/xmldsig#"> < XS:インポート名前空間= "http://www.w3.org/2000/09/xmldsig#" のschemaLocation =「http://www.w3.org/TR/2002/REC-xmldsig-core-20020212 / xmldsig-コアschema.xsd "/>

  <!--
  ==========================================================
  ===  Top-Level Class:  PhraudReport                    ===
  ==========================================================
        

It is incorporated within an IODEF.Incident.EventData.AdditionalData element.

これは、IODEF.Incident.EventData.AdditionalData要素内に組み込まれています。

All the top-level or major elements are defined as xs:types to make future extension easier.

すべてのトップレベルまたは主要な要素は、xsのように定義されています。種類は、将来の拡張を容易にします。

-->

ーー>

<xs:element name="PhraudReport"> <xs:complexType> <xs:sequence> <xs:element minOccurs="0" name="PhishNameRef" type="iodef:MLStringType"/> <xs:element minOccurs="0" name="PhishNameLocalRef" type="iodef:MLStringType"/> <xs:element minOccurs="0" name="FraudParameter" type="iodef:MLStringType"/> <xs:element maxOccurs="unbounded" minOccurs="0" name="FraudedBrandName" type="iodef:MLStringType"/> <xs:element maxOccurs="unbounded" minOccurs="1" name="LureSource" type="phish:LureSource.type"/> <xs:element maxOccurs="unbounded" minOccurs="1" name="OriginatingSensor" type="phish:OriginatingSensor.type"/> <xs:element maxOccurs="1" minOccurs="0" name="EmailRecord" type="phish:EmailRecord.type"/>

<XS:要素名= "PhraudReport"> <XS:complexTypeの> <XS:配列> <XS:要素のminOccurs = "0" NAME = "PhishNameRef" タイプ= "IODEF:MLStringType" /> <XS:要素のminOccurs =」 0" NAME = "PhishNameLocalRef" タイプ= "IODEF:MLStringType" /> <XS:要素のminOccurs = "0" NAME = "FraudParameter" タイプ= "IODEF:MLStringType" /> <XS:要素のmaxOccurs = "無限" のminOccurs = "0" NAME = "FraudedBrandName" タイプ= "IODEF:MLStringType" /> <XS:要素のmaxOccurs = "無限" のminOccurs = "1" NAME = "LureSource" タイプ= "フィッシング:LureSource.type" /> <XS:要素のmaxOccurs = "無限" のminOccurs = "1" NAME = "OriginatingSensor" タイプ= "フィッシング:OriginatingSensor.type" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "EmailRecord" タイプ= "フィッシング:EmailRecord.type "/>

        <xs:element maxOccurs="unbounded" minOccurs="0"
                    name="DCSite"  type="phish:DCSite.type"/>
        <xs:element maxOccurs="unbounded" minOccurs="0"
                    ref="phish:TakeDownInfo"/>
        <xs:element maxOccurs="unbounded" minOccurs="0"
                    ref="phish:ArchivedData"/>
        <xs:element maxOccurs="unbounded" minOccurs="0"
                    name="RelatedData" type="xs:anyURI"/>
        <xs:element maxOccurs="unbounded" minOccurs="0"
                    name="CorrelationData" type="iodef:MLStringType"/>
        <xs:element maxOccurs="1" minOccurs="0" name="PRComments"
                    type="iodef:MLStringType"/>
      </xs:sequence>
        

<xs:attribute default="1.0" name="Version" use="optional"/>

<XS:属性デフォルト= "1.0" 名前= "バージョン" 使用= "オプション" />

<xs:attribute name="FraudType" type="phish:FraudType.type" use="required"/>

<XS:属性名= "FraudType" タイプ= "フィッシング:FraudType.type" 使用は= "必要" />

<xs:attribute name="ext-value" type="xs:string" use="optional"/> </xs:complexType> </xs:element>

<XS:属性名= "EXT-値" タイプ= "XS:文字列" 使用= "オプション" /> </ XS:complexTypeの> </ XS:要素>

<xs:simpleType name="FraudType.type"> <xs:restriction base="xs:string"> <xs:enumeration value="phishing"/> <xs:enumeration value="recruiting"/> <xs:enumeration value="malware distribution"/> <xs:enumeration value="fraudulent site"/> <xs:enumeration value="dnsspoof"/> <xs:enumeration value="archive"/> <xs:enumeration value="other"/> <xs:enumeration value="unknown"/> <xs:enumeration value="ext-value"/> </xs:restriction> </xs:simpleType>

<XS:単純型名= "FraudType.type"> <XS:制限ベース= "XS:文字列"> <XS:列挙値= "フィッシング" /> <XS:列挙値= "募集" /> <XS:列挙値= "マルウェア配布" /> <XS:列挙値= "詐欺サイト" /> <XS:列挙値= "dnsspoof" /> <XS:列挙値= "アーカイブ" /> <XS:列挙値= "他"/> <XS:列挙値=" 不明 "/> <XS:列挙値=" EXT-値 "/> </ XS:制限> </ XS:simpleTypeの>

  <!--
==========================================================
===           End of the Top-Level Element             ===
==========================================================
-->
        
  <!--
  ==========================================================
  ===           The LureSource Element                   ===
  ==========================================================
  -->
        

<xs:complexType mixed="false" name="LureSource.type"> <xs:sequence> <xs:element maxOccurs="unbounded" minOccurs="1" ref="iodef:System"/>

<XS:complexTypeの混合= "false" の名= "LureSource.type"> <XS:配列> <XS:要素のmaxOccurs = "無限" のminOccurs = "1" REF = "IODEF:システム" />

      <xs:element minOccurs="0" maxOccurs="unbounded"
              ref="phish:DomainData"/>
        

<xs:element minOccurs="0" name="IncludedMalware" type="phish:IncludedMalware.type"/>

<XS:要素のminOccurs = "0" NAME = "IncludedMalware" タイプ= "フィッシング:IncludedMalware.type" />

<xs:element minOccurs="0" name="FilesDownloaded"> <xs:complexType> <xs:sequence> <xs:element minOccurs="1" name="File" type="iodef:MLStringType"/> </xs:sequence> </xs:complexType> </xs:element>

<XS:要素のminOccurs = "0" NAME = "FilesDownloaded"> <XS:complexTypeの> <XS:配列> <XS:要素のminOccurs = "1" NAME = "ファイル" タイプ= "IODEF:MLStringType" /> </ XS:シーケンス> </ XS:complexTypeの> </ XS:要素>

