2023/09/20 i-FILTER,m-FILTER,サイバー攻撃,フィッシング
2023年上半期フィッシングサイト ドメイン集計
デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。2023年上半期にデジタルアーツが収集した国内外のフィッシングサイトURLから、ドメインを集計した結果を公開します(※1)。
(※1)2023年1~6月末に、デジタルアーツが確認した数万件のフィッシングサイトURL。IPアドレス形式のURLは除く。
はじめに
ドメインについて
本稿で扱うドメインについては、【図1】のように定義することとします。
世界のTLDの数
2023年8月時点のIANAのRoot Zone Databaseによると、TLDの数は1591あります。
世界のTLDシェア
世界のTLDシェアは【図2】のようになっています(※2)。1位の「com」は約半数を占めています。「jp」は全体の1.9%程度です。
(※2)Trancoのトップサイトランキング約470万ドメインをもとに、TLDを集計
- Trancoについて:Victor Le Pochat, Tom Van Goethem, Samaneh Tajalizadehkhoob, Maciej Korczyński, and Wouter Joosen. 2019. "Tranco: A Research-Oriented Top Sites Ranking Hardened Against Manipulation," Proceedings of the 26th Annual Network and Distributed System Security Symposium (NDSS 2019). https://doi.org/10.14722/ndss.2019.23386
- 使用データについて:We use the Tranco list* [1] generated on 21 August 2023, ...* Available at https://tranco-list.eu/list/Q9VK4.
2023年上半期 フィッシングサイトドメイン
ここからはデジタルアーツが収集したフィッシングサイトのドメインを解説します。
2023年上半期のフィッシングサイトURL総数ですが、2022年下半期と比較すると約1/3に減少していました。
昨年下半期に多かった、サブドメインに「ランダムな長い文字列」を用いたパターンのURLが減少したことが主な要因となります。月別だと2、3、6月の件数が増加していました。
※グラフ内のURLの具体的な数値は非公開とさせていただきます。
なお、次項からの「シェア」については、該当期間のフィッシングサイトURL総数を100%として算出しています。あらかじめご承知おきください。
TLDトップ20
フィッシングサイトのTLDを集計しました。
【図4】表では2023年上半期での総数を100%としてシェアの値を出しています(右のグレーの表は昨年下半期の結果で、下半期での総数を100%としています)。
「com」の上半期シェアが最も多く39.52%で、6月のみで全体の10%を占めていました。
また、昨年下半期のレポートで取り上げ、最も多かった「top」は昨年下半期シェア40.95%から2023年上半期シェア4.69%と減少していました。
2022年下半期フィッシングサイト ドメイン集計
※グラフ内のURLの具体的な数値は非公開とさせていただきます。
「dev」は昨年はあまり多くなかったものの、2023年上半期シェア6.85%で2位にランクインしており、2月から3月にかけて多く観測しました。
また、2023年上半期に新たに多く観測したドメインとして「cfd」が2023年上半期シェア1.79%で11位にランクインしており、6月に多く観測しました。
「cfd」は”clothing・fashion・design”それぞれの頭文字を取った、
服飾・ファッション・デザインに関する情報を発信するファッション業界向けのドメインになります。
独自ドメイントップ20
フィッシングサイトの独自ドメイン(※3)を集計しました。
(※3)下記例では「example.co.jp」が対象。
例:sub.example.co.jp
「workers.dev」が全体の5.75%で最も多く、TLDトップ20「dev」のシェア増加を牽引していました。「workers.dev」については後述します。
その他上位には、前年にもランクインしていたダイナミックDNSやWebホスティングサイトの独自ドメインが並んでいます。
サブドメイン文字列トップ20
フィッシングサイトのサブドメイン文字列(※4)のみを集計しました。
(※4)サブドメインから独自ドメインを除外した文字列部分。下記例では「sub」が対象。
例: sub.example.co.jp
1位の空欄は(サブドメインがなく)独自ドメインのみだったということです。
昨年下半期でも同様に1位でしたが、シェア16.84%から32.23%に増加していました。
つまり、サブドメインを使っていたものが減少したということが言えます。
中でも昨年下半期はサブドメインに「ランダムな長い文字列」を用いたパターンが非常に多く使われていましたが、2023年上半期は減少しました。
また、2023年上半期はAmazon、ETC利用照会、えきねっと、セゾンカード、ファミペイなどのブランドに関連するサブドメインの文字列が散見されました。
「workers.dev」の増加
2023年上半期のフィッシングサイトのURLおよびドメインには、
先述の独自ドメインの箇所に記載の通り、「workers.dev」を利用したパターンが最も多く、特に2月から3月にかけて多く観測しました。
「workers.dev」は、Cloudflare Workers というサービスで誰でも利用できるドメインになります。
「Cloudflare Workers」
Cloudflare 社が提供しているサーバレスプラットフォームで、簡単にWebサイト構築が可能です。
無料プランにおいてリクエスト回数やメモリに制限があるものの、毎日10万リクエストまで無料で利用可能で、高速かつ安価という特徴を持っていることから、フィッシングサイトで悪用され、増加した要因と考えられます。
また、プロジェクトごとに以下の形式でURLを発行し、サードレベルドメインは自由に設定できます。
https://[プロジェクト名].[ユーザ設定の文字列].workers.dev/
中でも以下のURLパターンが多く見受けられました。
https://[固有の単語]- [固有の単語]- [4桁の英数字].[ユーザ設定の文字列].workers.dev/
上記のURLパターンが「workers.dev」を利用したフィッシングサイトURLの9割を占め、
「workers.dev」に絞った頻出単語の上位はURLパターンの[固有の単語]が占めていました。
「workers.dev」を利用したフィッシングサイトURL例:
hxxps://purple-grass-cf83.2u4z5p8y[.]workers[.]dev/
hxxps://empty-pine-3fcb.ob6f0omk[.]workers[.]dev/
模倣されたブランド例としてはSoftbank、エポスカードなどがありました。
おわりに
フィッシング攻撃は、引き続き組織や個人にとって深刻な脅威となっています。
攻撃者は、URL生成パターンを変更するなど新たな手法を模索して、防御策を回避しようとしてきます。
そのため、新たな攻撃手法を含めた情報収集とセキュリティ対策が重要となります。