Digital Arts Security Reports

2024/02/06    i-FILTER,m-FILTER,サイバー攻撃,フィッシング

2023年下半期フィッシングサイト ドメイン集計

デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。
2023年下半期にデジタルアーツが収集した国内外のフィッシングサイトURLから、ドメインを集計した結果を公開します(※1)。

(※1)2023年7~12月末に、デジタルアーツが確認した数万件のフィッシングサイトURL。
IPアドレス形式のURLは除く。

はじめに

本稿で2023年下半期フィッシングサイトドメイン集計を取り上げる前に、
世界のTLDの数、世界のTLDシェア、また本稿で扱うドメインの定義について記載します。

世界のTLDの数

2024年1月時点のIANAのRoot Zone Databaseによると、TLDの数は1591あります。

世界のTLDシェア

世界のTLDシェアは【図1】のようになっています(※2)。
1位の「com」は4割を超えるシェアを占めています。「jp」は全体の2.7%程度です。

【図1】TLDシェア
【図1】TLDシェア

(※2)フィッシングサイトのTLDシェアではなく
Trancoのトップサイトランキング約430万ドメインをもとに、TLDを集計したもの。

  • Trancoについて:Victor Le Pochat, Tom Van Goethem, Samaneh Tajalizadehkhoob, Maciej Korczyński, and Wouter Joosen. 2019. "Tranco: A Research-Oriented Top Sites Ranking Hardened Against Manipulation," Proceedings of the 26th Annual Network and Distributed System Security Symposium (NDSS 2019). https://doi.org/10.14722/ndss.2019.23386
  • 使用データについて:We use the Tranco list* [1] generated on 15 January 2024, ...
    * Available at https://tranco-list.eu/list/24W99.

ドメインについて

本稿で扱うドメインについては、【図2】のように定義することとします。

【図2】ドメインについて
【図2】ドメインについて


2023年下半期 フィッシングサイトドメイン

ここからはデジタルアーツが収集したフィッシングサイトのドメインを解説します。

2023年下半期のフィッシングサイトURL総数ですが、
2023年上半期と比較すると、ほぼ横ばいとなっていました。

昨年下半期のURL数増加については、以下をご参照ください。
2022年下半期フィッシングサイト ドメイン集計

【図3】フィッシングサイトURL数
【図3】フィッシングサイトURL数

※グラフ内のURLの具体的な数値は非公開とさせていただきます。

なお、次項からの「シェア」については、該当期間のフィッシングサイトURL総数を100%として算出しています。あらかじめご承知おきください。

TLDトップ20

フィッシングサイトのTLDを集計しました。

【図4】2023年下半期 フィッシングサイトTLDトップ20
【図4】2023年下半期 フィッシングサイトTLDトップ20

【図4】表では2023年下半期での総数を100%としてシェアの値を出しています。
(右のグレーの表は上半期の結果で、上半期での総数を100%としています。)

下半期シェアが最も多かったのは、「com」の44.99%で、7・8月だけで全体の約1/4を占めていました。
世界のTLDシェア【図1】で述べたように、「com」は4割を超えるシェアを占めており、
下半期フィッシングサイト集計においても、世界のTLDシェアに近いシェアとなりました。

上半期2位にランクインしていた「dev」も7.26%で、シェアが増加し、順位を維持していました。
また、「dev」の半数以上は12月に観測されたものでした。

他のTLDについては、新たに「icu」(16位、0.99%)と「jp」(20位、0.78%)がランクインしており、
上半期16位にランクインしていた「id」が、下半期は2.90%で7位にランクインしていました。



独自ドメイントップ20

フィッシングサイトの独自ドメイン(※3)を集計しました。

(※3)下記例では「example.co.jp」が対象。
例:sub.example.co.jp

【図5】2023年下半期 フィッシングサイト独自ドメイントップ20
【図5】2023年下半期 フィッシングサイト独自ドメイントップ20

上半期に取り上げた「workers.dev」は、シェアは4.68%で上半期よりも減少しましたが、
下半期もシェアが最も多い結果となりました。
2023年上半期フィッシングサイト ドメイン集計

