デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。
2024年上半期にデジタルアーツが収集した国内外のフィッシングサイトURLから、ドメインを集計した結果を公開します（※1）。

（※1）2024年1～6月末に、デジタルアーツが確認した数万件のフィッシングサイトURL。
IPアドレス形式のURLは除く。

はじめに

本稿で2024年上半期フィッシングサイトドメイン集計を取り上げる前に、
世界のTLDの数、世界のTLDシェア、また本稿で扱うドメインの定義について記載します。

世界のTLDの数

2024年7月時点のIANAのRoot Zone Databaseによると、TLDの数は1591あります。

世界のTLDシェア

世界のTLDシェアは【図1】のようになっています（※2）。
1位の「com」は4割を超えるシェアを占めています。「jp」は全体の4.7%程度です。

（※2）フィッシングサイトのTLDシェアではなく、
Trancoのトップサイトランキング約450万ドメインをもとに、TLDを集計したもの。

• Trancoについて：Victor Le Pochat, Tom Van Goethem, Samaneh Tajalizadehkhoob, Maciej Korczyński, and Wouter Joosen. 2019. "Tranco: A Research-Oriented Top Sites Ranking Hardened Against Manipulation," Proceedings of the 26th Annual Network and Distributed System Security Symposium (NDSS 2019). https://doi.org/10.14722/ndss.2019.23386
• 使用データについて：：We use the Tranco list* [1] generated on 15 July 2024, ...
  * Available at https://tranco-list.eu/list/PNW4J.

  ドメインについて

  本稿で扱うドメインについては、【図2】のように定義することとします。

  

  
  

  2024年上半期 フィッシングサイトドメイン

  ここからはデジタルアーツが収集したフィッシングサイトのドメインを解説します。
  
  2024年上半期のフィッシングサイトURL総数ですが、
  2023年下半期と比較すると、約4割減という結果となっていました。
  

  

  ※グラフ内のURLの具体的な数値は非公開とさせていただきます。
  
  なお、次項からの「シェア」については、該当期間のフィッシングサイトURL総数を100%として算出しています。あらかじめご承知おきください。
  
  

  TLDトップ20

  フィッシングサイトのTLDを集計しました。

  

  【図4】表では2024年上半期での総数を100%としてシェアの値を出しています。
  （右のグレーの表は昨年下半期の結果で、下半期での総数を100%としています。）
  
  上半期シェアが最も多かったのは、「com」の36.91％でしたが、昨年下半期よりシェアは減少していました。また、1月が最も多く、シェア全体の8.77%を占めていました。
  
  昨年下半期3位にランクインしていた「cn」は12.12%で、シェアが増加し、2位にランクアップしていました。昨年下半期2位にランクインしていた「dev」8.77％で、シェアは増加したものの、3位にランクダウンしていました。「top」は7.18%で4位にランクアップし、「xyz」も6.95％で5位にランクアップしていました。「xyz」の増加については後述します。「jp」は4.11％で6位にランクアップしており、主に「blogspot.jp」の増加によるものとなります。

  他のTLDについては、「ly」「cc」「ci」の3つが新たにランクインしていました。
  「ly」は、「Cuttly」という短縮URLサービスを利用したものが9割以上を占めていました。
  
  「cc」はオーストラリア領ココス (キーリング) 諸島の国別コードトップレベルドメイン (ccTLD) になります。「cc」がフィッシング詐欺で利用されやすい要因としては、「cc」が比較的安価で簡単に取得できることや、 一部のccTLDと比較して「cc」の登録や使用に関する規制が比較的緩いこと、国際的に利用可能で、特定の国や地域に限定されないことによって不正利用を目的とした登録が行われやすい点などが挙げられます。
  
  「ci」は、「asso.ci」が9割以上を占める結果となりました。
  「asso.ci」については、2022年上半期フィッシングサイト ドメイン集計でも取り上げたものですが、
  今回はフィッシングサイトの形式が異なり、以下の形式のURLが多く見受けられました。
  hxxp://(4桁の数字).(7文字のランダム文字列).asso.ci/
  
  「asso.ci」を利用したフィッシングサイトURL例：
  hxxp://0002[.]bxynbvd[.]asso[.]ci/
  hxxp://8123[.]zbwivsm[.]asso[.]ci/
  hxxp://5026[.]fuxhthb[.]asso[.]ci/
  
  
  
  

  独自ドメイントップ20

  フィッシングサイトの独自ドメイン（※3）を集計しました。
  
  （※3）下記例では「example.co.jp」が対象。
  例：sub.example.co.jp

  