<xs:element minOccurs="0" name="WindowsRegistryKeysModified"> <xs:complexType> <xs:sequence> <xs:element maxOccurs="unbounded" name="Key"> <xs:complexType> <xs:sequence> <xs:element name="Name" type="xs:string"/> <xs:element name="Value" type="xs:string"/> </xs:sequence> </xs:complexType> </xs:element> </xs:sequence> </xs:complexType> </xs:element> </xs:sequence> </xs:complexType>

<XS:要素のminOccurs = "0" 名前= "WindowsRegistryKeysModified"> <XS:complexTypeの> <XS:シーケンス> <XS:要素のmaxOccurs = "無制限" 名前= "キー"> <XS:complexTypeの> <XS:シーケンス> <XS:要素名= "名前" タイプ= "XS:文字列" /> <XS:要素名= "値" タイプ= "XS:文字列" /> </ XS:シーケンス> </ XS:complexTypeの> </ XS:要素> </ XS:配列> </ XS:complexTypeの> </ XS:要素> </ XS:配列> </ XS:complexTypeの>

<!-- === LureSource sub-elements === -->

<! - === LureSourceサブ要素=== - >

<xs:complexType name="IncludedMalware.type"> <xs:sequence> <xs:element name="Name" maxOccurs="unbounded" type="iodef:MLStringType"/> <xs:element minOccurs="0" ref="ds:Reference"/> <xs:element minOccurs="0" name="Data"> <xs:complexType > <xs:simpleContent> <xs:extension base="xs:hexBinary"> <xs:attribute default="55AA55AA55AA55BB" name="XORPattern" type="xs:hexBinary"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> </xs:sequence> </xs:complexType>

<XS:complexTypeの名前= "IncludedMalware.type"> <XS:配列> <XS:要素名= "名前" のmaxOccurs = "unbounded" をタイプ= "IODEF:MLStringType" /> <XS:要素のminOccurs = "0" REF = "DS:リファレンス" /> <XS:要素のminOccurs = "0" 名前= "データ"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "XS:hexBinaryで"> <XS:属性デフォルト= "55AA55AA55AA55BB" NAME = "XORPattern" タイプ= "XS:のhexBinary" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素> </ XS:配列> </ XS:complexTypeの>

  <!--
 ===========================================================
 ===  The EmailRecord Element                            ===
 ===========================================================
  -->
        

<xs:complexType name="EmailRecord.type"> <xs:sequence> <xs:element name="EmailCount" type="xs:integer"/> <xs:element maxOccurs="1" minOccurs="0" name="EmailMessage" type="iodef:MLStringType"/> <xs:element maxOccurs="1" minOccurs="0" name="EmailComments" type="iodef:MLStringType"/> </xs:sequence> </xs:complexType>

<XS:complexTypeの名= "EmailRecord.type"> <XS:配列> <XS:要素名= "EmailCount" タイプ= "XS:整数" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" 名前= "EmailMessageの" タイプ= "IODEF:MLStringType" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "EmailComments" タイプ= "IODEF:MLStringType" /> </ XS:配列> </ XS :complexTypeの>

  <!--
 ===========================================================
 ===  The Data Collection Site (DCSite) Info Element     ===
 ===========================================================
  -->
        

<xs:complexType name="DCSite.type"> <xs:sequence> <xs:choice> <xs:element name="SiteURL">

<XS:complexTypeの名= "DCSite.type"> <XS:シーケンス> <XS:選択> <XS:要素名= "SITEURL">

          <xs:complexType>
            <xs:simpleContent>
              <xs:extension base="iodef:MLStringType">
                <xs:attribute ref="phish:confidence"/>
              </xs:extension>
            </xs:simpleContent>
          </xs:complexType>
        </xs:element>
        

<xs:element name="Domain"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute ref="phish:confidence"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element>

<XS:要素名= "ドメイン"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "IODEF:MLStringType"> <XS:属性REF = "フィッシング:自信" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素>

<xs:element name="EmailSite"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute ref="phish:confidence"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element>

<XS:要素名= "EmailSite"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "IODEF:MLStringType"> <XS:属性REF = "フィッシング:自信" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素>

<xs:element name="System"> <xs:complexType id="SystemType"> <xs:sequence> <xs:element ref="iodef:Address"/> </xs:sequence> <xs:attribute ref="phish:confidence"/> </xs:complexType> </xs:element>

<XS:要素名= "システム"> <XS:complexTypeのIDを= "SYSTEMTYPE"> <XS:シーケンス> <XS:要素REF = "IODEF:アドレス" /> </ XS:シーケンス> <XS:属性REF = "フィッシング:自信" /> </ XS:complexTypeの> </ XS:要素>

<xs:element name="Unknown"> <xs:complexType> <xs:simpleContent> <xs:extension base="iodef:MLStringType"> <xs:attribute ref="phish:confidence"/> </xs:extension> </xs:simpleContent> </xs:complexType> </xs:element> </xs:choice>

<XS:要素名= "不明"> <XS:complexTypeの> <XS:simpleContentを> <XS:増設ベース= "IODEF:MLStringType"> <XS:属性REF = "フィッシング:自信" /> </ XS:拡張> </ XS:simpleContentを> </ XS:complexTypeの> </ XS:要素> </ XS:選択>

<xs:element ref="iodef:Node" minOccurs="0" maxOccurs="unbounded"/> <xs:element minOccurs="0" ref="phish:DomainData"/> <xs:element minOccurs="0" ref="iodef:Assessment"/> </xs:sequence>

<XS:要素REF = "IODEF:ノード" のminOccurs = "0" のmaxOccurs = "無制限" /> <XS:要素のminOccurs = "0" REF = "フィッシング:DomainData" /> <XS:要素のminOccurs = "0" REF = "IODEF:アセスメント" /> </ XS:シーケンス>

<xs:attribute name="DCType" use="required"> <xs:simpleType> <xs:restriction base="xs:string"> <xs:enumeration value="web"/> <xs:enumeration value="email"/> <xs:enumeration value="keylogger"/> <xs:enumeration value="automation"/> <xs:enumeration value="unspecified"/> </xs:restriction> </xs:simpleType> </xs:attribute> </xs:complexType>

