2025/04/28 i-FILTER,m-FILTER,サイバー攻撃,フィッシング
2024年下半期フィッシングサイト ドメイン集計
この記事の要約
- 1件のフィッシングサイトURLを複数のメールで使い回している事例を確認
- 2024年下半期のフィッシングサイトURL総数は上半期比で約3割減少
- 日本国内向けフィッシングメールで使われたURL数はほぼ横ばい
- TLD「cn」が増加し、少数の所有者が「cn」ドメイン全体の3割以上を占める大量のドメインを所有
デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。
2024年下半期にデジタルアーツが収集した国内外のフィッシングサイトURLから、ドメインを集計した結果を公開します(※1)。
(※1)2024年7~12月末に、デジタルアーツが確認した数万件のフィッシングサイトURL。
IPアドレス形式のURLは除く。
はじめに
本稿で2024年下半期フィッシングサイトドメイン集計を取り上げる前に、
世界のTLDの数、世界のTLDシェア、また本稿で扱うドメインの定義について記載します。
世界のTLDの数
2025年3月時点のIANAのRoot Zone Databaseによると、TLDの数は1591あります。
世界のTLDシェア
世界のTLDシェアは【図1】のようになっています(※2)。
1位の「com」は4割を超えるシェアを占めています。「jp」は全体の1.9%程度です。
(※2)フィッシングサイトのTLDシェアではなく、
Trancoのトップサイトランキング約430万ドメインをもとに、TLDを集計したもの。
* Available at https://tranco-list.eu/list/W8P49.
ドメインについて
本稿で扱うドメインについては、【図2】のように定義することとします。
2024年下半期 フィッシングサイトドメイン
ここからはデジタルアーツが収集したフィッシングサイトのドメインを解説します。
※グラフ内のURLの具体的な数値は非公開とさせていただきます。
4.6億通の受信メールを分析 悪性メールは42%、うち91%はフィッシング
上記レポートで報告したとおり、フィッシングメールは増加しています。
そのフィッシングメールのURLを確認したところ、1件のURLを複数のメールで使い回している事例を確認しました。さらに、URLを使い回しているメールは数百万件確認されています。このことから、フィッシングメール件数とフィッシングサイトURL件数は必ずしも比例しないことがうかがえます。
URLの具体的な例としては、以下のような「workers.dev」ドメインを利用しGoogle翻訳を経由したフィッシングサイトURLなどがありました。
「workers.dev」ドメインを利用しGoogle翻訳を経由したフィッシングサイトURL例:
hxxps://thcx--rcha-l07by3j1-workers-dev[.]translate[.]goog/<path>
hxxps://amc--fxskd-l07by3j1-workers-dev[.]translate[.]goog/<path>
hxxps://qqngx--bwu-l07by3j1-workers-dev[.]translate[.]goog/<path>
次に、2024年下半期のフィッシングサイトURL総数ですが、
2024年上半期と比較すると、約3割減という結果となっていました。
また、日本国内に届いたフィッシングメールで利用されていたURL(以下、国内向けフィッシングサイトURL)に絞ってみると、多少の増減はあるものの、ほぼ横ばいとなっていました。
なお、次項からの「シェア」については、該当期間のフィッシングサイトURL総数を100%として算出しています。あらかじめご承知おきください。
TLDトップ20
フィッシングサイトのTLDを集計しました。
【図5】表では2024年下半期での総数を100%としてシェアの値を出しています。
(右のグレーの表は同年上半期の結果で、上半期での総数を100%としています。)
2024年下半期のTLDにおいては、フィッシングサイトの30.51%が「cn」ドメインを使用しており、上半期の2位からシェアを拡大しました。先述の世界のTLDシェアにおける「cn」の1.3%という割合と比較すると、フィッシングサイトにおいては多くのシェアを占めていることがうかがえます。
