AEROPRES

2024年07月16日 13時57分

「フィッシングトレンド」レポート最新版を発表 2024年1月~6月調査結果

TEPCOのフィッシングサイトが前年同時期と比較して74.6倍 安価かつ容易にサイト公開できる「workers.dev」を利用したフィッシングサイトが増加 人気のホスティング事業者は時期によって変動、攻撃者の模索がうかがわれる
メッセージングセキュリティのリーディングカンパニーである株式会社TwoFive(本社:東京都中央区、代表取締役 末政 延浩)は、「フィッシングトレンド」レポートの2024年1月~6月版を発表しました。
同レポートは、SSL証明書発行情報、ドメイン登録情報、ソーシャル情報、迷惑メール、マルウェアなど複数のデータソースから独自のアルゴリズムにより、国内のフィッシングサイトについて多角的に独自に調査し、メッセージングセキュリティの専門ベンダーとして長年培った経験に基づく知見により分析・判定して検知した結果をまとめたもので定期的に公開しています。

グラフ、図入りのレポートを以下からダウンロードしていただけます。
https://www.twofive25.com/download/phishing_trend_202407/


● フィッシングに悪用されたブランド
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
前回の調査結果(2023年7月~12月)では、マイナンバーやマイナポータル、国税庁など、公的機関や公金の支払いに関連するサービスを騙るフィッシングサイトが検出されましたが、今回はこれらのフィッシングサイトは減少傾向にあり、ECサイトやクレジットカード会社、銀行など民間企業を騙るサイトが多く検出されました。その中でも東京電力の会員向けサービス「くらしTEPCO」を装い、未払いの電気料金を支払うよう促すフィッシングサイトが昨年より増加し、4月~6月では昨年同時期と比較して74.6倍のサイトが検出されました。


●フィッシングに利用されているeTLD (effective TLD)
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
前回の調査に引き続き、今回も「com」、「cn」、「duckdns.org」が上位を占めている他、「top」、「xyz」、「net」、などといったGeneric TLD (gTLD)の利用が多く見られました。前回調査ではTOP3に入っていた、「top」の検出件数が2024年1月以降減少傾向でしたが、5月には一転増加傾向になりました。
また、「workers.dev」というeTLDの検出が増加しています。これはCloudflare社が提供するCloudflare Workersというホスティングサービスのドメインで、サブドメインに好きな文字列を指定することができます。このサービスはクレジットカード登録不要の無料プランがあり、安価かつ容易にサイトを公開することができるため、フィッシングサイト設置に利用されやすいと考えられます。


● フィッシングに利用されているホスティング事業者
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
前回の調査結果(2023年7月~12月)では、北米のホスティング事業者の利用からアジア圏の安価なホスティング事業者への移行がみられました。今回の調査では、中国や香港、シンガポールなどアジア圏の利用がさらに増加しています。
北米のホスティング事業者も引き続き検出されていますが、時期によって検出されるホスティング事業者が変化するため、攻撃者はフィッシングサイトを設置しやすいホスティング事業者を常に探していると推測されます。


● URLのドメイン部にURLエンコードが含まれたフィッシング
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
前回の調査結果(2023年7月~12月)では、URLにアルファベットを四角や丸で装飾したり、斜体や太字を用いたりする飾り文字が含まれるURLを使用したフィッシングメールが流通しはじめました。今回の調査でも、件数は減少傾向であるもののフィッシングサイトのURLとして利用されていることが観測されました。

今回の調査では、飾り文字をさらにURLエンコードしたドメインが検出されました。URLエンコードはURLに使用できない文字を使用できる文字で表記する変換規則です。例えば、「https://●●●●●.com/あいう」というURLは、「https://●●●●●.com/%E3%81%82%E3%81%84%E3%81%86」などと表記します。
飾り文字のようにドメイン名に英数字以外の多言語文字が含まれる場合、通常は国際化ドメイン名(IDN: Internationalized Domain Name)の仕様によりPunycode変換という英数字だけで表現する表記に変換が行われます。しかしながらフィッシングメール作成者がIDNに対応していないメールソフトでメール本文を作成したため、多言語文字がURLエンコード変換され、ドメインがURLエンコードされたと推測されます。

ドメインがURLエンコードされたURLは、本文中に記載されていれば不審なURLと目視で判別することが可能です。しかしながらHTMLメールでリンク先にこれらのURLが設定されている場合、一部のメールソフトではリンクにマウスオーバーした際URLエンコードをデコードし、飾り文字を英数字に変換して表示します。
例えばリンク先のURLがHTMLメールに「https://●●●●●.%E2%93%92%E2%93%9E%E2%93%9C」と書かれていても、メールソフトでマウスオーバーすると「https://●●●●●.com」と表示されます。このような場合、問題ないURLと見間違えてリンクを開いてしまう可能性があります。


◆ TwoFiveの「フィッシングトレンド」調査について
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
SSL証明書発行情報、ドメイン登録情報、ソーシャル情報、マルウェアなど複数のデータソースから独自のアルゴリズムにより、国内のフィッシングサイトについて多角的に独自に調査しています。
TwoFiveもメンバーであるフィッシング対策協議会が定期的に発表する報告件数に基づく「フィッシング報告状況」とは、件数、内容などが異なります。
また、攻撃者は、IDの盗用やクレジットカードを不正利用するために、メールやSMSで詐欺メッセージを配信しフィッシングキャンペーンを実行する前に、予備調査により詐取方法や対象を検討して、ドメイン確保やDNS設定、Webサーバー構築やフィッシングコンテンツの設定、SSL証明書やドメインなどのリソースを準備します。TwoFiveの調査では、フィッシングキャンペーンの実行前の準備段階を含めて情報を収集し、メッセージングセキュリティの専門ベンダーとして長年培った経験に基づく知見により分析・判定して検知するのが特長です。

__________________________
■株式会社TwoFiveについて
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
https://www.twofive25.com/
株式会社TwoFiveは、大手ISP、ASP、携帯事業者の電子メールシステムインフラで長年経験をつんだメールシステムの技術者集団により2014年に設立されました。日本の電子メール環境を向上させることを使命としてベンダーニュートラルな立場で最適な技術とサービスを組み合わせ、メールシステムの設計・構築、電子セキュリティなどについてコンサルティング、ならびに各種レピュテーションデータを提供しています。


━◆ 報道関係者 お問い合わせ ◆━━━━━━
株式会社TwoFive
担当:渋谷
Email:info@twofive25.com TEL:03-5704-9948