Pay-Ya NEWS.

キャッシュレスに関するニュースポータル

© Pay-Ya NEWS. All rights reserved.

20232/27

「フィッシングトレンド」レポート、悪⽤されたブランドは?(TwoFive)

2023年2月28日7:22

TwoFiveは、「フィッシングトレンド」レポートの2022年9月~12月版を発表した。同レポートは、SSL証明書発行情報、ドメイン登録情報、ソーシャル情報、マルウェアなど複数のデータソースから独自のアルゴリズムにより、国内のフィッシングサイトについて多角的に独自に調査し、メッセージングセキュリティの専門ベンダーとして長年培った経験に基づく知見により分析・判定して検知した結果をまとめたもので定期的に公開しているそうだ。

前回の調査(2022年6月~8月)で、国税庁のフィッシングサイトで使われたダイナミックDNSサービスは「duckdns. org」で、8月中旬から下旬にかけて件数が増加した。今回の調査期間で、この「duckdns. org」を使ったフィッシングの攻撃ブランド(図1)では、11月~12月にかけて、国税庁が減り、ソフトバンクが増加した。日単位で動きをとらえてみると、ソフトバンクを騙るフィッシングサイトが検出されている期間が、国税庁を騙るフィッシングサイト数が落ち着いている期間と一致し、フィッシングの成果を検証しているかのような動きが見られることから、国税庁をターゲットとした攻撃者が、攻撃対象をソフトバンクに切り替えた可能性が考えられるとした。

また、前回の調査結果(2022年6月~8月)に引き続き、国税庁のe-Tax を騙るフィッシングサイトは11月まで増加し続けて大量に検出されたが、12月は11月の1/3以下に減少した。携帯キャリア系を騙るフィッシングサイトで多く検出されたのは、9月~10月がauブランドを狙ったもの、11月~12月はソフトバンクユーザーを狙ったフィッシングサイトだった。クレジット・信販系では、全体的にサイト数は少ないが三井住友カード、Visaカード、イオンカード、アメックスカードなどを狙ったフィッシングサイトが各月で検出されたという。

悪用されたブランド(TwoFive)

中国のカントリーコードTLD (ccTLD)である「. cn」を利用するフィッシングサイトは、前回(2022年6月~8月の合計)は全体の54%と最も多く検出されていたが、今回(2022年9月~12月の合計)は19%と減少傾向にある。しかしながら、「.cn」以外を利用するフィッシングサイトの本文やHTMLコメント内の一部に、中国語が混じっている例が依然として多く散見され、中国系のフィッシング攻撃数が減少しているのではなく、警戒されがちな「.cn」ではなく、別のTLDに変えたと考えられる。

国税庁、ソフトバンクのフィッシングサイトで使われている「duckdns.org」以外の状況をみると(図3)、「.cn」のフィッシングサイトが減った一方で、特定の領域・分野ごとに割り当てられるGeneric TLD (gTLD)である「.com」と「.shop」を利用するフィッシングサイトが増加傾向にある。gTLDでは他にも「.top」や「.xyz」や「.club」などのドメインが多く見られる。全体的に、ccTLDよりgTLDを利用するドメインの比率が上がってきている。

前回の調査結果(2022年6月~8月)で全体の半数近くを占めていたQuadranet.comの利用が減っている一方で、DediPathを利用したフィッシングサイトが増え、半数以上を占めている。9月~10月にはColoCrossingを利用したフィッシングサイト、11月にはSun Network Company Limitedを利用したフィッシングサイトが見られた。

いずれも米国のホスティング事業者だが、料金が安価であることに加えて、利用に際しての審査が甘く、支払い方法において足が付かないホスティングサービスが狙われているのではないかと考えられる。数は少ないが、Google CloudやAWS等のメジャーなクラウド・ホスティング事業者を利用したフィッシングサイトも検知されている。

フィッシングサイトでは、ドメインのブラックリスト登録を回避するために、同一IPアドレスに対して複数のドメインを割り当てる傾向にあるという。今回の集計期間では、1つのIPアドレスに対して平均16個のドメインが割り当てられていた。「duckdns.org」を使って、国税庁、ソフトバンクを標的にしたフィッシングサイトでも、1つのIPで複数ドメインを運用していると考えられるそうだ。

フィッシングサイトに利用されている証明書は、99.8%がLet’s Encryptにて取得されたもの。数は少ないが、cPanelやTrustAsia Technologies、Sectigoなどで取得されたものも見られた。証明書内のSubject Alternative Name(SAN)の数は1件、2件のものが85%以上を占めるが、50件又は100件のものも5%くらいあり、ドメインごとに証明書を取るものと大量のドメインに同一の証明書を使用する2パターンがある傾向が見られ、大量に取得する場合は機械的に取得していると想定され、切りの良い50または100件が選ばれるようだ。

この記事の著者

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

The post 「フィッシングトレンド」レポート、悪⽤されたブランドは?(TwoFive) first appeared on ペイメントナビ.

関連記事

ページ上部へ戻る
Generated by Feedzy