Digital Arts Security Reports

2023/09/20    i-FILTER,m-FILTER,サイバー攻撃,フィッシング

2023年上半期フィッシングサイト ドメイン集計

デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。2023年上半期にデジタルアーツが収集した国内外のフィッシングサイトURLから、ドメインを集計した結果を公開します(※1)。
(※1)2023年1~6月末に、デジタルアーツが確認した数万件のフィッシングサイトURL。IPアドレス形式のURLは除く。

はじめに

ドメインについて

本稿で扱うドメインについては、【図1】のように定義することとします。

【図1】ドメインについて
【図1】ドメインについて

世界のTLDの数

2023年8月時点のIANAのRoot Zone Databaseによると、TLDの数は1591あります。

世界のTLDシェア

世界のTLDシェアは【図2】のようになっています(※2)。1位の「com」は約半数を占めています。「jp」は全体の1.9%程度です。

【図2】TLDシェア
【図2】TLDシェア

(※2)Trancoのトップサイトランキング約470万ドメインをもとに、TLDを集計

  • Trancoについて:Victor Le Pochat, Tom Van Goethem, Samaneh Tajalizadehkhoob, Maciej Korczyński, and Wouter Joosen. 2019. "Tranco: A Research-Oriented Top Sites Ranking Hardened Against Manipulation," Proceedings of the 26th Annual Network and Distributed System Security Symposium (NDSS 2019). https://doi.org/10.14722/ndss.2019.23386
  • 使用データについて:We use the Tranco list* [1] generated on 21 August 2023, ...* Available at https://tranco-list.eu/list/Q9VK4.

2023年上半期 フィッシングサイトドメイン

ここからはデジタルアーツが収集したフィッシングサイトのドメインを解説します。

2023年上半期のフィッシングサイトURL総数ですが、2022年下半期と比較すると約1/3に減少していました。
昨年下半期に多かった、サブドメインに「ランダムな長い文字列」を用いたパターンのURLが減少したことが主な要因となります。月別だと2、3、6月の件数が増加していました。

【図3】フィッシングサイトURL数
【図3】フィッシングサイトURL数

※グラフ内のURLの具体的な数値は非公開とさせていただきます。

なお、次項からの「シェア」については、該当期間のフィッシングサイトURL総数を100%として算出しています。あらかじめご承知おきください。

TLDトップ20

フィッシングサイトのTLDを集計しました。

【図4】2023年上半期 フィッシングサイトTLDトップ20
【図4】2023年上半期 フィッシングサイトTLDトップ20

【図4】表では2023年上半期での総数を100%としてシェアの値を出しています(右のグレーの表は昨年下半期の結果で、下半期での総数を100%としています)。
「com」の上半期シェアが最も多く39.52%で、6月のみで全体の10%を占めていました。
また、昨年下半期のレポートで取り上げ、最も多かった「top」は昨年下半期シェア40.95%から2023年上半期シェア4.69%と減少していました。
2022年下半期フィッシングサイト ドメイン集計

【図5】フィッシングサイトURLのうちTLDが「cfd」「dev」の数
【図5】フィッシングサイトURLのうちTLDが「cfd」「dev」の数

※グラフ内のURLの具体的な数値は非公開とさせていただきます。

「dev」は昨年はあまり多くなかったものの、2023年上半期シェア6.85%で2位にランクインしており、2月から3月にかけて多く観測しました。
また、2023年上半期に新たに多く観測したドメインとして「cfd」が2023年上半期シェア1.79%で11位にランクインしており、6月に多く観測しました。
「cfd」は”clothing・fashion・design”それぞれの頭文字を取った、
服飾・ファッション・デザインに関する情報を発信するファッション業界向けのドメインになります。

独自ドメイントップ20

フィッシングサイトの独自ドメイン(※3)を集計しました。

(※3)下記例では「example.co.jp」が対象。
例:sub.example.co.jp

【図6】2023年上半期 フィッシングサイト独自ドメイントップ20
【図6】2023年上半期 フィッシングサイト独自ドメイントップ20

「workers.dev」が全体の5.75%で最も多く、TLDトップ20「dev」のシェア増加を牽引していました。「workers.dev」については後述します。
その他上位には、前年にもランクインしていたダイナミックDNSやWebホスティングサイトの独自ドメインが並んでいます。