<XS:属性名= "DCType" の使用は= "必要"> <XS:単純> <XS:制限ベース= "XS:文字列"> <XS:列挙値= "ウェブ" /> <XS:列挙値=」メール "/> <XS:列挙値=" キーロガー "/> <XS:列挙値=" 自動化 "/> <XS:列挙値=" 未指定 "/> </ XS:制限> </ XS:単純> < / XS:属性> </ XS:complexTypeの>

  <!--
=================================================
==== The Domain Data Element used in System =====
=================================================
-->
        

<xs:element name="DomainData"> <xs:complexType id="DomainData.type"> <xs:sequence> <xs:element maxOccurs="1" name="Name" type="iodef:MLStringType"/> <xs:element maxOccurs="1" minOccurs="0" name="DateDomainWasChecked" type="xs:dateTime"/> <xs:element maxOccurs="1" minOccurs="0" name="RegistrationDate" type="xs:dateTime"/> <xs:element maxOccurs="1" minOccurs="0" name="ExpirationDate" type="xs:dateTime"/> <xs:element maxOccurs="unbounded" minOccurs="0" name="Nameservers"> <xs:complexType id="Nameservers.type"> <xs:sequence> <xs:element name="Server" type="iodef:MLStringType"/> <xs:element ref="iodef:Address" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType> </xs:element> <xs:choice id="DomainContacts" maxOccurs="1" minOccurs="0"> <xs:element name="SameDomainContact" type="iodef:MLStringType"/>

<XS:要素名= "DomainData"> <XS:complexTypeのID = "DomainData.type"> <XS:配列> <XS:要素のmaxOccurs = "1" NAME = "名前" タイプ= "IODEF:MLStringType" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "DateDomainWasChecked" タイプ= "XS:dateTimeの" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "RegistrationDate" タイプ=」 XS:dateTimeの "/> <XS:要素のmaxOccurs =" 1" のminOccurs = "0" NAME = "ExpirationDateと" タイプ= "XS:dateTimeの" /> <XS:要素のmaxOccurs = "無限" のminOccurs = "0" 名前= "ネームサーバ"> <XS:complexTypeのIDを= "Nameservers.type"> <XS:シーケンス> <XS:要素名= "サーバー" タイプ= "IODEF:MLStringType" /> <XS:要素REF = "IODEF:アドレス" maxOccurs = "無制限" /> </ XS:シーケンス> </ XS:complexTypeの> </ XS:要素> <XS:選択肢のid = "DomainContacts" のmaxOccurs = "1" のminOccurs = "0"> <XS:要素名= "SameDomainContact" タイプ= "IODEF:MLStringType" />

          <xs:sequence>
            <xs:element maxOccurs="unbounded" minOccurs="1"
                        ref="iodef:Contact"/>
          </xs:sequence>
        </xs:choice>
      </xs:sequence>
      <xs:attribute name="SystemStatus">
        <xs:simpleType id="SystemStatus.type">
          <xs:restriction base="xs:string">
            <xs:enumeration value="spoofed"/>
            <xs:enumeration value="fraudulent"/>
            <xs:enumeration value="innocent-hacked"/>
            <xs:enumeration value="innocent-hijacked"/>
            <xs:enumeration value="unknown"/>
          </xs:restriction>
        </xs:simpleType>
      </xs:attribute>
        

<xs:attribute name="DomainStatus"> <xs:simpleType id="DomainStatus.type"> <xs:restriction base="xs:string"> <xs:enumeration value="reservedDelegation"/> <xs:enumeration value="assignedAndActive"/> <xs:enumeration value="assignedAndInactive"/> <xs:enumeration value="assignedAndOnHold"/> <xs:enumeration value="revoked"/> <xs:enumeration value="transferPending"/> <xs:enumeration value="registryLock"/> <xs:enumeration value="registrarLock"/> <xs:enumeration value="other"/> <xs:enumeration value="unknown"/> </xs:restriction> </xs:simpleType> </xs:attribute> </xs:complexType> </xs:element>

<XS:属性名= "DomainStatus"> <XS:単純型ID = "DomainStatus.type"> <XS:制限ベース= "XS:文字列"> <XS:列挙値= "reservedDelegation" /> <XS:列挙値= "assignedAndActive" /> <XS:列挙値= "assignedAndInactive" /> <XS:列挙値= "assignedAndOnHold" /> <XS:列挙値= "失効" /> <XS:列挙値= "transferPending" /> <XS:列挙値= "registryLock" /> <XS:列挙値= "registrarLock" /> <XS:列挙値= "他の" /> <XS:列挙値= "不明" /> </ XS:制限> </ XS:単純> </ XS:属性> </ XS:complexTypeの> </ XS:要素>

<xs:element name="Confidence"> <xs:simpleType> <xs:restriction base="xs:nonNegativeInteger"> <xs:minInclusive value="0"/> <xs:maxInclusive value="100"/> </xs:restriction> </xs:simpleType> </xs:element>

<XS:要素名= "信頼"> <XS:単純> <XS:制限ベース= "XS:NonNegativeIntegerの"> <XS:のminInclusive値= "0" /> <XS:maxInclusiveを値= "100" /> < / XS:制限> </ XS:単純> </ XS:要素>

<xs:attribute name="confidence"> <xs:simpleType> <xs:restriction base="xs:nonNegativeInteger"> <xs:minInclusive value="0"/> <xs:maxInclusive value="100"/> </xs:restriction> </xs:simpleType> </xs:attribute>

<XS:属性名= "信頼"> <XS:単純> <XS:制限ベース= "XS:NonNegativeIntegerの"> <XS:のminInclusive値= "0" /> <XS:maxInclusiveを値= "100" /> < / XS:制限> </ XS:単純> </ XS:属性>

  <!--
=====================================================================
= ext-role Values for use within the DomainContact Contacts Element =
=====================================================================
-->
        

<xs:simpleType name="ext-role"> <xs:restriction base="xs:string"> <xs:enumeration value="billingContacts"/> <xs:enumeration value="technicalContacts"/> <xs:enumeration value="administrativeContacts"/> <xs:enumeration value="legalContacts"/> <xs:enumeration value="zoneContacts"/> <xs:enumeration value="abuseContacts"/> <xs:enumeration value="securityContacts"/> <xs:enumeration value="otherContacts"/> <xs:enumeration value="hostingProvider"/> </xs:restriction> </xs:simpleType>

