フィッシングサイトの特徴を用いた検出手法に関する考察

(1)

フィッシングサイトの特徴を用いた検出手法に関する考察

宮澤孝如†_寺田真敏‡_土居範久† 中央大学理工学部情報工学科†_{中央大学研究開発機構}‡

1 はじめに

1 ブラックリストに基づきフィッシングサイトを検出する方式の場合，ブラックリストに登録されていないフィッシングサイトを検出することはできない．本研究では，この問題を解決するために，フィッシングサイトの存続期間は短いといったフィッシングサイト固有の特徴に着目した検出方式を提案してきた[1]．本稿では，検出精度向上のため，新たにドメイン登録情報，ログイン判定，サーチエンジンキャッシュの3 つの特徴に着目した検出方式を提案する．さらに，実際にフィッシングサイトに手動でアクセスを行なった評価結果から3 つの特徴を用いた検出方式の有効性を示す．

2 既存方式の課題

本節では，提案方式の前提となる文献1)に示すフィッシングサイト検出方式（以降，既存方式と呼ぶ）と，既存方式の課題について述べる．既存方式は，クライアントPCとWebサーバの間に設置したプロキシサーバでHTTPリクエストの内容を解析し，アクセスしたサイトが表 1に示す特徴を有しているか否かを調査する．次に，その調査結果を各項目毎に重み付けしたポイントに換算した後，その積算値をWebサイトの危険度とする．最終的に，Webサイトの危険度があらかじ表 1 既存方式の調査項目分類調査項目 Netcraftサイト[2]から取得した Webサイトの稼働日数が短い Netcraft サイトから取得した Web サイトのランクが低い Web サイトの存続期間の特徴 WayBack Machineサイト[3 ]から取得した過去のWebページとの差異が大きい Web サイトへのアクセス回数が少ないトップレベルドメイン(TLD)，セカンドレベルドメイン(SLD)名が危険なドメイン名に属するドメイン名の特徴 DNS サーバを用いた正引き，逆引きに不整合がある個人情報の詐取を目的とする特徴 Web ページに個人情報の入力を促す文字を含む

1_{Feasibility study for the detection approach of}

"phishing site"

†Miyazawa Takayuki, Norihisa Doi, Faculty of Science and Engineering, Chuo University

‡Masato Terada, Research and Development Initiative, Chuo University め設定した閾値を超えた場合，フィッシングサイトとみなす．この既存方式を用いた2006 年 3 月の評価結果は，フィッシングサイト検出率85％，正規サイト検出率 92％で検出率と誤検出率共に良好であった．しかし，2006 年 8 月～11 月に評価した際には，フィッシングサイト検出率 100％に対し，正規サイト検出率は 9％に留まり，正規サイトの誤検出率が高い結果となった．本稿で解決したい課題は，フィッシングサイト検出率を維持しつつ，正規サイトの誤検出率を下げる既存方式の改善にある．

3 追加調査項目を用いた検出方式の提案

本節では，既存方式の検出精度を向上する方式として，既存方式に新たな調査項目を追加する方式を提案する． 3.1 追加調査項目 (1) ドメイン登録情報フィッシングサイトがドメイン名を取得している場合，ドメイン名を取得してからサイトを開設するまでの期間が短い，ドメイン名の有効期間が短いという傾向が見られる．これに対し，正規サイトでは，サイト開設までの期間に余裕があり，有効期間も長い傾向にある．本項目ではWhois から取得したサイトのドメイン名の登録年月日，ドメイン名の有効期限から特徴を調査する． (2) ログイン判定フィッシングサイトにログイン入力フォームが存在する場合，でたらめな ID やパスワードでログインできる傾向がある．これは，ID やパスワードを怪しまれずに搾取するための見せかけのログイン入力フォームを用意しているだけに過ぎないからと思われる．一方，正規サイトでは正規ユーザを識別するためにログイン入力フォームを用意していることから，通常でたらめな ID やパスワードでログインできることはない．本項目では，アクセスしている Web サイトにログイン入力フォームが存在する場合，でたらめな ID やパスワードでログインを試みることで特徴を調査する． (3) サーチエンジンキャッシュフィッシングサイトの存続期間が短いという特徴は，検索ポータルサイト（以降，サーチエンジン）のキャッシュにWebページが登録される前に

