Digital Arts Security Reports

2024/02/06    i-FILTER,m-FILTER,サイバー攻撃,フィッシング

2023年下半期フィッシングサイト ドメイン集計

デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。
2023年下半期にデジタルアーツが収集した国内外のフィッシングサイトURLから、ドメインを集計した結果を公開します(※1)。

(※1)2023年7~12月末に、デジタルアーツが確認した数万件のフィッシングサイトURL。
IPアドレス形式のURLは除く。

はじめに

本稿で2023年下半期フィッシングサイトドメイン集計を取り上げる前に、
世界のTLDの数、世界のTLDシェア、また本稿で扱うドメインの定義について記載します。

世界のTLDの数

2024年1月時点のIANAのRoot Zone Databaseによると、TLDの数は1591あります。

世界のTLDシェア

世界のTLDシェアは【図1】のようになっています(※2)。
1位の「com」は4割を超えるシェアを占めています。「jp」は全体の2.7%程度です。

【図1】TLDシェア
【図1】TLDシェア

(※2)フィッシングサイトのTLDシェアではなく
Trancoのトップサイトランキング約430万ドメインをもとに、TLDを集計したもの。

  • Trancoについて:Victor Le Pochat, Tom Van Goethem, Samaneh Tajalizadehkhoob, Maciej Korczyński, and Wouter Joosen. 2019. "Tranco: A Research-Oriented Top Sites Ranking Hardened Against Manipulation," Proceedings of the 26th Annual Network and Distributed System Security Symposium (NDSS 2019). https://doi.org/10.14722/ndss.2019.23386
  • 使用データについて:We use the Tranco list* [1] generated on 15 January 2024, ...
    * Available at https://tranco-list.eu/list/24W99.

ドメインについて

本稿で扱うドメインについては、【図2】のように定義することとします。

【図2】ドメインについて
【図2】ドメインについて


2023年下半期 フィッシングサイトドメイン

ここからはデジタルアーツが収集したフィッシングサイトのドメインを解説します。

2023年下半期のフィッシングサイトURL総数ですが、
2023年上半期と比較すると、ほぼ横ばいとなっていました。

昨年下半期のURL数増加については、以下をご参照ください。
2022年下半期フィッシングサイト ドメイン集計

【図3】フィッシングサイトURL数
【図3】フィッシングサイトURL数

※グラフ内のURLの具体的な数値は非公開とさせていただきます。

なお、次項からの「シェア」については、該当期間のフィッシングサイトURL総数を100%として算出しています。あらかじめご承知おきください。

TLDトップ20

フィッシングサイトのTLDを集計しました。

【図4】2023年下半期 フィッシングサイトTLDトップ20
【図4】2023年下半期 フィッシングサイトTLDトップ20

【図4】表では2023年下半期での総数を100%としてシェアの値を出しています。
(右のグレーの表は上半期の結果で、上半期での総数を100%としています。)

下半期シェアが最も多かったのは、「com」の44.99%で、7・8月だけで全体の約1/4を占めていました。
世界のTLDシェア【図1】で述べたように、「com」は4割を超えるシェアを占めており、
下半期フィッシングサイト集計においても、世界のTLDシェアに近いシェアとなりました。

上半期2位にランクインしていた「dev」も7.26%で、シェアが増加し、順位を維持していました。
また、「dev」の半数以上は12月に観測されたものでした。

他のTLDについては、新たに「icu」(16位、0.99%)と「jp」(20位、0.78%)がランクインしており、
上半期16位にランクインしていた「id」が、下半期は2.90%で7位にランクインしていました。



独自ドメイントップ20

フィッシングサイトの独自ドメイン(※3)を集計しました。

(※3)下記例では「example.co.jp」が対象。
例:sub.example.co.jp

【図5】2023年下半期 フィッシングサイト独自ドメイントップ20
【図5】2023年下半期 フィッシングサイト独自ドメイントップ20

上半期に取り上げた「workers.dev」は、シェアは4.68%で上半期よりも減少しましたが、
下半期もシェアが最も多い結果となりました。
2023年上半期フィッシングサイト ドメイン集計

新たな独自ドメインとして「naturebeard.com」が1.93%で5位にランクインしており、
その他には「r2.dev」(7位、1.41%)と「vercel.app」(12位、0.78%)が新たにランクインしていました。
「r2.dev」はCloudflare R2という分散型オブジェクトストレージサービスで利用されているドメインであり、
サイト構築の際にホスティングとしても利用されているものになります。
「vercel.app」はVercelというホスティングサービスでWebサイトなどを構築する際に利用されているドメインになります。
他に増加した独自ドメインとしては、「github.io」(上半期15位、0.62%)が、下半期1.80%で6位にランクインしていました。こちらは、GitHubからウェブサイトを公開できるホスティングサービス「GitHub Pages」で利用されているドメインになります。

このようにホスティング機能を持つサービスのドメインがランクイン、ランクアップする結果となり、
これらのドメインはフィッシングサイトで悪用されるパターンがあることから、
ドメイン単位での閲覧制限やGitHubのようなWebサービスごとの制御が効果的となります。



頻出する文字列トップ20

フィッシングサイトのドメインでよく使われた文字列(※4)を集計しました。

(※4)【図1】で定義した「設定・取得可能な文字列部分」(下記例では「sub.example」が対象)において、意味のある単語や文字列で分割しそれぞれを集計。ダイナミックDNSやWebホスティングサイト利用の場合は、サブドメイン文字列部分のみ集計。
例: sub.example.co.jp