<XS:単純型名= "EXT-役割"> <XS:制限ベース= "XS:文字列"> <XS:列挙値= "billingContacts" /> <XS:列挙値= "technicalContacts" /> <XS:列挙値= "administrativeContacts" /> <XS:列挙値= "legalContacts" /> <XS:列挙値= "zoneContacts" /> <XS:列挙値= "abuseContacts" /> <XS:列挙値= "securityContacts" / > <XS:列挙値= "otherContacts" /> <XS:列挙値= "hostingProvider" /> </ XS:制限> </ XS:simpleTypeの>

  <!--
=================================================
===  The OriginatingSensor Data Element       ===
=================================================
-->
        

<xs:complexType name="OriginatingSensor.type"> <xs:sequence> <xs:element name="DateFirstSeen" type="xs:dateTime"/> <xs:element maxOccurs="unbounded" minOccurs="1" ref="iodef:System"/> </xs:sequence>

<XS:complexTypeの名前= "OriginatingSensor.type"> <XS:配列> <XS:要素名= "DateFirstSeen" タイプ= "XS:dateTimeの" /> <XS:要素のmaxOccurs = "無限" のminOccurs = "1" REF = "IODEF:システム" /> </ XS:シーケンス>

<xs:attribute name="OriginatingSensorType" use="required"> <xs:simpleType id="OriginatingSensorType.type"> <xs:restriction base="xs:NMTOKENS"> <xs:enumeration value="web"/> <xs:enumeration value="webgateway"/> <xs:enumeration value="mailgateway"/>

<XS:属性名= "OriginatingSensorType" 使用= "必要"> <XS:simpleTypeのIDは= "OriginatingSensorType.type"> <XS:制限ベース= "XS:NMTOKENS"> <XS:列挙値= "ウェブ" /> <XS:列挙値= "webgateway" /> <XS:列挙値= "mailgateway" />

<xs:enumeration value="browser"/> <xs:enumeration value="ispsensor"/> <xs:enumeration value="human"/> <xs:enumeration value="honeypot"/> <xs:enumeration value="other"/> </xs:restriction> </xs:simpleType> </xs:attribute> </xs:complexType>

<XS:列挙値= "ブラウザ" /> <XS:列挙値= "ispsensor" /> <XS:列挙値= "ヒト" /> <XS:列挙値= "ハニーポット" /> <XS:列挙値= /> </ XS "その他":制限> </ XS:単純> </ XS:属性> </ XS:complexTypeの>

  <!--
======================================================
===            The TakeDown Data Structure         ===
======================================================
-->
        

<xs:element name="TakeDownInfo" type="phish:TakeDownInfo.type"/>

<XS:要素名= "TakeDownInfo" タイプ= "フィッシング:TakeDownInfo.type" />

<xs:complexType name="TakeDownInfo.type"> <xs:sequence> <xs:element maxOccurs="1" minOccurs="0" name="TakeDownDate" type="xs:dateTime"/>

<XS:complexTypeの名= "TakeDownInfo.type"> <XS:配列> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "TakeDownDate" タイプ= "XS:dateTimeの" />

      <xs:element maxOccurs="unbounded" minOccurs="0"
              name="TakeDownAgency"  type="iodef:MLStringType"/>
        

<xs:element maxOccurs="unbounded" minOccurs="0" name="TakeDownComments" type="iodef:MLStringType"/> </xs:sequence> </xs:complexType>

<XS:要素のmaxOccurs = "無限" のminOccurs = "0" NAME = "TakeDownComments" タイプ= "IODEF:MLStringType" /> </ XS:配列> </ XS:complexTypeの>

  <!--
=========================================================
===         The ArchivedData Element                  ===
=========================================================
-->
  <xs:element name="ArchivedData" type="phish:ArchivedData.type"/>
        

<xs:complexType name="ArchivedData.type"> <xs:sequence> <xs:element minOccurs="0" name="URL" type="xs:anyURI"/> <xs:element minOccurs="0" name="Comments" type="iodef:MLStringType"/> <xs:element maxOccurs="1" minOccurs="0" name="Data" type="xs:base64Binary"/> </xs:sequence>

<XS:complexTypeの名= "ArchivedData.type"> <XS:シーケンス> <XS:要素のminOccurs = "0" 名前= "URL" タイプ= "XS:anyURIの" /> <XS:要素のminOccurs = "0" の名前= "コメント" タイプ= "IODEF:MLStringType" /> <XS:要素のmaxOccurs = "1" のminOccurs = "0" NAME = "データ" タイプ= "XS:base64Binaryの" /> </ XS:配列>

<xs:attribute name="type" use="required"> <xs:simpleType id="ArchivedDataType.type"> <xs:restriction base="xs:NMTOKENS"> <xs:enumeration value="collectionsite"/> <xs:enumeration value="basecamp"/> <xs:enumeration value="sendersite"/> <xs:enumeration value="credentialInfo"/> <xs:enumeration value="unspecified"/> </xs:restriction> </xs:simpleType> </xs:attribute> </xs:complexType>

<XS:属性名= "タイプ" 使用= "必要"> <XS:simpleTypeのIDは= "ArchivedDataType.type"> <XS:制限ベース= "XS:NMTOKENS"> <XS:列挙値= "collectionsite" /> <XS:列挙値= "ベースキャンプ" /> <XS:列挙値= "sendersite" /> <XS:列挙値= "credentialInfo" /> <XS:列挙値= "未指定" /> </ XS:制限> </ XS:単純> </ XS:属性> </ XS:complexTypeの>

</xs:schema>

</ XS:スキーマ>

Appendix B. Example Virus Report

付録B.例のウイルスレポート

This section shows a received electronic mail message that included a virus in a zipped attachment and a report that was generated for that message.

このセクションでは、ZIP形式の添付ファイルと、そのメッセージのために生成されたレポートにウイルスが含まれて受信した電子メール・メッセージを示しています。

B.1. Received Email

B.1。受信したメール

From: support@example.com Sent: Friday, June 10, 2005 3:52 PM To: someone@example.com Subject: Account update

投稿者:support@example.com送信:2005年6月10日(金曜日)15:52へ:someone@example.com件名:アカウントの更新

To: someone@example.com Date: Sun, 10 June 2005 3:52:44 +0200

To:someone@example.com日:日、2005年6月10日午前3時52分44秒0200

We would like to inform you that we have released a new version of our Customer Form. This form is required to be completed by all customers.

当社は、顧客フォームの新バージョンをリリースしたことをお知らせしたいと思います。この形式は、すべてのお客様が完了する必要があります。

Please follow these steps:

次の手順を実行してください。

1.Open the form at http://www.example.com/customerservice/cform.php <http://www.2.example.com/customerservice/cform.php &amp;email=(someone@example.com)> . 2.Follow given instructions.

