JPCERT/CCによると、昨年1年間にJPCERT/CCに寄せられたインシデント報告件数は44,242件で、うち半数を超える23,104件がフィッシングサイト関連だったということです。JPCERT/CCでは、これらフィッシングサイトのドメインに関する分析記事を公開しているので紹介したいと思います。
無料のDynamic DNS サービス悪用し.orgフィッシング最多
JPCERT/CCに昨年1年間に報告されたフィッシングサイトの件数を月毎に見ると、もっとも少なかったのが2月で1375件、もっとも多かったのが8月で2469件、上半期は毎月1500件前後で推移していましたが、8月に急上昇し、以降、毎月2000件台で推移しています。JPCERT/CCは「8月頃からAmazonやETC利用照会サービスサイトをかったフィッシングサイトの報告件数が増加したこともあり、2000件を超える状況が続いた」と説明しています。また、これらフィッシングサイトが騙っていた企業・組織を業種別にみると、全体の31%が金融系でもっとも多く、次いで通信事業者だということです。また、昨年の特徴として政府機関のサービスサイトを騙ったフィッシングサイトが1月から7月にかけて30件未満で推移し、8月に63件、9月に209件に急増、これらの多くが総務省の定額給付金サイトや厚生労働省のコロナワクチンナビサイトを騙ったフィッシングだったということです。
これらフィッシングサイトのドメインはどのようなものが使われていたのでしょうか?トップレベルドメインには、「.jp」のように国ごとに割り当てられたccTLD(Country Top Level Domain)と「.com」などのgTLD(General Top Level Domain)という2つの分類があるということですが、フィッシングサイトの多くはgTLDが使われており、昨年の場合ですと約8割がgTLDだということです。そして、その内訳は「.org」がもっとも多く42%を占め、次いで「.com」(26%)が多かったということです。「.org」が多かったことについてJPCERT/CC は「Dynamic DNS サービスを提供する事業者のサービスが悪用され、フィッシングサイトが大量に生産された」ことを指摘しています。これはduckdns.orgサブドメインを作成できる無料のDynamic DNS サービスであるduckdnsのことを指しているものと思われます。日本国内においてduckdns.orgのリンク先に誘導するフィッシングメールやSMSが多く確認されています。
国ごと割り当てのドメインでは.cn69%、.cc7%、.jp4%
一方、国ごとに割り当てられているトップレベルドメイン、ccTLDについても全体の2割程度ですが散見され、その内訳は中国に割り当てられている「.cn」が69%ともっとも多く、次いでオーストラリア領ココス諸島に割り当てられている「.cc」(7%)、そして日本に割り当てられている「.jp」(4%)、さらに「.vu」(バヌアツ、3%)、「.ga」(アフリカ・ガボン共和国、3%)、その他(14%)と続いています。
フィッシングサイトに使われているjpドメインの傾向についてJPCERT/CCは、「正規ドメインのウェブサイトが侵害を受け、フィッシングサイトのコンテンツが置かれて、悪用されるケースが散見される」と指摘する一方、「フィッシングサイトを設置するために取得されたjpドメインを利用して、フィッシングサイトを構築している状況も確認している」としていて既存のドメインが侵害されて使われているケースとフィッシングサイト構築を目的に取得された2つのパターンがあるようです。
フィッシングサイトを構築する目的で取得されたjpドメインでは、セカンドレベルドメインに例えばapluslやsaisonsなど文字の中に特定のブランド名を含んでいるケースとそうでないケースがあり、また、数字を含んでいるケースやregisterbのようにregister(登録)の名詞に1文字を加えて、その文字を変えて複数のドメインを取得しているケースなどがあるということです。また、card.jpでドメインを取得してサブドメインをsmbcやrakutenにするとsmbc.card.jpやrakuten.card.jpとのドメインとなり、「攻撃者は何かしらのカードサービスを提供しているサービスやブランドの偽装を目的にドメインを登録したと考えられる」とJPCERT/CCは指摘しています。
jpドメインで三井住友カード、Amazon、PayPayなど騙られる
JPCERT/CCの記事ではフィッシングサイト構築のために取得されたjpドメインの一覧も掲載されており、計90件のドメインが登録年月日と偽装しているブランド名と合わせて公開されています。それによると、JPCERT/CCが昨年確認したjpドメインのフィッシングサイト90件のうち、もっとも多く悪用されていたブランドは三井住友カードで26件、次いでAmazon17件、PayPay10件(うち1件はPayPay銀行)、SAISON CARD9件、ドコモ8件、楽天市場8件(うち1件は楽天市場ヨドバシガメラ)、総務省3件、三菱UFJニコス2件と続き、三井住友銀行、アプラス、J:COM、アメックス、au、ETC利用照会サービス、ヤフージャパンがそれぞれ1件となっています。
日本をターゲットにしたフィッシングサイトを分析することは、国内のサイバー攻撃の状況を把握するうえでもとても重要なことだと思います。JPCERT/CCではフィッシングサイトやフィッシングメール、SMSなどについてさらなる情報の提供を求めています。
■出典