【図6】2023年下半期 フィッシングサイトドメイン文字列トップ20
【図6】2023年下半期 フィッシングサイトドメイン文字列トップ20

アメリカ合衆国郵便公社を装ったフィッシング詐欺で利用されていたと思われる文字列「usps」が18位(0.80%)で新たにランクインしていました。
その他「eki」「business」など上半期にも見られた文字列が下半期もランクインしていましたが、
上半期にランクインしていた「etc」は下半期にはランク外となっていました。
また、上半期7位にランクインしていた「meta」が1.85%で2位にランクインしていました。



TLD「id」の増加

フィッシングサイトのTLDを集計結果でも記載したように、TLD「id」が増加していました。
「id」 は、インドネシアの国コード トップレベル ドメイン (ccTLD) で、
TLD「id」のデータの中でも特に企業向けのドメイン「.biz.id」と、個人向けのドメイン「.my.id」を利用したパターンが多くみられました。
「.biz.id」「.my.id」は、ドメイン名を登録できる条件に制限はなく、どの国の個人または企業も登録できるため、フィッシングサイトで利用されたと考えられます。
フィッシングで利用されたidドメイン総数のうち、「.biz.id」と「.my.id」で約3/4を占める結果となっており、総数の半数以上が「.my.id」でした。
「.my.id」については、インドネシアのコード決済サービス「DANA」やインスタントメッセージサービス「Telegram」を装ったフィッシングサイトが散見されました。



頻出文字列「meta」のシェア増加

下半期頻出文字列で2位にランクインしていた「meta」に関しては、
メタ・プラットフォームズ(Meta Platforms, Inc.、旧称: Facebook, Inc.)通称Metaのビジネスサポートや、
ConsenSysという会社によって運営されている仮想通貨のウォレット「MetaMask」を装ったサイトなどが散見されました。
これらを悪用したフィッシングサイトが増えたことが、頻出文字列「meta」の増加の要因と考えられます。

・Meta ビジネスサポート
Facebook のビジネスアカウントやコミュニティページの所有者に、
Metaのビジネスサポートを装って、「アカウントに問題があるため、ログインしないと24時間以内にアカウントロックされる」といったメッセージを表示してメールアドレス・パスワードを入力させることで、アカウントを乗っ取り、ログイン情報やアカウント内の個人情報が窃取されます。

【図7】Meta ビジネスサポートを装ったフィッシングサイト例
【図7】Meta ビジネスサポートを装ったフィッシングサイト例


・MetaMask
イーサリアム系ブロックチェーンの通貨やNFTを一括で保管・管理できる仮想通貨(暗号資産)ウォレットになります。

MetaMaskには、ウォレットの復元や別デバイスからの同期の際に利用されるシークレットリカバリーフレーズがあります。シークレットリカバリーフレーズは、ウォレットの秘密鍵を管理するための複数の英単語からなる暗号データになります。このシークレットリカバリーフレーズを入力することで、ウォレットを乗っ取られて仮想通貨(暗号資産)が盗まれます。

【図9】MetaMask フィッシングサイト例
【図9】MetaMask フィッシングサイト例



おわりに

TLDやドメイン、頻出文字列に変化があるように、模倣されるブランドや攻撃手法も変化しており、
仮想通貨(暗号資産)を狙ったものも確認されています。
フィッシング攻撃は、引き続き組織や個人にとって深刻な脅威となるでしょう。
そのため、新たな攻撃手法を含めた情報収集とセキュリティ対策などが重要となります。

デジタルアーツでは

「i-FILTER」Ver.10 ・「m-FILTER」Ver.5 - セキュリティ対策の新定番 ホワイト運用
受信したすべてのメールを開け、アクセスしたいWebをクリックできる。情報システム部門の運用負荷も削減できる。デジタルアーツの「ホワイト運用」がセキュアな世界を実現します。

「i-FILTER」
デジタルアーツでは日々様々な情報をもとにデータの収集を行っています。
「i-FILTER」Ver.10では、フィッシングサイトURLはフィルターデータベースへと迅速に配信され、
[フィッシング詐欺]や[迷惑メールリンク]や[違法ソフト・反社会行為]カテゴリにてブロックが可能です。
さらに、Webサービス制御機能においても、サービスごとの制御が可能です。

安全なWebセキュリティの新定番「ホワイト運用」とは
またフィルターデータベースに反映されていないURLについても「ホワイト運用」を行うことで、デジタルアーツが安全を確認したURLにのみアクセスを許可し未知のフィッシングサイトや悪性URLをブロックすることができます。

クレデンシャルプロテクション
さらに「クレデンシャルプロテクション」機能では、正規のサイトと判別が困難な改ざんサイトに設置されたフィッシングサイトであっても、ユーザーがID・パスワードを送信しようとした際にこれをブロックすることが可能です。

「m-FILTER」
「m-FILTER」は、送信元や添付ファイルの拡張子、メール本文中に含まれるURLの偽装判定などが行えるメールセキュリティ製品です。

「脅威URLブロック」オプション(※)
「i-FILTER」をお持ちでなくても「脅威URLブロック」オプションをご利用いただくことで、メールの本文と添付ファイル内のURLを、デジタルアーツが運用しているクラウド上のデータベースに問い合わせます。もしも危険なURLが記載されている場合は、メールをブロックします。

※2022年12月9日より、本オプションの名称を「URLカテゴリ判定」から「脅威URLブロック」に変更しております。
※本オプションは「i-FILTER」をお持ちでないユーザー様に向けた機能となります。
※インターネット接続が必要となります。オフライン環境ではご利用いただけませんのでご注意ください。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

最新情報をお届けします。