1.Open http://www.example.com/customerservice/cform.phpでフォーム<http://www.2.example.com/customerservice/cform.php&#038; Eメール=(someone@example.com )>。 2.Follow指示。

Thank you, Our Support Team

ありがとう、私たちのサポートチーム

B.2. Generated Report

B.2。生成されたレポート

NOTE: Some wrapping and folding liberties have been applied to fit it into the margins.

注:一部のラッピングと折りたたみ自由は余白にそれに合うように適用されています。

<?xml version="1.0" encoding="UTF-8"?> <IODEF-Document lang="en-US" xmlns:phish="urn:ietf:params:xml:ns:iodef-phish-1.0" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0"> <Incident purpose="reporting" ext-purpose="create"> <IncidentID name="example.com">PAT2005-06</IncidentID> <ReportTime>2005-06-22T08:30:00-05:00</ReportTime> <Description>This is a test report from actual data. </Description> <Assessment> <Impact type="social-engineering"/> <Confidence rating="high"/> </Assessment> <Contact role="creator" type="person"> <ContactName>patcain</ContactName> <Email>pcain@coopercain.com</Email> </Contact> <EventData> <DetectTime>2005-06-21T18:22:02-05:00</DetectTime> <AdditionalData dtype="xml"> <phish:PhraudReport FraudType="phishing"> <phish:FraudParameter> Subject: Account Update </phish:FraudParameter> <phish:FraudedBrandName>Cooper-Cain </phish:FraudedBrandName> <phish:LureSource> <System category="source"> <Node> <Address>192.0.2.18</Address> </Node> </System> <phish:IncludedMalware> <phish:Name>W32.Mytob.EA@mm</phish:Name> </phish:IncludedMalware> </phish:LureSource> <phish:OriginatingSensor OriginatingSensorType="human"> <phish:DateFirstSeen>2005-06-10T15:52:11-05:00 </phish:DateFirstSeen> <System> <Node> <Address>192.0.2.13</Address>

<?xmlのバージョン= "1.0" エンコード= "UTF-8"> <IODEF-ドキュメントのlang = "EN-US" のxmlns:フィッシング= "壷:IETF:のparams:XML:NS:IODEF - フィッシング-1.0" のxmlns = "壷:IETF:のparams:XML:NS:IODEF-1.0" のxmlns:IODEF = "壷:IETF:のparams:XML:NS:IODEF-1.0"> <インシデントの目的= "報告" EXT-目的= "作成" > <IncidentID名= "example.com"> PAT2005-06 </ IncidentID> <ReportTime> 2005-06-22T08:30:00-05:00 </ ReportTime> <説明>これは、実際のデータからテストレポートです。 </説明> <評価> <インパクトタイプ= "ソーシャル・エンジニアリング" /> <自信の評価= "高" /> </アセスメント> <連絡先の役割= "生みの親" タイプ= "人"> <担当者名> patcain </ [担当> <メール> pcain@coopercain.com </メール> </お問い合わせ> <EventDataの> <DetectTime> 2005-06-21T18:22:02-05:00 </ DetectTime> <AdditionalData DTYPE = "XML"> <フィッシング:PhraudReport FraudType = "フィッシング"> <フィッシング:FraudParameter>件名:アカウントの更新</フィッシング:FraudParameter> <フィッシング:FraudedBrandName>クーパー・カイン</フィッシング:FraudedBrandName> <フィッシング:LureSource> <Systemカテゴリ= "ソース" > <ノード> <アドレス> 192.0.2.18 </住所> </ノード> </システム> <フィッシング:IncludedMalware> <フィッシング:名> W32.Mytob.EA@mm </フィッシング:名前> </フィッシング:IncludedMalware > </フィッシュ:LureSource> <フィッシング:OriginatingSensor OriginatingSensorType = "ヒト"> <フィッシング:DateFirstSeen> 2005-06-10T15:52:11から05:00 </フィッシュ:DateFirstSeen> <システム> <ノード> <住所> 192.0.2.13 </住所>

           </Node>
         </System>
       </phish:OriginatingSensor>
       <phish:EmailRecord>
         <phish:EmailCount>1</phish:EmailCount>
         <phish:EmailMessage>
 Return-path: &lt;support@example.com&gt;
  Envelope-to: someone@example.com
 Delivery-date: Fri, 10 Jun 2005:52:11-0400
 Received: from dsl18-2-0-192.dsl.example.net([192.0.2.18]
  helo=example.com) by mail06.example.com esmtp (Exim) id
  1DgpXy-0002Ua-IR for someone@example.com;,
  10 Jun 2005 15:52:10-0400
 From: support@example.com
 To: someone@example.com
 Subject: Account Update
 Date: Fri, 10 Jun 2005 12:52:00 -0700
 MIME-Version: 1.0
 Content Type: text/plain;
         charset="Windows-1251"
 X-Priority: 3MSMail-Priority: Normal
 X-EN-OrigIP: 192.0.2.18
 EN-OrigHost: dsl18-2-0-192.dsl.example.net
 Spam-Checker-Version: SpamAssassin 3.0.2 (2004-11-16)
  on.example.net
 X-Spam-Level: ***** X-Spam-Status: No,
  score=5.6 required=6.0 tests=BAYES_95,CABLEDSL,HTML_20_30,
  HTML_MESSAGE,MIME_HTML_ONLY,MISSING_MIMEOLE,
  NO_REAL_NAME,
  PRIORITY_NO_NAME autolearn=disabled version=3.0.2
        

From:support@example.com Sent: Friday, June 10, 2005 3:52 PM Subject: Account update

投稿者:送信support@example.com:2005年6月10日(金曜日)15:52件名:アカウントの更新

To: someone@example.com Date: Sun, 10 June 2005 3:52:44 +0200

To:someone@example.com日:日、2005年6月10日午前3時52分44秒0200

We would like to inform you that we have released a new version of our Customer Form. This form is required to be completed by all customers.

当社は、顧客フォームの新バージョンをリリースしたことをお知らせしたいと思います。この形式は、すべてのお客様が完了する必要があります。

Please follow these steps:

次の手順を実行してください。

1.Open the form at http://www.example.com/customerservice/cform.php &lt;http://www.2.example.com/customerservice/cform.php &amp;email=(someone@example.com)> . 2.Follow given instructions.

