Digital Arts Security Reports

2021/09/22   
フィッシング    サイバー攻撃    i-FILTER   

2021年上半期フィッシングサイト ドメイン集計

デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。2021年上半期にデジタルアーツが収集した国内外のフィッシングサイトURLのドメインを集計した結果を公開します(※1)。

(※1)2021年1~6月末に、デジタルアーツが確認した数万件のフィッシングサイトURL。IPアドレス形式のURLは除く。

はじめに

ドメインについて

本稿で扱うドメインについては、【図1】のように定義することとします。

【図1】ドメインについて
【図1】ドメインについて

世界のTLDの数

2021年8月時点のIANAのRoot Zone Databaseによると、TLDの数は1589あります。

世界のTLDシェア

世界のTLDシェアは【図2】のようになっています(※2)。1位の「com」は半数以上を占め、圧倒的なシェアです。「jp」は全体の0.80%程度です。

【図2】TLDシェア
【図2】TLDシェア

(※2)2021年8月9日時点の、Trancoのトップサイトランキング約500万ドメインをもとに、TLDを集計

2021年上半期 フィッシングサイトドメイン

ここからはデジタルアーツが収集したフィッシングサイトのドメインを解説します。

TLDトップ20

フィッシングサイトのTLDを集計しました。

【図3】2021年上半期 フィッシングサイトTLDトップ20
【図3】2021年上半期 フィッシングサイトTLDトップ20

世界のTLDシェアと比較して1位2位は同じですが、3位以下では様相が異なります。「xyz」や「tk」など、安価および無料でドメイン取得可能なTLDが多くランクインしています。

2位の「org」が上位である要因としては、あるダイナミックDNSサービスのドメインを利用した攻撃が活発ということがあります(後述)。なお「org」自体は、組織や団体を意味する"organization"に由来し非営利団体を対象としたTLDでしたが、現在は誰でもドメイン取得が可能です。

意外なところでは、「tokyo」もランクインしていました。こちらも誰でもドメイン取得可能なTLDです。

独自ドメイントップ20

フィッシングサイトの独自ドメインを集計しました。

【図4】2021年上半期 フィッシングサイト独自ドメイントップ20
【図4】2021年上半期 フィッシングサイト独自ドメイントップ20

上位に、無料のWebホスティングサービスや無料のダイナミックDNSサービスのドメインがランクイン

これらのサービス自体は悪いものではないのですが、誰でも「サブドメイン」を作成して利用することが可能であるため、攻撃者に悪用されてしまっている状況です。フィッシングサイトは、取得した独自ドメインを使い捨てにすることも多いですが、無料サービスのサブドメインも悪用しています。

中でも2位の「duckdns.org(3.43%)」は、TLDにorgを使ったフィッシングサイト(4.96%、TLDの項参照)の過半数を占めていました。特に国内で被害が多発している、偽SMSを用いたフィッシングで頻繁に確認されています。これに関してはIPAの注意喚起のページ(※3)が参考になります。

【図5】宅配便業者をかたる偽のSMS
【図5】宅配便業者をかたる偽のSMS

しかしながら、下位のドメインはランクインしていてもシェア率は小さいことがわかりました。個別に見てみるとドメイン配下にページを設置している数が他と比較してやや多かったためランクインしているというものでした。つまり、フィッシングサイト全体としては独自ドメインを取得しては使い捨てにしているため、何度も同じドメインを使い回さないので集計しても分散されてしまうからだと考えられます。

(※3)IPAによる注意喚起のページ
安易に運転免許証など本人確認書類の写真を送信しないで!
宅配便業者をかたる偽ショートメッセージに引き続き注意!

サブドメインの文字列トップ20

サブドメインの文字列(サブドメインから独自ドメインを除外した部分)のみを集計しました。

【図6】2021年上半期 フィッシングサイトサブドメイン文字列トップ20
【図6】2021年上半期 フィッシングサイトサブドメイン文字列トップ20

サブドメインを使っていないものが半数以上でした。

しかしながらサブドメインを使っていたものでは、ブランド名をサブドメインにするだけでなく、ブランドの正規ドメインをサブドメインとして利用するものが多く確認できます。正規ドメインから数文字を変更したようなものもあります。

ドメインに頻出する文字列トップ20

フィッシングサイトのドメインでよく使われた文字列を集計しました(※4)。

(※4)独自ドメインとサブドメインの「設定・取得可能な文字列部分」において、できる限り意味のある単語や文字列で分割しそれぞれを集計しました。ダイナミックDNSやWebホスティングサイト利用の場合は、設定可能な文字列(独自ドメインではなくサブドメイン文字列部分)のみを集計。

【図7】2021年上半期 フィッシングサイトドメイン文字列トップ20
【図7】2021年上半期 フィッシングサイトドメイン文字列トップ20

通販サイトや銀行や支払いに関連する単語、Webメールやセキュアなログインで使われる単語などがやはり多くランクインしています。

2位の「payee」は、(手形や小切手などの)受取人という意味の単語です。「.co.jp」「.com」がランクインしていることについては、TLDで使われたものではなくサブドメインとして使われたためです。

おわりに

新型コロナの影響から外出を控え、通販サイトやオンラインサービスの利用が増えている背景もあり、フィッシングサイトへの警戒はますます高まっています。また、テレワーク対応組織の増加・継続によりラテラルフィッシング(※5)といった攻撃にもご注意ください。

(※5)テレワークだからこそ知っておきたいラテラルフィッシング 狙われるMicrosoft 365

デジタルアーツでは

デジタルアーツでは日々様々な情報をもとにデータの収集を行っています。

「i-FILTER」Ver.10では、フィッシングサイトのURLはフィルターデータベースへと迅速に配信され、[フィッシング詐欺]や[違法ソフト・反社会行為]カテゴリにてブロック可能です。また、ダイナミックDNSでの悪性利用状況を鑑み、カテゴリテンプレートの基本設定では「ダイナミックDNS」カテゴリを「ブロック」としています。フィルターデータベースに反映されていないURLについても「ホワイト運用」を行うことで、デジタルアーツが安全を確認したURLにのみアクセスを許可し未知のフィッシングサイトや悪性URLをブロックすることができます。さらに「クレデンシャルプロテクション」機能では、正規のサイトと判別が困難な改ざんサイトに設置されたフィッシングサイトであっても、ユーザーがID・パスワードを送信しようとした際にこれをブロックすることが可能です。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。