JPCERT コーディーションセンター(JPCERT/CC)は、2021年に2万3104件のフィッシングサイトに関するインシデント報告を受理したといい、これらの情報の分析から判明した2021年の傾向をブログで紹介している。
JPCERT/CCによれば、報告件数は1~7月まで月間で2000件未満だったが、8月以降に増加し、2000件を超える状況になった。フィッシングサイトで攻撃者がブランドを悪用した業種の割合は、月によって大きく変動しているが、全体では金融機関が31%、通信事業者が27%を占めた。また、1~7月は月間30件未満だったが、9月は209件に増加し、その多くは総務省の特別定額給付金サイトや厚生労働省の「コロナワクチンナビサイト」になりすましたものだった。
JPCERT/CCに寄せられた2021年のフィッシングサイト件数の推移(出典:JPCERT/CC)
フィッシングサイトで悪用されたブランドの業種割合の推移(出典:JPCERT/CC)
フィッシングサイトのトップレベルドメイン(TLD)は、サービス分野ごとのgTLD(General TLD)がおおむね7割前後を占めており、gTLDの内訳は「.org」が42%、「.com」が26%などだった。一方、地域別のccTLD(Country Code TLD)はおおむね3割前後を占めており、ccTLDの内訳は「.cn」(中国)が69%、「.cc」(オーストラリア領ココス諸島)が7%、「.jp」(日本)が4%などだった。
報告のあった「.jp」ドメインのフィッシングサイト件数の推移(出典:JPCERT/CC)
フィッシングサイトに使われた「.jp」ドメインには、次の4つの特徴が見られるという。
- ブランド名をドメインに含める。例:aplusl.jp、saisons.jp
- ブランド名をドメインに含めない。例:hsjhhfjk.jp、reihakls.jp
- セカンドレベルドメイン(SLD)に数字を含める。例:card020.jp、card030.jp
- 固有名詞の一文字を入れ替え。例:registerb.jp、registerc.jp
「.jp」ドメインのフィッシングサイトでは、サブドメインにブランド名や「card」など特定のサービスを含めることで多種のフィッシングサイトを容易に作成したり、「soumui」といった語句を含めて特別定額給付金のフィッシングサイトを稼働させたりするパターン、また、サブドメインを固定してドメイン名の一文字を入れ替え複数のフィッシングサイトを稼働させるパターンや、外国語に慣れていない人を狙うと見られる目的から日本語ドメインを使うパターンも確認されたとしている。
