2024/08/27 i-FILTER,m-FILTER,サイバー攻撃,フィッシング
2024年上半期フィッシングサイト ドメイン集計
デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。
2024年上半期にデジタルアーツが収集した国内外のフィッシングサイトURLから、ドメインを集計した結果を公開します(※1)。
(※1)2024年1~6月末に、デジタルアーツが確認した数万件のフィッシングサイトURL。
IPアドレス形式のURLは除く。
はじめに
本稿で2024年上半期フィッシングサイトドメイン集計を取り上げる前に、
世界のTLDの数、世界のTLDシェア、また本稿で扱うドメインの定義について記載します。
世界のTLDの数
2024年7月時点のIANAのRoot Zone Databaseによると、TLDの数は1591あります。
世界のTLDシェア
世界のTLDシェアは【図1】のようになっています(※2)。
1位の「com」は4割を超えるシェアを占めています。「jp」は全体の4.7%程度です。
(※2)フィッシングサイトのTLDシェアではなく、
Trancoのトップサイトランキング約450万ドメインをもとに、TLDを集計したもの。
- Trancoについて:Victor Le Pochat, Tom Van Goethem, Samaneh Tajalizadehkhoob, Maciej Korczyński, and Wouter Joosen. 2019. "Tranco: A Research-Oriented Top Sites Ranking Hardened Against Manipulation," Proceedings of the 26th Annual Network and Distributed System Security Symposium (NDSS 2019). https://doi.org/10.14722/ndss.2019.23386
- 使用データについて::We use the Tranco list* [1] generated on 15 July 2024, ...
* Available at https://tranco-list.eu/list/PNW4J.ドメインについて
本稿で扱うドメインについては、【図2】のように定義することとします。
2024年上半期 フィッシングサイトドメイン
ここからはデジタルアーツが収集したフィッシングサイトのドメインを解説します。
2024年上半期のフィッシングサイトURL総数ですが、
2023年下半期と比較すると、約4割減という結果となっていました。※グラフ内のURLの具体的な数値は非公開とさせていただきます。
なお、次項からの「シェア」については、該当期間のフィッシングサイトURL総数を100%として算出しています。あらかじめご承知おきください。TLDトップ20
フィッシングサイトのTLDを集計しました。
【図4】表では2024年上半期での総数を100%としてシェアの値を出しています。
(右のグレーの表は昨年下半期の結果で、下半期での総数を100%としています。)
上半期シェアが最も多かったのは、「com」の36.91%でしたが、昨年下半期よりシェアは減少していました。また、1月が最も多く、シェア全体の8.77%を占めていました。
昨年下半期3位にランクインしていた「cn」は12.12%で、シェアが増加し、2位にランクアップしていました。昨年下半期2位にランクインしていた「dev」8.77%で、シェアは増加したものの、3位にランクダウンしていました。「top」は7.18%で4位にランクアップし、「xyz」も6.95%で5位にランクアップしていました。「xyz」の増加については後述します。「jp」は4.11%で6位にランクアップしており、主に「blogspot.jp」の増加によるものとなります。他のTLDについては、「ly」「cc」「ci」の3つが新たにランクインしていました。
「ly」は、「Cuttly」という短縮URLサービスを利用したものが9割以上を占めていました。
「cc」はオーストラリア領ココス (キーリング) 諸島の国別コードトップレベルドメイン (ccTLD) になります。「cc」がフィッシング詐欺で利用されやすい要因としては、「cc」が比較的安価で簡単に取得できることや、 一部のccTLDと比較して「cc」の登録や使用に関する規制が比較的緩いこと、国際的に利用可能で、特定の国や地域に限定されないことによって不正利用を目的とした登録が行われやすい点などが挙げられます。
「ci」は、「asso.ci」が9割以上を占める結果となりました。
「asso.ci」については、2022年上半期フィッシングサイト ドメイン集計でも取り上げたものですが、
今回はフィッシングサイトの形式が異なり、以下の形式のURLが多く見受けられました。
hxxp://(4桁の数字).(7文字のランダム文字列).asso.ci/
「asso.ci」を利用したフィッシングサイトURL例:
hxxp://0002[.]bxynbvd[.]asso[.]ci/
hxxp://8123[.]zbwivsm[.]asso[.]ci/
hxxp://5026[.]fuxhthb[.]asso[.]ci/
独自ドメイントップ20
フィッシングサイトの独自ドメイン(※3)を集計しました。
(※3)下記例では「example.co.jp」が対象。
例:sub.example.co.jp2位の「blogspot.jp」はGoogleが提供するブログサービス「Blogger」のドメイン名であり、昨年下半期の16位からシェアが増加していました。
7位の「yam.com」(s.yam.com)、10位の「cutt.ly」、11位の「tinyurl.com」は短縮URLサービスで利用されている独自ドメインであり、これらはフィッシングサイトに誘導する目的で利用されていると考えられます。
また、「yam.com」は「s.yam.com」の形式で利用されているものであり、yamShareという海外の短縮URLサービスを用いたフィッシングサイトの増加によるものになります。
「tbdym.xyz」「ppsed.xyz」「rtthh.xyz」「oqcey.xyz」「ibasv.xyz」の5つは、いずれもTLD「xyz」を利用した独自ドメインであり、こちらについては後述します。
その他の独自ドメインとしては、「webflow.io」といったコードなしでWebサイト構築できるサービスを利用した独自ドメインや、「mybluehost.me」「netlify.app」といったホスティングサービスを利用した独自ドメインが新たにランクインしていました。
2024年上半期もダイナミックDNSやホスティング機能を持つサービスのドメインがランクイン、ランクアップする結果となり、これらのドメインはフィッシングサイトで悪用されるパターンがあることから、ドメイン単位での閲覧制限やGitHubのようなWebサービスごとの制御が効果的となります。
頻出する文字列トップ20
フィッシングサイトのドメインでよく使われた文字列(※4)を集計しました。
(※4)【図1】で定義した「設定・取得可能な文字列部分」(下記例では「sub.example」が対象)において、意味のある単語や文字列で分割しそれぞれを集計。ダイナミックDNSやWebホスティングサイト利用の場合は、サブドメイン文字列部分のみ集計。
例: sub.example.co.jp