Q&A
例えばhttpのサイトやウイルス感染する可能性のあるサイト、違法サイトなど、色々ありますが、危険と言うのは何をもって危険と言うのでしょうか?
そもそも、そう言ったサイトは次々と閉鎖されているので、現在も運営されているか分かりません。
一応、http://www.yahoo.co.jp/はまだ生きてますね。
アクセスするとすぐにhttps://www.yahoo.co.jp/に飛ばされますが...
フィッシングサイトのURLなど、危険なURLをいくつか知りたいです。
URLの安全性を検証する機能を作ろうと思っているのですが、そもそも危険なURLを知らないことに気づきました。
宜しくお願い致します。
私もこんなのを見つけましたが、仰るように閉鎖されているものばかりですね。
https://www.malwaredomainlist.com/mdl.php
https://www.caa.go.jp/policies/policy/consumer_policy/caution/internet/pdf/caution_internet_181221_0001.pdf
yahooなるほど、それも危険ですね。「何をもって」ですが、「回答する人が危険と思うかどうか」で十分です。「フィッシングサイトに使われてるから危険」「詐欺商品を売ってるから危険」など、どのような危険性でもとりあえずたくさん知れればと思っています。
危険なURLを知らない以上に、どうなっていると危険なのかすら知らないのではないでしょうか?
URL(URIのサブセット)は単なる住所ですから、それをもって安全性検証は?です。
危険なURLという言い方はどうなんでしょう。あぶないURLサイトはあると思いますが。
あぶない方々は普通住所を良く変えます。
たぶん、プロキシやメールのシステムに備わっているフィルタリング機能で使われるような「危険なURL」だと思われますが、違いますか?
URLが危険なわけではないんですけど。
m6uさん、勉強不足ですみません。いまいちわかっていないので、とりあえず「危険なURL」の言葉でこれだろうと思われるものがございましたら、お伺いできれば幸いです。
いつの頃からそうしたか覚えていませんが、IMSVAのWebレピューテション機能でメールが隔離された場合、うちの組織では隔離理由を「危険なURL」として通知しています。なので、私はすぐにそれと同じ意味と思ったのですが、皆さんそう思わないみたいですね。一体どんな通知になっているのか興味があるところです。
質問したいけど、プログラミングに関係なさそうだし、こっそりここで教えてくれたら、ちょっと嬉しいです。
ikapyさん、なるほど、確かに私もよく引っ越しますw
raccyさん、おしゃる通りだと思います。アクセスしたらフィッシング詐欺ですよ、などが危険なものの代表かなという考えでおりました。
「フィッシングサイトのURLなど」の「など」に引っかかってるのはわたしだけだろうか。質問者さんが具体的に何がどうなっていると危険だと認識しているのか未だにわからないし、危険かどうかの判断を他人に預けているように見えて、結局どうしたいのかよくわからないのだけど。単にURL辞書的に危険かどうかを判断したいだけ?それとも違う?webサイト内の具体的なコンテンツの評価も加味しての話?
aoijruさんへ。
m.ts10806さんに喧嘩ふっかけてるように見えますよ。
別質問で納得行ったならこの質問は解決させてくださいな。
m6uさん、あまり厳密に「こういう意味での危険性」の意識がなかったことお詫びいたします。曖昧で大変恐縮ですが「回答する人が危険と思うかどうか」で十分と思い、なるべくたくさん知れればいいなぁと思っていた次第です。特にこれ以上の要求はございませんので、厳密さについての確認やご指摘はここら辺でご容赦ください。それでは。
とりあえず偽造ドメイン等の観点で回答しましたがどう言った目的で利用したいのでしょうか?
私が発信しているものではないもののそこはこちらとしても把握するべきだと思います。
oikashinoaさん、うーん、自虐的なだけで攻撃的な意図は全くなかったのですが。「そこまで言ってないよ」という突っ込みが欲しかっただけのボケでしたので…いや、すみません。
asuchi0819さん、コメントフォームに入力されたURLを検証したいという目的です。
検証すると言っても日に日にそのようなドメインは増えていくのでは?
