2021/09/22 i-FILTER,サイバー攻撃,フィッシング
2021年上半期フィッシングサイト ドメイン集計
デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。2021年上半期にデジタルアーツが収集した国内外のフィッシングサイトURLのドメインを集計した結果を公開します(※1)。
(※1)2021年1~6月末に、デジタルアーツが確認した数万件のフィッシングサイトURL。IPアドレス形式のURLは除く。
はじめに
ドメインについて
本稿で扱うドメインについては、【図1】のように定義することとします。

世界のTLDの数
2021年8月時点のIANAのRoot Zone Databaseによると、TLDの数は1589あります。
世界のTLDシェア
世界のTLDシェアは【図2】のようになっています(※2)。1位の「com」は半数以上を占め、圧倒的なシェアです。「jp」は全体の0.80%程度です。

(※2)2021年8月9日時点の、Trancoのトップサイトランキング約500万ドメインをもとに、TLDを集計
2021年上半期 フィッシングサイトドメイン
ここからはデジタルアーツが収集したフィッシングサイトのドメインを解説します。
TLDトップ20
フィッシングサイトのTLDを集計しました。

世界のTLDシェアと比較して1位2位は同じですが、3位以下では様相が異なります。「xyz」や「tk」など、安価および無料でドメイン取得可能なTLDが多くランクインしています。
2位の「org」が上位である要因としては、あるダイナミックDNSサービスのドメインを利用した攻撃が活発ということがあります(後述)。なお「org」自体は、組織や団体を意味する"organization"に由来し非営利団体を対象としたTLDでしたが、現在は誰でもドメイン取得が可能です。
意外なところでは、「tokyo」もランクインしていました。こちらも誰でもドメイン取得可能なTLDです。
独自ドメイントップ20
フィッシングサイトの独自ドメインを集計しました。

上位に、無料のWebホスティングサービスや無料のダイナミックDNSサービスのドメインがランクイン。
これらのサービス自体は悪いものではないのですが、誰でも「サブドメイン」を作成して利用することが可能であるため、攻撃者に悪用されてしまっている状況です。フィッシングサイトは、取得した独自ドメインを使い捨てにすることも多いですが、無料サービスのサブドメインも悪用しています。
中でも2位の「duckdns.org(3.43%)」は、TLDにorgを使ったフィッシングサイト(4.96%、TLDの項参照)の過半数を占めていました。特に国内で被害が多発している、偽SMSを用いたフィッシングで頻繁に確認されています。これに関してはIPAの注意喚起のページ(※3)が参考になります。

しかしながら、下位のドメインはランクインしていてもシェア率は小さいことがわかりました。個別に見てみるとドメイン配下にページを設置している数が他と比較してやや多かったためランクインしているというものでした。つまり、フィッシングサイト全体としては独自ドメインを取得しては使い捨てにしているため、何度も同じドメインを使い回さないので集計しても分散されてしまうからだと考えられます。
(※3)IPAによる注意喚起のページ
安易に運転免許証など本人確認書類の写真を送信しないで!
宅配便業者をかたる偽ショートメッセージに引き続き注意!
サブドメインの文字列トップ20
サブドメインの文字列(サブドメインから独自ドメインを除外した部分)のみを集計しました。

サブドメインを使っていないものが半数以上でした。
しかしながらサブドメインを使っていたものでは、ブランド名をサブドメインにするだけでなく、ブランドの正規ドメインをサブドメインとして利用するものが多く確認できます。正規ドメインから数文字を変更したようなものもあります。
ドメインに頻出する文字列トップ20
フィッシングサイトのドメインでよく使われた文字列を集計しました(※4)。
(※4)独自ドメインとサブドメインの「設定・取得可能な文字列部分」において、できる限り意味のある単語や文字列で分割しそれぞれを集計しました。ダイナミックDNSやWebホスティングサイト利用の場合は、設定可能な文字列(独自ドメインではなくサブドメイン文字列部分)のみを集計。

通販サイトや銀行や支払いに関連する単語、Webメールやセキュアなログインで使われる単語などがやはり多くランクインしています。
2位の「payee」は、(手形や小切手などの)受取人という意味の単語です。「.co.jp」「.com」がランクインしていることについては、TLDで使われたものではなくサブドメインとして使われたためです。
おわりに
新型コロナの影響から外出を控え、通販サイトやオンラインサービスの利用が増えている背景もあり、フィッシングサイトへの警戒はますます高まっています。また、テレワーク対応組織の増加・継続によりラテラルフィッシング(※5)といった攻撃にもご注意ください。