web-dev-qa-db-ja.com

マルウェアを配信するWebサイトに対して行われたアクションはありますか?

悪意のあるフィッシングWebサイト用の Googleセーフブラウジング などの深刻なツールやサービス、および Phishing.org などのフィッシングWebサイトに完全に特化した他のツールやサービスがあります。

これらのWebサイトにフラグが立てられると、これらのWebサイト(特に ドライブバイダウンロード攻撃 などのマルウェアを配布するWebサイト)に対して何が行われますか?それらは後でブロックされるのですか、それともそのようなものですか?たとえば、 GameOver Zeus Botnet に対して多国籍のアクションがありました。悪意のあるWebサイトに対してそのようなものはありますか?

40
user45139

さて、個人の逸話の時間。

私は実生活のシステム管理者であり、主に中小企業向けのISPで働いています。

私たちのより大きな顧客の1人は、とりわけ、非常に安価で完全に自動化された共有ウェブホスティングサービスを運営しています。サインアップし、クレジットカードで2ドルを支払い、サイトをダウンさせます。人間による操作は一切必要ありません。

IPブロックを制御するASとして、そのサーバーに関するフィッシングサイトの苦情をclockworkのように取得していました。すぐにそれらを会社のNOCに転送し、そのNOCがサイトを調査して削除します...しかし、その時点で、フィッシングサイトはすでに他のどこかで完全にホストされています。

通常、支払いに使用されるクレジットカード番号は(もちろん)盗まれ、登録要求が同じIPアドレスから2回以上行われることはほとんどありません。

それで、これについて何をすべきかを提案しますか?法律?

誰の法律?

  • サーバーがある国の法律は?私たち(ISP)も、ウェブホスティングサービスを運営している会社も、何も問題はありません。私たちは完全に正当なサービスを提供しており、誰かが犯罪目的でそのサービスを悪用した場合に合理的な限り迅速に対応します。フィッシングや詐欺師は、次のシステム管理者が1ダースのスパムボットに対処しすぎたのと同じくらい嫌いですが、すでにできることはすべてやっているので、法律を制定してもそれは変わりません。

  • 詐欺師がいる国の法律?おそらく、その国はすでにhasこれに対処する法律です。唯一の問題は、どの国ですか?先ほど述べたように、Origin IPが2度同じになることはめったになく、プロキシは別の感染したホストで実行されている可能性が高く、おそらくボットに感染した誰かのデスクトップコンピュータです。 ISPは、IP範囲内のすべてのシステムに出入りするすべての接続のログを正確に保持するわけではないので、たとえ私たちがトレイルを探し始めるまでに全員の協力を得ることができたとしても、冷たくなっています。

また、それは単一のサイトまたは簡単に分離された犯人のグループであるという誤った印象の下で働いています。そうではありません。無数の安価なレジストラとWebホスティングサービスの間-どちらも最終的にはgoodのこと-Whack-A-Moleのクレイジーマルチプレイヤーゲームのようなものです。

地上の法執行機関は時々、休憩をとることができますが、IPトラフィックではなくmoneyをたどることでそれを実現します。

62
Shadur

マイクロソフトは最近、マルウェアを配信するサイトをホスティングしていると見られている動的ドメインホストにペナルティを課す機能を得ました。彼らは訴訟を起こし、Vitalwerksのすべてのドメインの所有権を獲得しました。

2日以内に、Microsoftは悪意のある使用をサービスから遠ざけるというタスクがいかに不可能に直面しているかにすぐに気づき、ドメインをVitalwerksに戻しました。 。」以前に正確に反対のためにそれらを訴えた後。

詳細については、こちらをご覧ください: https://www.eff.org/deeplinks/2014/07/Microsoft-and-noip-what-were-they-thinking

18
Chris Murray

それはベンダーがそれをどのように扱うかに依存します。

Googleがマルウェアを検出すると、ホストはSEOで罰せられるか、すべての検索結果から除外されます。

マルウェアのWebサイトまたはマルウェアサーバーをホストしているISPにも頻繁にアクセスしますが、驚くほど多くのISPが応答しません。

両方の検索エンジン(大きなもの)と一部のアンチウイルスは、マルウェアを含む/配布することが知られているサイトをランクダウンします。

http://www.rainbodesign.com/seo-tips/google-ranking-drop.php

さらに、ISPやホスティングプロバイダーがサイトに対して措置を講じることがあります。

2
user53771

それは地域と適切な法律の入手可能性に大きく依存します。

通常、多くの国(CSIRT/CERTのナショナルチームによる)は、詐欺や詐欺について国の最上位ドメインを追跡しています。攻撃の種類によっては、アクションを実行する場合があります。多くの国がテロリズムと児童虐待に関連する問題に即座に対応します。

Webサイトのホスト国、所有者、および攻撃者が同じ地域に住んでいる場合、詐欺、詐欺に対して措置を講じることが可能な場合があります。しかし、物事が国境を越えた場合、それは起こりそうにありません。

0
Kasun