したがってブラックリスト方式では困難を極めるのでホワイトリスト方式で考えた方が良いのでは?
asuchi0819さん、そうですね、なのでGoogleなど外部のAPIに頼ろうと考えているのですが、そういったAPIを使うにしても、危険なURLを入力してどういうレスポンスが返るか確認したいじゃないですか?ところが危険なURLを知らないから確認できない、という状況なので質問したという経緯です。
普通のコメントフォームってそういうのどうなっているんでしょうね。ホワイトリスト方式なんでしょうか?
そういうことは普通やりません。
(特に依頼主から指定がない限り
フィルタリングとはまた違う話かもせりませんが、危険防止と言うよりもスパム防止のために特定ユーザー以外はコメントにURL禁止、または、承認制にしているサービスはありますね。大手だと、コメントのURLに対して何もしてない方が珍しいかも知れません。
Twitterで報告してる人いるのでフォローすると良いですよ
>「そこまで言ってないよ」という突っ込みが欲しかっただけのボケでしたので
そこまで人間関係できてませんし、作ろうとも思いませんし、例え数年一緒にやってきてる同僚であったとしても私なら上司に掛け合って外れてもらいます。
回答3件
0
プロキシで「これは危険なURLだ」と判断されてアクセスを拒否したり、メールシステムでメールにフィッシングのURLが含まれる場合に「これは危険なURLだ」と判断してメールの遮断や隔離を行うような仕組みで使われるような「危険なURL」のだと思われるので、その話をします。
まず、「危険なURL」の基準ですが、URLのアクセス先のサイトについて、次のようなパターンです。
- 偽のログイン画面を出す等のフィッシングサイト
- ブラウザ等の脆弱性をついてウィルス等に感染をさせようとするサイト
- 偽の警告画面、金儲け、ポルノ入手方法等で悪意あるツールをダウンロードさせ、実行させようとするサイト
- JavaScript等で勝手に暗号資産のマイニングに参加させられるサイト(掘り出された暗号資産はサイト管理者のもの)
- その他、見た人になんらかの損害を与える可能性がある有害なサイト
最後のその他に全て含めてしまいましたが、毎年のように新しい手法が開発されるため、全てのパターンを上げることは不可能です。
では、プロキシやメールシステムがどうやってやっているのか、普通はセキュリティ会社の製品、または、それらを組み込んだ製品を使います。セキュリティ会社では、インターネット上にある膨大なURLについて、安全、危険、怪しい等のどれにあたるのかをデータベース化しています(実際はもっと細かく怪しさを数値化しています)。未評価と合わせて、あるURLがどれぐらい安全であるかを判断できるようにしているのです。各製品は、そのデータベースに基づき、URLを評価します。プロキシやメールシステムの設定で、一定以上怪しいと判断された場合は、遮断等の処理を行っていると言うことです。
トレンドマイクロとSymantecがURLを評価するサイトを公開していますので、どのURLがどうなのかを試して見ることができるでしょう。※
※ これらのサイトは公開されていますが、スクレイピング等で自動的に見に行くようなことは禁止されています。データベースへのアクセスは別途SDKが用意されていたる場合がありますので、販売代理店に連絡してみてください。なお、いずれの場合でも、上のサイト等の無償提供している場合を除き、データベースの利用は有償です。
なお、"https://teratail.com/"はトレンドマイクロは安全としていますが、Symantecは未評価で、しかもアメリカにあるらしいです。
では、このデータベースをどうやって作っているかというと…たぶん、各社に問い合わせても教えてくれません。なぜなら、どうして危険と判断されるかがわかれば、どうやったら危険と判断されないかもわかるからです。もし、その「危険と判断されない方法」が悪意ある人物に知られてしまったら、今の手法自体が無意味になってしまいます。
ですので、これから下は全て憶測です。
ある程度のセキュリティ関する知識がある人が先程の危険なURLのサイトを見たら、危険かそうではないかはわかります。実際に、ある程度の人手で判断している部分があります。しかし、膨大な量を処理するのは容易ではありません。そこで、処理を自動化しています。サンドボックス上のブラウザを使って、実際のサイトにアクセスし、そのコードや動作を分析するのです。どういった場合に危険だとするかは、たぶん各社企業秘密で教えてくれないでしょう。今流行りのAIも駆使していると思います。そうやって自動的な評価値が定まりますが、誤評価もあります。誤評価の修正は世界中の顧客からの報告からです。そういった報告があると、再評価を行ったり、先程言った人の目で実際に判断等を行っていると言うことです。そうやって、データベースを充実させていきます。
全てがそうではありませんが、各製品は次のような動作をしています。
- データベースにあるURLか? -> あれば、その評価値で判断
- なければ、サンドボックス上のブラウザでURLにアクセスし、自動分析 -> 分析結果の評価値で判断
この2.が動作する基準は不明です。標的型攻撃メール訓練(ユーザー毎に異なるURLを送る手法)を行うと、一定数の2.の動作が行われていて集計の邪魔になるので、私は嫌いです。※
※ 自動処理でのサイトへのアクセスは通常のブラウザのようにアクセスします。検索botのようにUserAgent等でわかるようにはなっていません。なぜなら、悪意あるサイトは自動処理でのアクセスには「安全なサイト」を表示して、評価を誤魔化そうとするからです。
そうそう、特定組織のみを標的にした本当の意味での標的型攻撃メールで使用されるようなURLについては、どの製品であっても安全であると判断することはほぼ不可能です。なぜなら、その組織以外からのアクセスは「安全なサイト」を表示して、正しく評価できなくさせるからです。これを防ぐには組織内部に上の自動処理を行うサンドボックスを用意しておく必要があり、これがまた、ハードウェアもそこそこの性能がいるので高くなるのが悩みの種です。
話が脱線気味になってしまいましたが、上のようなことをやれば危険なURLを知ることは可能でしょう。一人でやるのは現実的ではないので、まずはセキュリティ会社を設立し、セキュリティに詳しい優秀な社員を集めるところから始めるといいと思います。
そういや、欲しいのはURLの方でしたね。まず、会社のプロキシやメールシステムのシステム管理者になります。ログや隔離されたメールから「危険なURL」を毎日取り放題です。
いや、本当に確認したいのは、弾かれた方じゃなくてすり抜けた方なんですけどね。最近流行っているメールの傾向から独自ルールを追加して、すり抜けたものも弾けないか試行錯誤の繰り返しです。システム管理者なんてなるもんじゃないですよ、ほんと。
投稿2020/02/24 12:04
編集2020/02/24 12:46総合スコア21735
> 最後のその他に全て含めてしまいましたが
「パソコンが異常動作するわけではないけれど、見る人間に嫌悪感を起こさせるようなコンテンツ」というバリエーションも考えられます(こういうものはいちばん検出しにくそうな気もします)。
web of trustなんてサービスも有りましたなぁ(関係するような、しないような
> 「パソコンが異常動作するわけではないけれど、見る人間に嫌悪感を起こさせるようなコンテンツ」
いわゆる「精神的ブラクラ」ってやつですよね。ああいうのも含まれているのかは各社のポリシーによると思います。プロキシであれば、カテゴリーで存在しそうですけど。
今の時代、AIを用いた画像分析で、検出はできそうな気がします。Google画像検索とかは、すでにそういうのを使っていそうです。
0
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
でも読んでください。
無料で読める、わかりやすい資料があります。
どういうふうに作ると危険なのか、具体例も解説がありますよ。
(だから、ここで敢えて文章を練ることはせず。)
投稿2020/02/24 09:26
編集2020/02/24 09:34退会済みユーザー
総合スコア0
0
ベストアンサー
もし欲しければそう言ったドメイン(酷似ドメイン等)を見つけて投稿しておられる方のTwitterをお教えすることも可能ですが、それを使って何をしたいのでしょうか?
URLの安全性を検証する機能を作ろうと思っているのですが、そもそも危険なURLを知らないことに気づきました。
これだけじゃ伝わりません。
それによってお教えするかどうかは変わります。
投稿2020/02/24 12:27
編集2020/02/24 12:32総合スコア10429
あなたの回答
tips
プレビュー