//www.2.example.com/customerservice/cform.php&#038;電子メールの例@ =(誰かます:http; http://www.example.com/customerservice/cform.php&LTでフォーム1.Open .COM)>。 2.Follow指示。

Thank you, Our Support Team </phish:EmailMessage> </phish:EmailRecord> </phish:PhraudReport> </AdditionalData> </EventData> </Incident> </IODEF-Document>

ありがとう、私たちのサポートチーム</フィッシング:EmailMessageの> </フィッシング:EmailRecord> </フィッシング:PhraudReport> </ AdditionalData> </ EventDataの> </インシデント> </ IODEF-ドキュメント>

Appendix C. Sample Phishing Report

付録C.サンプルフィッシングレポート

A sample report generated from a received electronic mail phishing message in shown in this section.

このセクションで示さで受信した電子メールフィッシングメッセージから生成されたサンプル・レポート。

C.1. Received Lure

C.1。受信したルアー

Return-path: <service@example.com> Envelope-to: pcain@example.com Delivery-date: Tue, 13 Jun 2006 05:37:22 -0400 Received: from mail15.example.com ([10.1.1.161] helo=mail15.example.com) by mailscan38.example.com with esmtp (Exim) id 1Fq5Kr-0005wU-LT for pcain@example.com; Tue, 13 Jun 2006 05:37:21 -0400 Received: from [192.0.2.61] (helo=TSI) by mail15.example.com with esmtp (Exim) id 1Fq5Bj-0006dv-6b for pcain@example.com; Tue, 13 Jun 2006 05:37:21 -0400 Received: from User ([192.0.2.157]) by TSI with Microsoft SMTPSVC(5.0.2195.6713); Tue, 13 Jun 2006 02:24:30 -0400 Reply-To: <nospam@example.org> From: "company"<service@example.com> Subject: * * * Update & Verify Your Example Company Account * * * Date: Tue, 13 Jun 2006 02:36:34 -0400 MIME-Version: 1.0 Content-Type: text/html; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 1 X-MSMail-Priority: High X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Bcc: Message-ID: <TSIlYbvhBISmT6QcWY90000085f@TSI> X-OriginalArrivalTime: 13 Jun 2006 06:24:30.0218 (UTC) FILETIME=[072A66A0:01C68EB2] X-EN-OrigSender: service@example.com

リターンパス:<service@example.com>封筒-へ:pcain@example.com納期:火、2006年6月13日午前5時37分22秒-0400受付:mail15.example.com([10.1.1.161]からpcain@example.comためHELO = mail15.example.com)mailscan38.example.comによってESMTPと(輸出入)ID 1Fq5Kr-0005wU-LT。火曜2006年6月13日午前5時37分21秒-0400受付:[192.0.2.61](HELO = TSI)からmail15.example.comによってpcain@example.comためESMTP(輸出入)ID 1Fq5Bj-0006dv-6Bと;受信火曜、2006年6月13日午前5時37分21秒-0400:ユーザー([192.0.2.157])からMicrosoft SMTPSVCとTSI(5.0.2195.6713)によって;火曜、2006年6月13日2時24分30秒-0400返信先:<nospam@example.org>から: "会社" <service@example.com>件名:* * *更新&あなたの例会社のアカウントを確認してください* * *日付:火曜、2006年6月13日2時36分34秒-0400 MIME-バージョン:1.0のContent-Type:text / htmlの。文字セット=の "Windows-1251" コンテンツ転送 - エンコード:7ビットX-優先順位:1 X-のMSMail-優先度:高X-Mailerの:マイクロソフトのOutlook Express 6.00.2600.0000 X-MimeOLE:マイクロソフトMimeOLE V6.00.2600.0000 Bccのプロデュース:メッセージID:<TSIlYbvhBISmT6QcWY90000085f @ TSI> X-OriginalArrivalTime:2006年6月13日06:24:30.0218(UTC)FILETIME = [072A66A0:01C68EB2] X-EN-OrigSender:service@example.com

X-EN-OrigIP: 192.0.2.1 X-EN-OrigHost: unknown

X-EN-OrigIP:192.0.2.1 X-EN-OrigHost:不明

Company<http://www.example.com/images/company_logo.gif> <http://www.example.com/images/pixel.gif> <http://www.example.com/images/pixel.gif> <http://www.example.com/images/pixel.gif> Account Update Request

会社<http://www.example.com/images/company_logo.gif> <http://www.example.com/images/pixel.gif> <http://www.example.com/images/pixel。 GIF> <http://www.example.com/images/pixel.gif>アカウントの更新リクエスト

Dear Example. member:,

親愛なる例。メンバー:、

You are receiving this notification because company is required by law to notify you, that you urgently need to update your online account statement, due to high risks of fraud intentions.

同社は、あなたが緊急に起因する不正行為の意図の高いリスクに、オンラインアカウントステートメントを更新する必要があることを、あなたに通知するために法律によって要求されるため、この通知を受けています。

The updating of your example account can be done at any time by clicking on the link shown below http://www.example.com/cgi-bin/webscr?cmd=_login-run <http://192.0.2.41:8080/.cgi-bin/.webscr/.secure-login/%20/%20/.payp al.com/index.htm>

あなたの例アカウントの更新がhttp://www.example.com/cgi-bin/webscr?cmd=_login-run <http://192.0.2.41:8080の下に示したリンクをクリックすると、いつでも行うことができます/.cgi-bin/.webscr/.secure-login/%20/%20/.payp al.com/index.htm>

Once you log in, update your account information. After updating your account, click on the History sub tab of your Account Overview page to see your most recent statement.

ログインすると、アカウント情報を更新します。アカウントを更新した後、あなたの最も最近の声明を見るためにあなたのアカウントの概要ページの履歴サブタブをクリックします。

If you need help with your password, click the Help link that is at the upper righthand side of the company website. To report errors in your statement or make inquiries, click the Contact Us link in the footer on any page of the company website, call our Customer Service center at (999) 555-0167, or write us at:

パスワードのヘルプが必要な場合は、会社のウェブサイトの上部の右側にある[ヘルプ]リンクをクリックしてください。あなたの文でエラーを報告や問い合わせをする、会社のウェブサイトのどのページにフッターにお問い合わせ]リンクをクリックし、(999)555から0167で、当社の顧客サービスセンターを呼び出すか、でお問い合わせを書き込むには:

Company, Inc. P.O. Box 0 Anytown, MA 00000

社の私書箱ボックス0 Anytown、MA 00000

Sincerely,

敬具

Big Example Company

ビッグ例カンパニー

<http://www.example.com/images/dot_row_long.gif>

<hっtp://wっw。えぁmpぇ。こm/いまげs/どt_ろw_ぉんg。ぎf>

C.2. Phishing Report

C.2。フィッシングレポート

<?xml version="1.0" encoding="UTF-8"?> <IODEF-Document xmlns:phish="urn:ietf:params:xml:ns:iodef-phish-1.0" xmlns="urn:ietf:params:xml:ns:iodef-1.0" xmlns:iodef="urn:ietf:params:xml:ns:iodef-1.0" lang="en-US"> <Incident purpose="mitigation" ext-purpose="create" restriction="private"> <IncidentID name="example.com">CC200600000002</IncidentID> <ReportTime>2006-06-13T21:14:56-05:00</ReportTime> <Description>This is a sample phishing email received report. The phish was actually received as is.</Description> <Assessment> <Impact severity="high" type="social-engineering"/> <Confidence rating="numeric">85</Confidence> </Assessment> <Contact role="creator" type="person"> <ContactName>patcain</ContactName> <Email>pcain@example.com</Email> </Contact> <EventData> <DetectTime>2006-06-13T05:37:21-04:00</DetectTime> <AdditionalData dtype="xml"> <phish:PhraudReport FraudType="phishing"> <phish:FraudParameter> * * * Update &amp; Verify Your Company Account * * * </phish:FraudParameter> <phish:FraudedBrandName>company</phish:FraudedBrandName> <phish:LureSource> <System category="source"> <Node> <Address>192.0.2.4</Address> </Node> </System> </phish:LureSource> <phish:OriginatingSensor OriginatingSensorType="mailgateway"> <phish:DateFirstSeen> 2006-06-13T05:37:22-04:00</phish:DateFirstSeen> <System> <Node> <NodeRole category="mail"/> </Node> </System> </phish:OriginatingSensor>

<?xml version = "1.0" エンコード= "UTF-8"?> <IODEF-ドキュメントのxmlns:フィッシング= "壷:IETF:のparams:XML:NS:IODEF - フィッシング-1.0" のxmlns = "壷:IETF:のparams :XML:NS:IODEF-1.0" のxmlns:IODEF = "壷:IETF:のparams:XML:NS:IODEF-1.0" LANG = "EN-US"> <インシデントの目的= "緩和" EXT-目的は、= "" 作成制限= "プライベート"> <IncidentID名= "example.com"> CC200600000002 </ IncidentID> <ReportTime> 2006-06-13T21:14:56から05:00 </ ReportTime> <解説>これはサンプルフィッシングメールです報告を受けました。あるようフィッシングが実際に受信しました。</説明> <評価> <衝撃の重大度=「高」タイプ=「ソーシャル・エンジニアリング」/> <信頼格付け=「数値」> 85 </信頼> </アセスメント> <連絡先役割= "生みの親" タイプ= "人"> <担当者名> patcain </担当者名> <メール> pcain@example.com </メール> </お問い合わせ> <EventDataの> <DetectTime> 2006-06-13T05:37:21 -04:00 </ DetectTime> <AdditionalData DTYPE = "XML"> <フィッシング:PhraudReport FraudType = "フィッシング"> <フィッシング:FraudParameter> * * *アップデート&#038;企業アカウントを確認してください* * * </フィッシング:FraudParameter> <フィッシング:FraudedBrandName>会社</フィッシング:FraudedBrandName> <フィッシング:LureSource> <Systemカテゴリ= "ソース"> <ノード> <アドレス> 192.0.2.4 </住所> </ノード> </システム> </フィッシュ:LureSource> <フィッシング:OriginatingSensor OriginatingSensorType = "mailgateway"> <フィッシング:DateFirstSeen> 2006-06-13T05:37:22から04:00 </フィッシュ:DateFirstSeen> <システム> <ノード> <NodeRoleカテゴリ= "メール" /> </ノード> </システム> </フィッシング:OriginatingSensor>

<phish:EmailRecord> <phish:EmailCount>1</phish:EmailCount> <phish:EmailMessage> Return-path: &lt;service@example.com> Envelope-to: pcain@example.com Delivery-date: Tue, 13 Jun 2006 05:37:22 -0400 Received: from mail15.example.com ([10.1.1.161] helo=mail15.example.com) by mailscan38.example.com with esmtp (Exim) id 1Fq5Kr-0005wU-LT for pcain@example.com; Tue, 13 Jun 2006 05:37:21 -0400 Received: from [192.0.2.61] (helo=TSI) by mail15.example.com with esmtp (Exim) id 1Fq5Bj-0006dv-6b for pcain@example.com; Tue, 13 Jun 2006 05:37:21 -0400 Received: from User ([192.0.2.157]) by TSI with Microsoft SMTPSVC(5.0.2195.6713); Tue, 13 Jun 2006 02:24:30 -0400 Reply-To: &lt;nospam@example.org> From: "company"&lt;service@example.com> Subject: * * * Update &amp; Verify Your Example Company Account * * * Date: Tue, 13 Jun 2006 02:36:34 -0400 MIME-Version: 1.0 Content-Type: text/html; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 1 X-MSMail-Priority: High X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Bcc: Message-ID: &lt;TSIlYbvhBISmT6QcWY90000085f@TSI> X-OriginalArrivalTime: 13 Jun 2006 06:24:30.0218 (UTC) FILETIME=[072A66A0:01C68EB2] X-EN-OrigSender: service@example.com X-EN-OrigIP: 192.0.2.1 X-EN-OrigHost: unknown