  2位の「blogspot.jp」はGoogleが提供するブログサービス「Blogger」のドメイン名であり、昨年下半期の16位からシェアが増加していました。
  
  7位の「yam.com」(s.yam.com)、10位の「cutt.ly」、11位の「tinyurl.com」は短縮URLサービスで利用されている独自ドメインであり、これらはフィッシングサイトに誘導する目的で利用されていると考えられます。
  また、「yam.com」は「s.yam.com」の形式で利用されているものであり、yamShareという海外の短縮URLサービスを用いたフィッシングサイトの増加によるものになります。
  
  「tbdym.xyz」「ppsed.xyz」「rtthh.xyz」「oqcey.xyz」「ibasv.xyz」の5つは、いずれもTLD「xyz」を利用した独自ドメインであり、こちらについては後述します。
  
  その他の独自ドメインとしては、「webflow.io」といったコードなしでWebサイト構築できるサービスを利用した独自ドメインや、「mybluehost.me」「netlify.app」といったホスティングサービスを利用した独自ドメインが新たにランクインしていました。
  
  2024年上半期もダイナミックDNSやホスティング機能を持つサービスのドメインがランクイン、ランクアップする結果となり、これらのドメインはフィッシングサイトで悪用されるパターンがあることから、ドメイン単位での閲覧制限やGitHubのようなWebサービスごとの制御が効果的となります。
  
  
  
  

  頻出する文字列トップ20

  フィッシングサイトのドメインでよく使われた文字列（※4）を集計しました。
  
  （※4）【図1】で定義した「設定・取得可能な文字列部分」（下記例では「sub.example」が対象）において、意味のある単語や文字列で分割しそれぞれを集計。ダイナミックDNSやWebホスティングサイト利用の場合は、サブドメイン文字列部分のみ集計。
  例： sub.example.co.jp

  

  2位の「.co.jp」はAmazon、イオンカード、エポスカード、えきねっとなどのブランドに関連するサブドメインに多数用いられた文字列となります。
  
  3位の「long」はTLD「cn」を利用したものが約7割で、文字列から「えきねっと」や「Amazon」を装ったと思われるフィッシングサイトのログイン (login) に似た文字列 「longin」が用いられているパターンが多く見られました。
  
  また、5位の「aeon」と18位の「eno」は、イオンカードを装ったと思われるフィッシングサイトに多く見受けられる文字列であり、「eno」はイオン（AEON）に似た文字列「aeno」が用いられているパターンで多く見られました。
  
  12位の「admin」もTLD「cn」を利用したものが約7割で、「admin」を含む文字列から「えきねっと」を装ったと思われるフィッシングサイトに多く見受けられる文字列でした。
  
  その他は、11位の「meta」と13位の「mask」は仮想通貨ウォレットのMetamask、17位の「coin」はCoincheck、Coinbaseなどの暗号資産取引所、20位の「open」はNFTマーケットプレイスのOpenSeaといった、暗号資産に関連するサービスを装ったと思われるフィッシングサイトに多く見受けられる文字列がランクインする結果となりました。
  
  
  
  
  

  TLD「xyz」の増加

  フィッシングサイトのTLD集計結果でも記載したように、2024年上半期はTLD「xyz」が増加していました。「xyz」を利用した独自ドメインは「tbdym.xyz」「ppsed.xyz」「rtthh.xyz」「oqcey.xyz」「ibasv.xyz」の5つが突出して多く、これらは様々なサブドメインが確認されています。
  いずれも5月に多く観測されたものであり、「xyz」は、安価および無料でドメイン取得可能なTLDであることから、攻撃者はドメインを多数取得し、使い捨てていると考えられます。
  これらの独自ドメインは宅配便を装ったSMSに使用されているパターンが多く、「お客様がご不在で、荷物を一時的に持ち帰りしました。こちらから詳細をご覧ください。」などの文面とともに、X（旧Twitter）の短縮URLサービス「t.co」 経由の誘導先で利用されていることを確認しています。

  

  また、いずれも以下の形式のURLが多く見受けられました。
  tbdym.xyzの例：
  http://(6文字のランダム文字列).tbdym.xyz/?(5文字のランダム文字列)
  
  「tbdym.xyz」を利用したフィッシングサイトURL例：
  hxxp://fjpmxv[.]tbdym[.]xyz/?ztxwv
  hxxp://hmfjum[.]tbdym[.]xyz/?cdayv
  hxxp://lzednk[.]tbdym[.]xyz/?sjpoo
  
  
  
  

  おわりに

  フィッシング攻撃者は、多様な手法や規模でユーザーをフィッシングサイトに誘導しようとしています。特に、短期間で使い捨てられるドメインやURLを利用したフィッシングサイトは、ブラックリストによる検出が難しく、登録しても効果が薄いのが実情です。TLDやドメイン、一般的な文字列が変化するのと同様に、模倣されるブランドや攻撃手法も進化しており、フィッシング攻撃は依然として組織や個人に対する重大な脅威です。このため、新たな攻撃手法に関する情報収集とセキュリティ対策がますます重要になっています。