上半期3位にランクインしていた「dev」は1.47%で、上半期の8.77%からシェアは減少し、9位にランクダウンしていました。また、「jp」や「id」といった上半期ランキングが高かったTLDがランク外となっており、「vip」「co」「bond」「club」「click」「sbs」といったTLDが新たにランクインしていました。
独自ドメイントップ20
フィッシングサイトの独自ドメイン(※3)を集計しました。
(※3)下記例では「example.co.jp」が対象。
例:sub.example.co.jp
今回の集計でトップ20にランクインしている独自ドメインはいずれも様々な文字列のサブドメインを付与する形で利用されていました。
下半期シェアが最も多かったのは、「vercel.app」の1.27%で、シェアはわずかに増加していました。
上半期トップだった「workers.dev」がシェア0.67%で上半期シェア4.86%からに減少し、4位にランクダウンしていました。
また、ダイナミックDNSやWebホスティングサイトなどの正規サービスを悪用したものではない、
「etital.com」「yuoq.cc」「aseiouemt.com」「cvfdsgdseer.com」「asdfcvsdgfdc.com」「archviz.cn」といった独自ドメインが新たにランクインしていました。
さらに「ghfvhg.vip」や「aoteman-vip.vip」「chongcidiyi75.vip」といった「vip」を使用した独自ドメインも新たにランクインしていました。
「vip」を使用した独自ドメインはブラックフライデーに便乗したECサイト事業者をかたるフィッシングで利用されていたことが確認されています。
サブドメイン文字列トップ20
フィッシングサイトのサブドメイン文字列(※4)のみを集計しました。
(※4)サブドメインから独自ドメインを除外した文字列部分。下記例では「sub」が対象。
例: sub.example.co.jp
2024年下半期サブドメイン文字列において注目すべきは、「www」がシェア13.17%から25.83%に増加していました。中でもTLD「cn」を使用したものが多数確認されました。
こちらについては、後述いたします。
また、2024年下半期はメルカリ、Apple、えきネット、JCBカード、イオンカード、Amazonなどのブランドに関連するサブドメインの文字列が散見されました。
TLD「cn」の増加
フィッシングサイトのTLDやサブドメイン文字列の集計結果でも記載したように、2024年下半期はTLD「cn」が増加していました。
「cn」を使用した独自ドメインの傾向として、突出して件数の多いドメインはなく、様々なドメインが観測されました。さらに、少数の所有者が「cn」ドメイン全体の3割以上を占める大量のドメインを所有していることが確認できました。
上記に該当するドメイン所有者の例としては以下になります。
ドメイン所有者:陈礼吉
メールアドレス:blumhardtlizaoo1817@gmail.com
以下は、「cn」を使用した独自ドメインの所有者のうち、「所有者が個人名、連絡先がフリーメールアドレスで、一定数以上のドメインを取得しているドメイン所有者(以下、複数ドメイン所有者)」の割合を集計したものになります。
複数ドメイン所有者の割合は全体の6.3%でした。
また、以下は「cn」を使用した独自ドメインのうち、「複数ドメイン所有者が所有するドメイン」の件数の割合を集計したものになります。
「複数ドメイン所有者が所有するドメイン」の件数の割合は36.1%でした。
このことから、複数ドメイン所有者が所有するドメインの件数は、「cn」ドメイン全体の3割以上を占めており、少数の所有者が大量のドメインを所有していることがうかがえます。
こうしたドメイン所有者は、今回の集計には含まれていないドメインも多数取得していることを確認しており、今後も「cn」ドメインを使用したフィッシングサイトが多く確認されることが予想されます。
おわりに
2024年下半期は、TLD「cn」が増加しており、多数のURLが同一のドメイン所有者であることを確認しました。また、昨今では証券会社を装ったフィッシングサイトが多数確認されています。
フィッシング攻撃者は、多様な手法や規模でユーザーをフィッシングサイトに誘導しようとしています。特に、短期間で使い捨てられるドメインやURLを利用したフィッシングサイトは、ブラックリストによる検出が難しく、登録しても効果が薄いのが実情です。TLDやドメイン、一般的な文字列が変化するのと同様に、模倣されるブランドや攻撃手法も進化しており、フィッシング攻撃は依然として組織や個人に対する重大な脅威です。このため、新たな攻撃手法に関する情報収集とセキュリティ対策がますます重要になっています。