【セキュリティレポート】 2024年上半期フィッシングサイトのドメインを独自に分析　 低価格または無料で購入できるドメイン「.xyz」を悪用した攻撃が増加

　情報セキュリティメーカーのデジタルアーツ株式会社（本社：東京都千代田区、代表取締役社長：道具　登志夫、以下 デジタルアーツ、証券コード2326）は、2024年上半期に収集した国内外のフィッシングサイトURLのドメインを集計したレポートを公開したことを発表します。

URL総数は下半期比約4割減、新たにTLD「.ly」「.cc」「.ci」の3つがランクイン
　デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。今回、デジタルアーツは、2024年上半期(1月～6月)に確認した国内外のフィッシングサイトURLのドメインを集計しました(IPアドレス形式のURLは除く)。なお、本レポートで扱うドメインについては【図1】のように定義しています。2024年上半期のフィッシングサイトURL総数は、2023年下半期と比較すると約4割減という結果になりました。また、月別でみると1月が最多となり、3月に再度増加しましたが6月にかけて徐々に減少しました。

　　[画像1]https://digitalpr.jp/simg/1854/93884/700_219_2024082616550166cc34d594385.png

　2024年上半期のフィッシングサイトTLD(トップレベルドメイン)トップ20を集計した結果、「.com」が36.91%と2023年下半期に比べシェアが減少したものの依然として首位に立っています。また、1月の観測が最も多く、シェア全体の8.77%を占めていることがわかりました。続いて、2位が「.cn」の12.12%、3位が「.dev」の8.77%という結果になり、順位が逆転しました。2023年下半期に8位だった「.xyz」は、今期4.76%増により5位にランクアップし、緩やかに増加しました。

　他のTLDにおいては、新たに「.ly」「.cc」「.ci」の3つがランクインしました。「.ly」は「cutt.ly」という短縮URLサービスで9割以上を占めていることがわかり、フィッシングサイトへの誘導を目的に悪用されていると推測できます。「.ci」も9割以上が「asso.si」という独自ドメインで占めており、「hxxp://(4桁の数字).(7文字のランダム文字列).asso.si/」といった形式のフィッシングサイトURLが多く見受けられました。また、「.cc」はオーストラリア領ココス(キーリング)諸島のccTLD(国別コードトップレベルドメイン)であり、フィッシング詐欺で利用されやすい要因には、比較的低格価で簡単に取得できることや、登録・利用に関する規制が緩いことに加え、特定の国・地域に限定されないことから不正利用を目的とした登録が行いやすいという点が挙げられます。


　　　　　　　　　　[画像2]https://digitalpr.jp/simg/1854/93884/350_481_2024082616560266cc35121517c.png

今期4.76%増したTLD「.xyz」の悪用方法に注目　宅配便を装ったSMSに使用されるパターンが多い傾向に
　「.xyz」を利用した独自ドメインは、「tbdym.xyz」「ppsed.xyz」「oqcey.xyz」「ibasv.xyz」の5つが突出して多く、これらには様々なサブドメインが利用されています。「.xyz」は、比較的低価格あるいは無料で取得できるTLDであることから、攻撃者はドメインを多数取得し、使い捨てていると考えられます。実際にこれらの独自ドメインは宅配便を装ったSMSで使用されているパターンで見受けられ、「お客様がご不在で、荷物を一時的に持ち帰りました。こちらから詳細をご覧ください。」などの文面に加え、フィッシングサイトへの誘導先にX(旧Twitter)の短縮URLサービス「t.co」を経由して利用されていることを確認しました。

　　　　　　　　　[画像3]https://digitalpr.jp/simg/1854/93884/450_209_2024082616570866cc3554103cb.png

　フィッシング攻撃者は、多様な手法や規模でユーザーをフィッシングサイトに誘導しようと試みています。特に、短期間で使い捨てられるドメインやURLを利用したフィッシングサイトは、ブラックリストによる検出が難しいため、個別にリスト登録したとしても、いたちごっことなります。TLDやドメイン、一般的な文字列が変化するのと同様に、模倣されるブランドや攻撃手法も進化しており、フィッシング攻撃は依然として組織や個人に対する重大な脅威です。そのため、新たな攻撃手法に関する情報収集とセキュリティ対策がより一層重要になります。

2024年上半期フィッシングサイト　ドメイン集計のレポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
https://www.daj.jp/security_reports/41/

◆デジタルアーツでは
▶受信したすべてのメールを開け、アクセスしたいWebをクリックできる。情報システム部門の運用負荷も削減できる。デジタルアーツの「ホワイト運用」がセキュアな世界を実現します。
https://www.daj.jp/bs/ifmf/

「i-FILTER」
デジタルアーツでは日々様々な情報をもとにデータの収集を行っています。「i-FILTER」Ver.10では、フィッシングサイトURLはフィルターデータベースへと迅速に配信され、[フィッシング詐欺]や[迷惑メールリンク]や[違法ソフト・反社会行為]カテゴリにてブロックが可能です。さらに、Webサービス制御機能においても、サービスごとの制御が可能です。

▶安全なWebセキュリティの新定番「ホワイト運用」とは
フィルターデータベースに反映されていないURLについても「ホワイト運用」を行うことで、デジタルアーツが安全を確認したURLにのみアクセスを許可し未知のフィッシングサイトや悪性URLをブロックすることができます。
https://www.daj.jp/bs/i-filter/#if_01_01

▶クレデンシャルプロテクション
「クレデンシャルプロテクション」機能では、正規のサイトと判別が困難な改ざんサイトに設置されたフィッシングサイトであっても、ユーザーがID・パスワードを送信しようとした際にこれをブロックすることが可能です。

「m-FILTER」
「m-FILTER」は、送信元や添付ファイルの拡張子、メール本文中に含まれるURLの偽装判定などが行えるメールセキュリティ製品です。
https://www.daj.jp/bs/mf/

▶「脅威URLブロック」オプション（※）
「i-FILTER」をお持ちでなくても「脅威URLブロック」オプションをご利用いただくことで、メールの本文と添付ファイル内のURLを、デジタルアーツが運用しているクラウド上のデータベースに問い合わせます。もしも危険なURLが記載されている場合は、メールをブロックします。
※本オプションは「i-FILTER」をお持ちでないユーザー様に向けた機能となります。
※インターネット接続が必要となります。オフライン環境ではご利用いただけませんのでご注意ください。


本件に関するお問合わせ先
デジタルアーツ株式会社　広報課　関・宮内　　TEL : 03-5220-1670/ E-mail : press@daj.co.jp

関連リンク
セキュリティレポート
https://www.daj.jp/security_reports/41/