「フィッシングトレンド」レポート、悪⽤されたブランドは?(TwoFive)

2023年2月28日7:22

TwoFiveは、「フィッシングトレンド」レポートの2022年9月~12月版を発表した。同レポートは、SSL証明書発行情報、ドメイン登録情報、ソーシャル情報、マルウェアなど複数のデータソースから独自のアルゴリズムにより、国内のフィッシングサイトについて多角的に独自に調査し、メッセージングセキュリティの専門ベンダーとして長年培った経験に基づく知見により分析・判定して検知した結果をまとめたもので定期的に公開しているそうだ。

前回の調査(2022年6月~8月)で、国税庁のフィッシングサイトで使われたダイナミックDNSサービスは「duckdns. org」で、8月中旬から下旬にかけて件数が増加した。今回の調査期間で、この「duckdns. org」を使ったフィッシングの攻撃ブランド(図1)では、11月~12月にかけて、国税庁が減り、ソフトバンクが増加した。日単位で動きをとらえてみると、ソフトバンクを騙るフィッシングサイトが検出されている期間が、国税庁を騙るフィッシングサイト数が落ち着いている期間と一致し、フィッシングの成果を検証しているかのような動きが見られることから、国税庁をターゲットとした攻撃者が、攻撃対象をソフトバンクに切り替えた可能性が考えられるとした。

また、前回の調査結果(2022年6月~8月)に引き続き、国税庁のe-Tax を騙るフィッシングサイトは11月まで増加し続けて大量に検出されたが、12月は11月の1/3以下に減少した。携帯キャリア系を騙るフィッシングサイトで多く検出されたのは、9月~10月がauブランドを狙ったもの、11月~12月はソフトバンクユーザーを狙ったフィッシングサイトだった。クレジット・信販系では、全体的にサイト数は少ないが三井住友カード、Visaカード、イオンカード、アメックスカードなどを狙ったフィッシングサイトが各月で検出されたという。

悪用されたブランド(TwoFive)

中国のカントリーコードTLD (ccTLD)である「. cn」を利用するフィッシングサイトは、前回(2022年6月~8月の合計)は全体の54%と最も多く検出されていたが、今回(2022年9月~12月の合計)は19%と減少傾向にある。しかしながら、「.cn」以外を利用するフィッシングサイトの本文やHTMLコメント内の一部に、中国語が混じっている例が依然として多く散見され、中国系のフィッシング攻撃数が減少しているのではなく、警戒されがちな「.cn」ではなく、別のTLDに変えたと考えられる。

国税庁、ソフトバンクのフィッシングサイトで使われている「duckdns.org」以外の状況をみると(図3)、「.cn」のフィッシングサイトが減った一方で、特定の領域・分野ごとに割り当てられるGeneric TLD (gTLD)である「.com」と「.shop」を利用するフィッシングサイトが増加傾向にある。gTLDでは他にも「.top」や「.xyz」や「.club」などのドメインが多く見られる。全体的に、ccTLDよりgTLDを利用するドメインの比率が上がってきている。

前回の調査結果(2022年6月~8月)で全体の半数近くを占めていたQuadranet.comの利用が減っている一方で、DediPathを利用したフィッシングサイトが増え、半数以上を占めている。9月~10月にはColoCrossingを利用したフィッシングサイト、11月にはSun Network Company Limitedを利用したフィッシングサイトが見られた。

いずれも米国のホスティング事業者だが、料金が安価であることに加えて、利用に際しての審査が甘く、支払い方法において足が付かないホスティングサービスが狙われているのではないかと考えられる。数は少ないが、Google CloudやAWS等のメジャーなクラウド・ホスティング事業者を利用したフィッシングサイトも検知されている。

フィッシングサイトでは、ドメインのブラックリスト登録を回避するために、同一IPアドレスに対して複数のドメインを割り当てる傾向にあるという。今回の集計期間では、1つのIPアドレスに対して平均16個のドメインが割り当てられていた。「duckdns.org」を使って、国税庁、ソフトバンクを標的にしたフィッシングサイトでも、1つのIPで複数ドメインを運用していると考えられるそうだ。

フィッシングサイトに利用されている証明書は、99.8%がLet’s Encryptにて取得されたもの。数は少ないが、cPanelやTrustAsia Technologies、Sectigoなどで取得されたものも見られた。証明書内のSubject Alternative Name(SAN)の数は1件、2件のものが85%以上を占めるが、50件又は100件のものも5%くらいあり、ドメインごとに証明書を取るものと大量のドメインに同一の証明書を使用する2パターンがある傾向が見られ、大量に取得する場合は機械的に取得していると想定され、切りの良い50または100件が選ばれるようだ。

この記事の著者

paymentnavilogo1

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

関連記事

ペイメントニュース最新情報

ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

シームレスなBtoB決済を実現!インフキュリオンの請求書支払いプラットフォーム(インフキュリオン)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP