~フィッシングサイトURL数は1月と比較して6月は3倍以上~
情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード2326)は、2022年上半期に収集した国内外のフィッシングサイトURLのドメインを集計したレポートを公開したことを発表します。
フィッシングサイトのTLD(トップレベルドメイン)では「cn」が1位に急浮上、3位に「ci」が突如として出現
デジタルアーツでは、日々さまざまなWebサイトについて調査・収集を行っております。今回、デジタルアーツは、2022年上半期(1~6月)に確認した国内外のフィッシングサイトURLのドメインを集計しました(IPアドレス形式のURLは除く)。なお、本レポートで扱うドメインについては、【図1】のように定義しています。デジタルアーツの調査によりますと、2022年上半期のフィッシングサイトURL総数は、前年同期比で約1.5倍も増えているということがわかりました。2022年上半期フィッシングサイトのTLDのシェア(該当年度期間のフィッシングサイトURL総数を100%として算出)では、「cn」が最も多く約23%となりました。「cn」は前年4位で約4%でしたので急増しており、「cn」は上半期全体を通して常に使用され続けていました。前年1位の「com」は約48%から約21%へとシェアを下げています。3位には前年はランク圏外だった「ci」が突如として出現しています。
フィッシングサイトURL数は1月と6月を比較すると約3.2倍に
2022年上半期フィッシングサイトURL総数を100%として、TLDが毎月どれだけ観測されたかを調査しました。最下段は「フィッシングサイトURL」の毎月の合計を表しています。
フィッシングサイトURL数は1月(約8%)と6月(約27%)を比較すると約3.2倍と、上半期後半にかけて非常に多く観測されました。特にTLD 「ci」は全体の約14%ものボリュームを占めているにもかかわらず、独自ドメインは、presse[.]ci、asso[.]ci、md[.]ciのたった3つでした。大量にサブドメインを作成してばらまいていた攻撃者がいたため、【図3】のような数値となりました。
見慣れないTLD「ci」の使用と「Public Suffix List」との関連性
「ci」はアフリカのコートジボワール共和国に割り当てられているccTLD(国別コードトップレベルドメイン)です。「Public Suffix List」は、一般のインターネットユーザーが簡単に登録・取得できないドメイン部分をリストにしたものです。「Public Suffix List」は大きく「ICANN DOMAINS」と「PRIVATE DOMAINS」の2つに分かれており、前者はより厳密なチェックを必要とします。例えば「ICANN DOMAINS」には「jp」や「co.jp」など、「PRIVATE DOMAINS」にはクラウドサービス事業者などが利用者に貸し出す独自ドメインなどが記載されています。
「Public Suffix List」の「ICANN DOMAINS」は多くのサービスで利用され、ここに記載されるドメインは特別なものです。しかし、「Public Suffix List」の「ICANN DOMAINS」に3つの独自ドメイン(presse[.]ci, asso[.]ci, md[.]ci)が記載されていることがわかりました。つまり、「co.jp」と同様の扱いになっていることになります。
コートジボワールのNIC(ネットワークインフォメーションセンター)は、2008年当時これら3ドメインを管理しており、「ICANN DOMAINS」に追加された当時は適切であったと考えられます。3ドメインはその後の2020年、アジアの一組織に取得されており、現状においては「Public Suffix List」の「ICANN DOMAINS」に記載されていることは不適切な状態と考えます。フィッシングのために3ドメインを狙って取得したのかは定かではありませんが、攻撃者はセキュリティ製品回避の意図などもあったのかもしれません。
攻撃者はさまざまな手法でフィッシングサイトに誘導しようとします。ドメインやURLが短時間で使い捨てにされたりするようなフィッシングサイトにはブラックリストでの捕捉は困難であり、ブラックリストに登録したとしてもあまり意味のないデータとなるでしょう。
▶デジタルアーツのi-FILTERはフィッシングサイトのURLをブロック
デジタルアーツでは日々さまざまな情報をもとにデータの収集を行っています。「i-FILTER」Ver.10では、フィッシングサイトURLはフィルターデータベースへと迅速に配信され、[フィッシング詐欺]や[迷惑メールリンク]や[違法ソフト・反社会行為]カテゴリにてブロック可能です。またフィルターデータベースに反映されていないURLについても「ホワイト運用」を行うことで、デジタルアーツが安全を確認したURLにのみアクセスを許可し未知のフィッシングサイトや悪性URLをブロックすることができます。さらに「クレデンシャルプロテクション」機能では、正規のサイトと判別が困難な改ざんサイトに設置されたフィッシングサイトであっても、ユーザーがID・パスワードを送信しようとした際にこれをブロックすることが可能です。
■セキュリティ対策の新定番「ホワイト運用」
「i-FILTER」 クレデンシャルプロテクション
https://www.daj.jp/bs/i-filter/
▶2022年上半期フィッシングサイト ドメイン集計のレポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
セキュリティレポート
https://www.daj.jp/security_reports/220830_1/