3-353

4W-2

情報処理学会第69回全国大会

(2)

閉鎖されてしまう可能性が高い．すなわち，サーチエンジンのキャッシュにWebページが存在しない可能性が高くなる．これに対し，正規サイトは存続期間が長く，利用頻度も高いことからサーチエンジンに登録されているキャッシュ数も多いと考えられる．本項目ではWebサイトのドメイン名を検索キーに，Google[4]に登録されているキャッシュ数を取得することで特徴を調査する． 0% 20% 40% 60% 80% 100% フィッシング正規サイト 1週間以下 3年以下 7年以下 7年以上 ※ドメインがIP アドレスのサイトは除外 3.2 危険度の算出方法フィッシングサイトであるか否かを判定するための危険度の算出方法は，式(1)の通りである． i n i i n w d w

∑

危険度　＝ j l k

∑

× ÷ ＋ i n i i n w d w

∑

危険度　＝ j l k

∑

× ÷ ＋ (1) diは既存方式の各項目とドメイン登録情報の調査結果のポイントであり 0～100 の数値をとる． wiは重み付けであり0～3 の数値をとる．kjはログイン判定，サーチエンジンキャッシュの調査結果を換算したポイントであり，それぞれ-5～+15， -20～+20 の数値をとる．n,lは調査項目数である．また，危険度の値が 65 以上の場合をフィッシングサイト，また，40 以上 65 未満の場合は疑わしいとみなす．

4 評価

評価に利用したフィッシングサイトは， RBL.JP[5]が公開している情報を参考にし，2006 年8 月～11 月で，計 66 の実在のフィッシングサイトを対象とした．また，誤検出率を評価するための正規Webサイトとして，文献 6)で取り上げているランキング上位のWebサイト，大手金融機関のWebサイトと文献5)で提示している頻繁に狙われる会社，計 54 サイトを対象とした．これら実在するサイトに手作業でアクセスし，既存方式の各項目と追加項目について調査を行なった結果を図 1～図 4，表 2に示す．評価結果から既存方式はフィッシングサイト検出率 100％，正規サイト検出率 9％に対し，提案方式はフィッシングサイト検出率を 100％に維持しつつ，正規サイト検出率を50％とし，誤検出率を大幅に下げていることがわかる．

5 まとめ

本稿では，既存方式にドメイン登録情報，ログイン判定とサーチエンジンキャッシュを新たな調査項目として追加する方式を提案した．また，評価を通して，新たに追加した3 つの調査項目がフィッシングサイト検出に有効であることを示した．今後は，調査結果に基づき，既存システムへの追加実装を行なっていく予定である．図 1 ドメイン登録日-調査結果 0% 20% 40% 60% 80% 100% フィッシング正規サイト 1年以下 3年以下 7年以下 10年以下 10年以上 ※ドメインがIP アドレスのサイトは除外図 2 ドメイン有効期間-調査結果 0% 20% 40% 60% 80% 100% フィッシング正規サイトログイン可能ログイン不可能フォーム無し図 3 ログイン判定-調査結果 0% 20% 40% 60% 80% 100% フィッシング正規サイト 0件 1件～100件 101件以上図 4 サーチエンジンキャッシュ-調査結果表 2 既存方式と提案方式の比較フィッシングサイト正規サイト既存方式提案方式既存方式提案方式 40 以下 0％ 0％ 9％ 50％ 41～64 0％ 0％ 51％ 44％危険度 _{65 以上} _{100％ 100％ 40％} _6％

参考文献

[1]中村元彦他，“Proxy を利用した HTTP リクエスト解析による AntiPhishing システムの提案”，情報処理学会 CSEC 研究報告 Vol.2006 No.026. [2] Netcraft，http://news.netcraft.com/ [3] Wayback Machine，http://www.archive.org/ [4] Google, http://www.google.co.jp/ [5] RBL.jp フィッシング詐欺サイト情報, http://www.rbl.jp/phishing/ [6] ビデオリサーチ：”世帯内パソコンにおけるインターネット利用状況調査” http://www.videoi.co.jp/data/wsr/wsr060920.html

フィッシングサイトの特徴を用いた検出手法に関する考察