<フィッシング:EmailRecord> <フィッシング:EmailCount> 1 </フィッシュ:EmailCount> <フィッシング:EmailMessageの>リターンパス:&LT; service@example.com>エンベロープへ:pcain@example.com納期:火、 2006年6月13日午前5時37分22秒-0400受付:mail15.example.com([10.1.1.161] HELO = mail15.example.com)からmailscan38.example.comによってESMTPと(輸出入)ID 1Fq5Kr-0005wU-LT用pcain@example.com;火曜2006年6月13日午前5時37分21秒-0400受付:[192.0.2.61](HELO = TSI)からmail15.example.comによってpcain@example.comためESMTP(輸出入)ID 1Fq5Bj-0006dv-6Bと;受信火曜、2006年6月13日午前5時37分21秒-0400:ユーザー([192.0.2.157])からMicrosoft SMTPSVCとTSI(5.0.2195.6713)によって;火曜、2006年6月13日2時24分30秒-0400返信先:&LT; nospam@example.org>から: "会社" &LT; service@example.com>件名:* * *アップデート&#038;確認してくださいあなたの例会社のアカウント* * *日:火、2006年6月13日午前2時36分34秒-0400 MIME-バージョン:1.0のContent-Type:text / htmlの。文字セット=の "Windows-1251" コンテンツ転送 - エンコード:7ビットX-優先順位:1 X-のMSMail-優先度:高X-Mailerの:マイクロソフトのOutlook Express 6.00.2600.0000 X-MimeOLE:マイクロソフトMimeOLE V6.00.2600.0000 Bccのプロデュース:メッセージID:&LT; TSIlYbvhBISmT6QcWY90000085f @ TSI> X-OriginalArrivalTime:2006年6月13日06:24:30.0218(UTC)FILETIME = [072A66A0:01C68EB2] X-EN-OrigSender:service@example.com X-EN-OrigIP :192.0.2.1 X-EN-OrigHost:不明

  &lt;img src="http://www.example.com/images/company_logo.gif"&gt;
  &lt;img src="http://www.example.com/images/pixel.gif"&gt;
  &lt;img src="http://www.example.com/images/pixel.gif"&gt;
  &lt;img src="http://www.example.com/im/pixel.gif"&gt;
  Account Update Request
        

Dear Example. member:, You are receiving this notification because company is required by law to notify you, that you urgently need to update your online account statement, due to high risks of fraud intentions.

親愛なる例。同社は、あなたが緊急に起因する不正行為の意図の高いリスクに、オンラインアカウントステートメントを更新する必要があることを、あなたに通知するために法律によって要求されるため、この通知を受けている:,メンバー。

The updating of your example account can be done at any time by clicking on the link shown below &lt;a href="http://192.0.2.41:8080/.cgi-bin/.webscr/.secure-login/%20/%20/.example.com/index.htm"> http://www.example.com/cgi-bin/webscr?cmd=_login-run &lt;/a>

あなたの例アカウントの更新は、以下の&LT示したリンクをクリックすると、いつでも行うことができます。HREF = "http://192.0.2.41:8080/.cgi-bin/.webscr/.secure-login/% 20/20%/ .example.comの/ index.htmを "> http://www.example.com/cgi-bin/webscr?cmd=_login-run&LT; / A>

Once you log in,update your account information. After updating your account click on the History sub tab of your Account Overview page to see your most recent statement.

ログインすると、アカウント情報を更新します。あなたの最も最近の声明を見るためにあなたのアカウントの概要ページの履歴サブタブ上のアカウントのクリックを更新した後。

If you need help with your password, click the Help link which is at the upper right hand side of the company website. To report errors in your statement or make inquiries, click the Contact Us link in the footer on any page of the company website, call our Customer Service center at (999) 555-0167, or write us at:

パスワードのヘルプが必要な場合は、会社のウェブサイトの右上にあるヘルプリンクをクリックしてください。あなたの文でエラーを報告や問い合わせをする、会社のウェブサイトのどのページにフッターにお問い合わせ]リンクをクリックし、(999)555から0167で、当社の顧客サービスセンターを呼び出すか、でお問い合わせを書き込むには:

Company, Inc. P.O. Box 0 Anytown, MA 00000

社の私書箱ボックス0 Anytown、MA 00000

Sincerely,

敬具

Big Example Company

ビッグ例カンパニー

&lt;img src="http://www.example.com/images/dot_row_long.gif"> </phish:EmailMessage> </phish:EmailRecord> <phish:DCSite DCType="web"> <phish:SiteURL>http://190.0.2.41:8080/.cgi-bin/.webscr/.secure-login/%20%20/.example.com/index.htm</phish:SiteURL> <phish:DomainData DomainStatus="assignedAndActive" SystemStatus="unknown"> <phish:Name>bad.example.com</phish:Name> <phish:DateDomainWasChecked>2006-06-14T13:05:00-05:00 </phish:DateDomainWasChecked> <phish:RegistrationDate> 2000-12-13T00:00:00</phish:RegistrationDate> <phish:Nameservers> <phish:Server>ns1.example.net</phish:Server> <Address>192.0.2.18</Address> </phish:Nameservers> </phish:DomainData> </phish:DCSite> </phish:PhraudReport> </AdditionalData> </EventData> </Incident> </IODEF-Document>

&LT; IMG SRC = "http://www.example.com/images/dot_row_long.gif"> </フィッシュ:EmailMessageの> </フィッシュ:EmailRecord> <フィッシング:DCSite DCTypeは= "ウェブ"> <フィッシング:SITEURL > http://190.0.2.41:8080/.cgi-bin/.webscr/.secure-login/%20%20/.example.com/index.htm </フィッシング:SITEURL> <フィッシング:DomainData DomainStatus =」 assignedAndActive」SystemStatus = "不明"> <フィッシング:名> bad.example.com </フィッシング:名> <フィッシング:DateDomainWasChecked> 2006-06-14T13:05:00〜05:00 </フィッシング:DateDomainWasChecked> <フィッシング:RegistrationDate> 2000-12-13T00:00:00 </フィッシング:RegistrationDate> <フィッシング:ネームサーバ> <フィッシング:サーバー> ns1.example.net </フィッシング:サーバー> <アドレス> 192.0.2.18 </住所> < /フィッシュ:ネームサーバ> </フィッシュ:DomainData> </フィッシュ:DCSite> </フィッシュ:PhraudReport> </ AdditionalData> </ EventDataの> </インシデント> </ IODEF-文献>

Authors' Addresses

著者のアドレス

Patrick Cain The Cooper-Cain Group, Inc. P.O. Box 400992 Cambridge, MA 02140 USA

パトリック・ケインザ・クーパー・カイングループ、株式会社私書箱400992ケンブリッジ、MA 02140 USA箱

EMail: pcain@coopercain.com

メールアドレス:pcain@coopercain.com

David Jevans The Anti-Phishing Working Group 5150 El Camino Real, Suite A20 Los Altos, CA 94022 USA

デイビット・ジェバンズザ・フィッシング対策ワーキンググループ5150エル・カミノレアル、スイートA20ロスアルトス、CA 94022 USA

EMail: dave.jevans@antiphishing.org

メールアドレス:dave.jevans@antiphishing.org