ニュース & プレスリリース
NEWS & PRESS
プレスリリース
TwoFive、「フィッシングトレンド」レポート最新版を発表
2022年9⽉〜12⽉調査結果
急増したソフトバンクのフィッシングと国税庁のフィッシングは同一犯の可能性も
中国系フィッシング攻撃者は「.cn」を使わず別のTLDに移⾏
ドメインのブラックリスト登録回避のため同一ホストで複数ドメインを割り当てる傾向
メッセージングセキュリティのリーディングカンパニーである株式会社TwoFive(本社:東京都中央区、代表取締役 末政 延浩)は、「フィッシングトレンド」レポートの2022年9月〜12月版を発表しました。
同レポートは、SSL 証明書発⾏情報、ドメイン登録情報、ソーシャル情報、マルウェアなど複数のデータソースから独自のアルゴリズムにより、国内のフィッシングサイトについて多角的に独自に調査し、メッセージングセキュリティの専門ベンダーとして⻑年培った経験に基づく知⾒により分析・判定して検知した結果をまとめたもので定期的に公開しています。
国税庁のフィッシンググループが、標的をソフトバンクに変更
前回の調査(2022年6月〜8月)で、国税庁のフィッシングサイトで使われたダイナミックDNSサービスは「duckdns.org」で、8月中旬から下旬にかけて件数が増加しました。
今回の調査期間で、この「duckdns.org」を使ったフィッシングの攻撃ブランド(図1)では、11月〜12月にかけて、国税庁が減り、ソフトバンクが増加しています。
日単位で動きをとらえてみると、ソフトバンクを騙るフィッシングサイトが検出されている期間が、国税庁を騙るフィッシングサイト数が落ち着いている期間と一致し、フィッシングの成果を検証しているかのような動きが⾒られることから、国税庁をターゲットとした攻撃者が、攻撃対象をソフトバンクに切り替えた可能性が考えられます。
フィッシングに悪⽤されたブランド
前回の調査結果(2022年6月〜8月)に引き続き、国税庁のe-Taxを騙るフィッシングサイトは11月まで増加し続けて⼤量に検出されましたが、12月は11月の1/3以下に減少しました。
携帯キャリア系を騙るフィッシングサイトで多く検出されたのは、9月〜10月がauブランドを狙ったもの、11月〜12月はソフトバンクユーザーを狙ったフィッシングサイトでした。
クレジット・信販系では、全体的にサイト数は少ないですが三井住友(SMBC)カード、VISA カード、イオンカード、アメックスカードなどを狙ったフィッシングサイトが各月で検出されました。
フィッシングに利⽤されているTLD(duckdns.org を除く)
中国のカントリーコードTLD(ccTLD)である「.cn」を利⽤するフィッシングサイトは、前回(2022年6月〜8月の合計)は全体の54%と最も多く検出されていましたが、今回(2022年9月〜12月の合計)は19%と減少傾向にあります。
しかしながら、「.cn」以外を利⽤するフィッシングサイトの本文やHTML コメント内の一部に、中国語が混じっている例が依然として多く散⾒され、中国系のフィッシング攻撃数が減少しているのではなく、警戒されがちな「.cn」ではなく、別のTLDに変えたと考えられます。
国税庁、ソフトバンクのフィッシングサイトで使われている「duckdns.org」以外の状況をみると(図3)、「.cn」のフィッシングサイトが減った一方で、特定の領域・分野ごとに割り当てられるGeneric TLD (gTLD)である「.com」と「.shop」を利⽤するフィッシングサイトが増加傾向にあります。gTLD では他にも「.top」や「.xyz」や「.club」などのドメインが多く⾒られます。
全体的に、ccTLDよりgTLDを利⽤するドメインの⽐率が上がってきています。
フィッシングに利⽤されているホスティング事業者
前回の調査結果(2022年6月〜8月)で全体の半数近くを占めていたQuadranet.comの利⽤が減っている一方で、DediPathを利⽤したフィッシングサイトが増え、半数以上を占めています。9月〜10月にはColoCrossingを利⽤したフィッシングサイト、11月にはSun Network Company Limitedを利⽤したフィッシングサイトが⾒られました。
何れも⽶国のホスティング事業者ですが、料⾦が安価であることに加えて、利⽤に際しての審査が⽢く、⽀払い方法において足が付かないホスティングサービスが狙われているのではないかと考えられます。
数は少ないですが、Google CloudやAWS等のメジャーなクラウド・ホスティング事業者を利⽤したフィッシングサイトも検知されています。
フィッシングに利⽤されたIP 数とドメイン数
フィッシングサイトでは、ドメインのブラックリスト登録を回避するために、同一IP アドレスに対して複数のドメインを割り当てる傾向にあります。今回の集計期間では、1つのIPアドレスに対して平均16個のドメインが割り当てられていました。
「duckdns.org」を使って、国税庁、ソフトバンクを標的にしたフィッシングサイトでも、1つのIPで複数ドメインを運⽤していると考えられます。
フィッシングに利⽤されている証明書
フィッシングサイトに利⽤されている証明書は、99.8%がLet’s Encryptにて取得されたものです。
数は少ないですが、cPanel やTrustAsia Technologies、Sectigoなどで取得されたものも⾒られました。
証明書内のSubject Alternative Name(SAN)の数は1件、2件のものが85%以上を占めますが、50件又は100件のものも5%くらいあり、ドメインごとに証明書を取るものと⼤量のドメインに同一の証明書を使⽤する2パターンがある傾向が⾒られ、⼤量に取得する場合は機械的に取得していると想定され、切りの良い50又は100件が選ばれるようです。
TwoFive の「フィッシングトレンド」調査について
SSL証明書発⾏情報、ドメイン登録情報、ソーシャル情報、マルウェアなど複数のデータソースから独自のアルゴリズムにより、国内のフィッシングサイトについて多角的に独自に調査しています。
TwoFiveもメンバーであるフィッシング対策協議会が定期的に発表する報告件数に基づく「フィッシング報告状況」とは、件数、内容などが異なります。
また、攻撃者は、IDの盗⽤やクレジットカードを不正利⽤するために、メールやSMSで詐欺メッセージを配信しフィッシングキャンペーンを実⾏する前に、予備調査により詐取方法や対象を検討して、ドメイン確保やDNS設定、Web サーバー構築やフィッシングコンテンツの設定、SSL証明書やドメインなどのリソースを準備します。TwoFiveの調査では、フィッシングキャンペーンの実⾏前の準備段階を含めて情報を収集し、メッセージングセキュリティの専門ベンダーとして⻑年培った経験に基づく知⾒により分析・判定して検知するのが特⻑です。
株式会社TwoFive 社について
株式会社TwoFiveは、⼤手ISP、ASP、携帯事業者の電⼦メールシステムインフラで⻑年経験をつんだメールシステムの技術者集団により2014年に設⽴されました。日本の電⼦メール環境を向上させることを使命としてベンダーニュートラルな⽴場で最適な技術とサービスを組み合わせ、メールシステムの設計・構築、電⼦セキュリティなどについてコンサルティング、ならびに各種レピュテーションデータを提供しています。
報道関係者お問い合わせ
株式会社TwoFive
担当:渋谷
Email:info@twofive25.com TEL:03-5704-9948
※読者お問い合せ先は以下をご掲載ください。
Email:info@twofive25.com TEL:03-5704-9948
※本プレスリリースのPDF版を以下URLにてご参照いただけます。
https://www.twofive25.com/news/press/pdf/20230227_securityreport.pdf
記載されている会社名、製品名は各社の商標です。