2023/02/28 i-FILTER,m-FILTER,サイバー攻撃,フィッシング
2022年下半期フィッシングサイト ドメイン集計
デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。2022年下半期にデジタルアーツが収集した国内外のフィッシングサイトURLから、ドメインを集計した結果を公開します(※1)。
(※1)2022年7~12月末に、デジタルアーツが確認した数万件のフィッシングサイトURL。IPアドレス形式のURLは除く。
はじめに
ドメインについて
本稿で扱うドメインについては、【図1】のように定義することとします。
世界のTLDの数
2023年2月時点のIANAのRoot Zone Databaseによると、TLDの数は1591あります。
世界のTLDシェア
世界のTLDシェアは【図2】のようになっています(※2)。1位の「com」は約半数を占めています。「jp」は全体の1.3%程度です。
(※2)Trancoのトップサイトランキング約770万ドメインをもとに、TLDを集計
- Trancoについて:Victor Le Pochat, Tom Van Goethem, Samaneh Tajalizadehkhoob, Maciej Korczyński, and Wouter Joosen. 2019. "Tranco: A Research-Oriented Top Sites Ranking Hardened Against Manipulation," Proceedings of the 26th Annual Network and Distributed System Security Symposium (NDSS 2019). https://doi.org/10.14722/ndss.2019.23386
- 使用データについて:We use the Tranco list [1] generated on 01 February 2023, ...* Available at https://tranco-list.eu/list/K2K4W.
2022年下半期 フィッシングサイトドメイン
ここからはデジタルアーツが収集したフィッシングサイトのドメインを解説します。
まず、2022年下半期のフィッシングサイトURL総数ですが、上半期と比較すると約4倍になっていました。
月別でみると最多は10月で、一か月だけで上半期の総数を超えています。
※グラフ内のURLの具体的な数値は非公開とさせていただきます。
なお、次項からの「シェア」については、該当期間のフィッシングサイトURL総数を100%として算出しています。あらかじめご承知おきください。
TLDトップ20
フィッシングサイトのTLDを集計しました。
TLDでは「top」が群を抜いて1位となりました。
【図4】表では下半期での総数を100%としてシェアの値を出しています(右下グレーの表は上半期の結果で、上半期での総数を100%としています)。「top」では上半期シェア3.57%に対して下半期シェア40.95%となっていますが、シェアではなくURL数でみると下半期の「top」は上半期比で45倍を観測しています。
※グラフ内のURLの具体的な数値は非公開とさせていただきます。
「top」は上半期はあまり多くはなかったものの、下半期の特に9月から10月にかけて大量に観測しました。
また、上半期のレポートで取り上げ3位にランクインしていた「ci」は下半期ではランク圏外となっています。
2022年上半期フィッシングサイト ドメイン集計
独自ドメイントップ20
フィッシングサイトの独自ドメイン(※3)を集計しました。
(※3)下記例では「example.co.jp」が対象。
例:sub.example.co.jp
1位の「za.com」は、セカンドレベルドメイン部分が「za」であり南アフリカを連想させることができます。しかし、特段の制約はなくサードレベルドメインを誰でも取得が可能となっています。2022年下半期にはある特徴的なフィッシングサイトのURLを大量に観測し(後述)、その中でこのドメインを使用した動きも一時期ありました。
2位の「firebaseapp.com」は、Googleが所有しFirebaseというサービスに関連するドメインです。サービスを利用すると誰でもサードレベルドメインの取得が可能です。それ以後のランクのものはシェアが低く、あまり大差はありません。
サブドメイン文字列トップ20
フィッシングサイトのサブドメイン文字列(※4)のみを集計しました。
(※4)サブドメインから独自ドメインを除外した文字列部分。下記例では「sub」が対象。
例: sub.example.co.jp
1位の空欄は(サブドメインがなく)独自ドメインのみだったということです。上半期でも同様に1位でしたが、21.06%から16.84%と減少。つまり、サブドメインを使っていたものが非常に多かったということが言えます。
今回は「www.」から始まるサブドメイン文字列が多くランクインしています。
頻出する文字列トップ20
フィッシングサイトのドメインでよく使われた文字列(※5)を集計しました。
(※5)【図1】で定義した「設定・取得可能な文字列部分」(下記例では「sub.example」が対象)において、意味のある単語や文字列で分割しそれぞれを集計。ダイナミックDNSやWebホスティングサイト利用の場合は、サブドメイン文字列部分のみ集計。
例: sub.example.co.jp
上半期では(かたられたサービスやブランドの)正規ドメインやそれに似た文字列がランクインしたのですが、下半期ではそういったものとは関係のない文字列がランクを占める結果になりました。
これは「ランダムな長い文字列」を意味のある単語で分割しようとした場合には、偶然マッチする単語を抽出してしまうということが起きるためです。少数であればランキングに影響はありませんが、サブドメインに「ランダムな長い文字列」を用いたパターンが非常に大量に使われたため(後述)、このようなランキングとなっています。
特徴的なパターンを持つ大量のURLを観測
2022年下半期のフィッシングサイトのURLおよびドメインには、今回の各ランキングに大きく影響した特徴的なパターンを持つクラスター(群)がありました。
- サブドメイン文字列は、文字数が多く、「www.」で始まり、そのあとには「aupay,visa,myjcb,saison」などといった正規サイトで使われる文字を数文字だけ使ったランダムな文字が続く
- TLDには「top」を使用したものが非常に多く、他にも「icu,co,shop」などのTLDが使われた。上述した「za.com」を使用した時期もあった。
- URLのパス部分には「/page1.php」を用いる
- 「サブドメイン文字列」x「独自ドメイン」のように掛け合わせた組み合わせでURLを大量に生成しているようなもの(「サブドメイン文字列が同一で、独自ドメインが異なる」、逆に「サブドメインが異なり、独自ドメインが同じ」というパターン)
このクラスターが下半期フィッシングサイトURL総数のおよそ7割を占めていました。同一のグループによって、あるいは同一のツールを用いて、大量に機械的に作成されていた可能性があります。
これが2022年下半期のフィッシングURL数が急増した要因でしょう。
おわりに
2022年下半期は非常にフィッシングサイトURLのボリュームが多い結果となりました。
IPAが選出する情報セキュリティ10大脅威 2023(IPA)の個人編で「フィッシングによる個人情報等の詐取」がで昨年と同様に1位となっています。フィッシングの脅威は今後も続くでしょう。