新たな独自ドメインとして「naturebeard.com」が1.93%で5位にランクインしており、
その他には「r2.dev」(7位、1.41%)と「vercel.app」(12位、0.78%)が新たにランクインしていました。
「r2.dev」はCloudflare R2という分散型オブジェクトストレージサービスで利用されているドメインであり、
サイト構築の際にホスティングとしても利用されているものになります。
「vercel.app」はVercelというホスティングサービスでWebサイトなどを構築する際に利用されているドメインになります。
他に増加した独自ドメインとしては、「github.io」(上半期15位、0.62%)が、下半期1.80%で6位にランクインしていました。こちらは、GitHubからウェブサイトを公開できるホスティングサービス「GitHub Pages」で利用されているドメインになります。

このようにホスティング機能を持つサービスのドメインがランクイン、ランクアップする結果となり、
これらのドメインはフィッシングサイトで悪用されるパターンがあることから、
ドメイン単位での閲覧制限やGitHubのようなWebサービスごとの制御が効果的となります。



頻出する文字列トップ20

フィッシングサイトのドメインでよく使われた文字列(※4)を集計しました。

(※4)【図1】で定義した「設定・取得可能な文字列部分」(下記例では「sub.example」が対象)において、意味のある単語や文字列で分割しそれぞれを集計。ダイナミックDNSやWebホスティングサイト利用の場合は、サブドメイン文字列部分のみ集計。
例: sub.example.co.jp

【図6】2023年下半期 フィッシングサイトドメイン文字列トップ20
【図6】2023年下半期 フィッシングサイトドメイン文字列トップ20

アメリカ合衆国郵便公社を装ったフィッシング詐欺で利用されていたと思われる文字列「usps」が18位(0.80%)で新たにランクインしていました。
その他「eki」「business」など上半期にも見られた文字列が下半期もランクインしていましたが、
上半期にランクインしていた「etc」は下半期にはランク外となっていました。
また、上半期7位にランクインしていた「meta」が1.85%で2位にランクインしていました。



TLD「id」の増加

フィッシングサイトのTLDを集計結果でも記載したように、TLD「id」が増加していました。
「id」 は、インドネシアの国コード トップレベル ドメイン (ccTLD) で、
TLD「id」のデータの中でも特に企業向けのドメイン「.biz.id」と、個人向けのドメイン「.my.id」を利用したパターンが多くみられました。
「.biz.id」「.my.id」は、ドメイン名を登録できる条件に制限はなく、どの国の個人または企業も登録できるため、フィッシングサイトで利用されたと考えられます。
フィッシングで利用されたidドメイン総数のうち、「.biz.id」と「.my.id」で約3/4を占める結果となっており、総数の半数以上が「.my.id」でした。
「.my.id」については、インドネシアのコード決済サービス「DANA」やインスタントメッセージサービス「Telegram」を装ったフィッシングサイトが散見されました。



頻出文字列「meta」のシェア増加

下半期頻出文字列で2位にランクインしていた「meta」に関しては、
メタ・プラットフォームズ(Meta Platforms, Inc.、旧称: Facebook, Inc.)通称Metaのビジネスサポートや、
ConsenSysという会社によって運営されている仮想通貨のウォレット「MetaMask」を装ったサイトなどが散見されました。
これらを悪用したフィッシングサイトが増えたことが、頻出文字列「meta」の増加の要因と考えられます。

・Meta ビジネスサポート
Facebook のビジネスアカウントやコミュニティページの所有者に、
Metaのビジネスサポートを装って、「アカウントに問題があるため、ログインしないと24時間以内にアカウントロックされる」といったメッセージを表示してメールアドレス・パスワードを入力させることで、アカウントを乗っ取り、ログイン情報やアカウント内の個人情報が窃取されます。

【図7】Meta ビジネスサポートを装ったフィッシングサイト例
【図7】Meta ビジネスサポートを装ったフィッシングサイト例


・MetaMask
イーサリアム系ブロックチェーンの通貨やNFTを一括で保管・管理できる仮想通貨(暗号資産)ウォレットになります。

MetaMaskには、ウォレットの復元や別デバイスからの同期の際に利用されるシークレットリカバリーフレーズがあります。シークレットリカバリーフレーズは、ウォレットの秘密鍵を管理するための複数の英単語からなる暗号データになります。このシークレットリカバリーフレーズを入力することで、ウォレットを乗っ取られて仮想通貨(暗号資産)が盗まれます。