不正なURLや悪意のあるウェブサイトからの保護
SURBLは、現在活動中の悪質なドメインや、悪質なWebサイトに関する最新の脅威データを、高精度でダイナミックにリストアップします。SURBLは、検出が困難なフィッシング、マルウェア、ボットネットのドメインを検出し、制御することに非常に有効です。
サーブル
SURBL - Spam URI Realtime Blocklists スパムURIリアルタイムブロックリスト
競争優位性の確認
SURBLには、迷惑メールに表示されるWebサイトが含まれています。SpamAssassin 3など、メッセージ本文のWebサイトをSURBLに照らしてチェックできるプログラムと一緒に使用することができます(リンクページ参照)。
ここでは、リストの概要とそのデータソースを紹介します。
ABUSE - スパムなどの悪用サイト
このリストには、主に一般的なスパムサイト(薬物、偽造品、出会い系など)が含まれています。以前は別々に存在していたJP、WS、SC、ABの各リストのデータを統合したものです。また、インターネット・セキュリティ、アンチ・アビューズ、ISP、ESP、およびTelenorなどのコミュニティからのデータも含まれています。ABUSEのデータのほとんどは、SURBL自身による独自の内部調査から得られたものです。
jwSpamSpy + プロロケーションサイトJoe WeinのjwSpamSpyプログラムと、ProlocationのRaymond Dijkxhoornとその同僚が運営するシステムがJPデータを提供しています。その結果、非常に優れた検出率と低い偽陽性率を持つリストが出来上がりました。
サ・ブラックリスト・ウェブ・サイトWSはBill StearnsのSpamAssassinルールセットsa-blacklistの記録から始まりましたが、現在では様々なデータソースからのデータを保有しています。
SpamCopウェブサイトSCには、SpamCopのURIレポートから処理されたメッセージ本文のWebサイトが含まれている(「spamvertised」Webサイトとも呼ばれる)。このレポートは直接的には使用されないが、大規模な処理が施されている。SCのエントリは、SpamCopのレポートが減少した数日後に自動的に失効します。
このリストは、メール送信者のIPアドレスのリストであるbl.spamcop.netとは違うことに注意してください。
AbuseButlerのWebサイトAbuseButlerは、過去7日間に最も多く報告されたSpamvertised Sitesを親切に提供しています。理念やデータ処理方法はSCデータと同様であり、結果も似ていますが、同一ではありません。AbuseButlerのデータソースには、SpamCopとAbuseButlerのネイティブレポートが含まれます。
PH - フィッシングサイト
PH Phishingのデータソースには、複数のソースからのフィッシングデータが含まれています。フィッシング・データには、PhishTank、OITC、PhishLabs、Malware Domainsのほか、SURBLによる独自調査を含む複数のソースが含まれています。
MW - マルウェアサイト
このリストは、マルウェアをホストしているサイトを網羅する複数のソースからのデータを含んでいます。これには、OITC、abuse.ch、The DNS blackhole malwaredomains.comの悪意のあるサイトのデータなどが含まれています。多くのクラックされたサイトもマルウェアを持っているため、一部のクラックされたホストもMWに含まれています。なお、上記はMWに含まれる多くの異なるマルウェアデータソースのほんの一部です。マルウェアデータには、SURBLによる重要な独自調査も含まれています。
multi.surbl.org - 複合SURBLリスト
すべてのSURBLデータソースは、multi.surbl.orgという一つのビットマスク付きリストに統合されています。ビットマスキングとは、ドメイン名やIPアドレスごとに1つのエントリしか存在しませんが、そのエントリはアドレス(DNS Aレコード)に解読され、最後のオクテットがどのリストに属しているかを示すということです。その最後のオクテットのビット位置は、異なるリストに属していることを示します。
- 8 = PHに登録されている
- 16 = MWに掲載
- 64 = ABUSEに掲載
- 128 = CRに掲載
あるエントリーが1つのリストに属する場合、最後のオクテットがその値を持つアドレスを持つことになります。例えば、127.0.0.8はフィッシング・リストに、127.0.0.64はABUSEリストに登録されていることを意味します。複数のリストに登録されている場合、最後のオクテットにはそれらのリスト番号の合計が入りますので、127.0.0.80はMWとABUSEの両方に登録されていることを意味します(16 + 64 = 80からきています)。このように、複数のリストに属していることは、ひとつのレスポンスにエンコードされます。最初と最後のオクテット以外のオクテットは将来の使用のために予約されており、無視されるべきものである。
multi は、SpamAssassin 3 の urirhssub や SpamCopURI version 0.22 以降の SpamAssassin 2.64 で使われるような、ビットマスクに従って特定のリストに回答をデコードできるプログラムと共に使うことをお勧めします。
multi list のライブデータのデフォルトの TTL は 3 分です。multi.surbl.orgのデータは非常に動的で、平均して1分間に1回以上更新されます。
各エントリには、どのリストに掲載されているか、またこのページを指しているのかを示す TXT レコードがあります。TXTレコードは比較的安定していますが、それらは人間が読むためのもの(例:不達メッセージ)であり、ソフトウェアによる解析のためのものではありません。自動処理はAレコードのみに基づいて行われることを強くお勧めします。
SURBLデータの使用方法に関する詳細は、実装ガイドラインに記載されています。
ブロックされた結果コード 127.0.0.1
SURBLのDNSで公開ネームサーバーに問い合わせし、127.0.0.1という結果が出た場合は、アクセスがブロックされていることを意味します。SURBL の利用規定をご覧いただき、SURBL のスポンサードデータサービス(SDS)にご登録ください。
その他のSURBL
その他のリストやデータフィードは、将来SURBLとして利用可能になる可能性があります。また、重要な最新情報については、Low Volume Announce メーリングリストを購読してください。
リスト削除
SURBL リストからの削除依頼は、SURBL ルックアップ ページから、削除フォームの指示に従って行ってください。
Cracked (CR), Phishing (PH), Malware (MW) リストや、クラッキングされた (侵入された) ウェブサイトについては、すべてのフィッシングサイト、クラッキングされたアカウント、ウイルス、マルウェアローダー、トロイの木馬、パッチの当たっていないOS、安全でないPHPボード、安全でないWordpress、安全でないJoomla、安全でない第三者のプラグイン、クラックしたSQL、安全ではないFTPパスワード、パスワードスニファー、その他、を確実に削除して安全にするようにしてください。を、WebサイトおよびWebサイトにコンテンツをアップロードするために使用するすべてのコンピュータから削除してから、当社にご連絡ください。必要な場合は、セキュリティの専門家に依頼し、Webサイトとそれに接続するために使用されるすべてのコンピュータの完全なセキュリティ監査を行ってください。セキュリティが適切に確保されていないシステムには、再び侵入される可能性があります。
また、DNSコントロールパネルがクラッキングされ、ドメインに悪意のあるサブドメインが追加される事例も発生していますので、ご注意ください。あなたのドメインのすべてのDNSインフラストラクチャをチェックし、完全に安全にしてください。この件に関してサポートが必要な場合は、セキュリティの専門家にお問い合わせください。