サブドメイン文字列トップ20

フィッシングサイトのサブドメイン文字列(※4)のみを集計しました。

(※4)サブドメインから独自ドメインを除外した文字列部分。下記例では「sub」が対象。
例: sub.example.co.jp

【図7】2023年上半期 フィッシングサイトサブドメイン文字列トップ20
【図7】2023年上半期 フィッシングサイトサブドメイン文字列トップ20

1位の空欄は(サブドメインがなく)独自ドメインのみだったということです。
昨年下半期でも同様に1位でしたが、シェア16.84%から32.23%に増加していました。
つまり、サブドメインを使っていたものが減少したということが言えます。
中でも昨年下半期はサブドメインに「ランダムな長い文字列」を用いたパターンが非常に多く使われていましたが、2023年上半期は減少しました。
また、2023年上半期はAmazon、ETC利用照会、えきねっと、セゾンカード、ファミペイなどのブランドに関連するサブドメインの文字列が散見されました。

「workers.dev」の増加

2023年上半期のフィッシングサイトのURLおよびドメインには、
先述の独自ドメインの箇所に記載の通り、「workers.dev」を利用したパターンが最も多く、特に2月から3月にかけて多く観測しました。
「workers.dev」は、Cloudflare Workers というサービスで誰でも利用できるドメインになります。

「Cloudflare Workers」
Cloudflare 社が提供しているサーバレスプラットフォームで、簡単にWebサイト構築が可能です。
無料プランにおいてリクエスト回数やメモリに制限があるものの、毎日10万リクエストまで無料で利用可能で、高速かつ安価という特徴を持っていることから、フィッシングサイトで悪用され、増加した要因と考えられます。

また、プロジェクトごとに以下の形式でURLを発行し、サードレベルドメインは自由に設定できます。
https://[プロジェクト名].[ユーザ設定の文字列].workers.dev/

中でも以下のURLパターンが多く見受けられました。
https://[固有の単語]- [固有の単語]- [4桁の英数字].[ユーザ設定の文字列].workers.dev/
上記のURLパターンが「workers.dev」を利用したフィッシングサイトURLの9割を占め
「workers.dev」に絞った頻出単語の上位はURLパターンの[固有の単語]が占めていました。

「workers.dev」を利用したフィッシングサイトURL例:
hxxps://purple-grass-cf83.2u4z5p8y[.]workers[.]dev/
hxxps://empty-pine-3fcb.ob6f0omk[.]workers[.]dev/

模倣されたブランド例としてはSoftbank、エポスカードなどがありました。

【図8】Softbankを模倣したフィッシングサイト
【図8】Softbankを模倣したフィッシングサイト


【図9】エポスカードを模倣したフィッシングサイト
【図9】エポスカードを模倣したフィッシングサイト



おわりに

フィッシング攻撃は、引き続き組織や個人にとって深刻な脅威となっています。
攻撃者は、URL生成パターンを変更するなど新たな手法を模索して、防御策を回避しようとしてきます。
そのため、新たな攻撃手法を含めた情報収集とセキュリティ対策が重要となります。

デジタルアーツでは

「i-FILTER」Ver.10 ・「m-FILTER」Ver.5 - セキュリティ対策の新定番 ホワイト運用
受信したすべてのメールを開け、アクセスしたいWebをクリックできる。情報システム部門の運用負荷も削減できる。デジタルアーツの「ホワイト運用」がセキュアな世界を実現します。

「i-FILTER」
デジタルアーツでは日々様々な情報をもとにデータの収集を行っています。「i-FILTER」Ver.10では、フィッシングサイトURLはフィルターデータベースへと迅速に配信され、[フィッシング詐欺]や[迷惑メールリンク]や[違法ソフト・反社会行為]カテゴリにてブロック可能です。

安全なWebセキュリティの新定番「ホワイト運用」とは
またフィルターデータベースに反映されていないURLについても「ホワイト運用」を行うことで、デジタルアーツが安全を確認したURLにのみアクセスを許可し未知のフィッシングサイトや悪性URLをブロックすることができます。

クレデンシャルプロテクション
さらに「クレデンシャルプロテクション」機能では、正規のサイトと判別が困難な改ざんサイトに設置されたフィッシングサイトであっても、ユーザーがID・パスワードを送信しようとした際にこれをブロックすることが可能です。

「m-FILTER」
「m-FILTER」は、送信元や添付ファイルの拡張子、メール本文中に含まれるURLの偽装判定などが行えるメールセキュリティ製品です。

「脅威URLブロック」オプション(※)
「i-FILTER」をお持ちでなくても「脅威URLブロック」オプションをご利用いただくことで、メールの本文と添付ファイル内のURLを、デジタルアーツが運用しているクラウド上のデータベースに問い合わせます。もしも危険なURLが記載されている場合は、メールをブロックします。

※2022年12月9日より、本オプションの名称を「URLカテゴリ判定」から「脅威URLブロック」に変更しております。
※本オプションは「i-FILTER」をお持ちでないユーザー様に向けた機能となります。
※インターネット接続が必要となります。オフライン環境ではご利用いただけませんのでご注意ください。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

最新情報をお届けします。