情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード2326)は、2023年上半期に収集した国内外のフィッシングサイトURLのドメインを集計したレポートを公開しました。
警察庁が発表した最新の報告書によると、フィッシングによるものとみられるインターネットバンキングに係る不正送金被害件数は、2023年上半期において2,322件と国内過去最多となりました。さらに、被害総額は30億円※1を超えるなど、今期は特にフィッシング関連の注意が必要となっています。
■URL総数は1/3に減少 TLDは「com」が最多、昨年下半期17位の「dev」は2位に急浮上
デジタルアーツでは、日々さまざまなWebサイトについて調査・収集を行っています。今回、デジタルアーツは、2023年上半期(1~6月)に確認した国内外のフィッシングサイトURLのドメインを集計しました(IPアドレス形式のURLは除く)。なお、本レポートで扱うドメインについては、【図1】のように定義しています。
(リンク »)
デジタルアーツの2023年の上半期におけるフィッシングサイトドメイン調査では、フィッシングサイトのURL総数が2022年下半期と比較して約1/3に減少したことがわかりました。主な要因としては、昨年下半期に急増した「サブドメインに長い文字列を用いた特徴的なパターンを持つクラスター」が減少したことによります。
また、2023年上半期のフィッシングサイトのTLDトップ20を集計したところ、「com」が1位の39.52%と最多になりました。続いて、2位が「dev」の6.85%、3位が「cn」の6.08%という結果になりました。特に2位の「dev」は、昨年下半期は17位の0.51%だったため、今期大幅に増加したことがわかります。
昨年下半期に40.95%と最多であった「top」は、今期では4.69%となり、全体シェアが約1/10に減少しています。
※1参考 警察庁 「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について 」 (リンク »)
(リンク »)
■誰でも利用可能な独自ドメイン「workers.dev」が今期最多 URLは9割が同パターン
2023年上半期における独自ドメイントップ20の1位は全体の5.75%を占める「workers.dev 」であり、TLDトップ20における「dev」のシェア増加を牽引していることが読み取れます。
「workers.dev」は、Cloudflare 社(Cloudflare, Inc.)が提供するCloudflare Workers というサービスで、広く利用可能なドメインです。実際に、無料プランにおいては、リクエスト回数やメモリに制限があるものの、毎日10万リクエストまで無料で利用でき、高速かつ安価という特徴を持っていることから、フィッシングサイトで悪用されたと考えられます。これが今期「workers.dev」が増加した要因だと予想しています。
また、プロジェクトごとに以下の形式でURLを発行し、サードレベルドメインを自由に設定することが可能です。
(リンク »)
中でも以下のURLパターンが多く見受けられ、「workers.dev」を利用したフィッシングサイトURLの9割は当パターンであったことが分かっています。さらに、「workers.dev」に絞った頻出単語の上位はURLパターンの[固有の単語]が占めていました。実際に模倣されたブランドには、日本の大手携帯キャリア会社や有名クレジットカード会社なども確認できました。
(リンク »)
フィッシング攻撃は、引き続き組織や個人にとって深刻な脅威となっています。攻撃者は、URL生成パターンを変更するなど新たな手法を模索し、防御策を回避しようとします。
そのため、新たな攻撃手法を含めた情報収集と引き続きのセキュリティ対策が重要です。
●フィッシングサイトのURLをブロックするデジタルアーツの「i-FILTER」
デジタルアーツでは日々さまざまな情報をもとにデータの収集を行っています。「i-FILTER」Ver.10では、フィッシングサイトURLはフィルターデータベースへと迅速に配信され、[フィッシング詐欺]や[迷惑メールリンク]や[違法ソフト・反社会行為]カテゴリにてブロック可能です。またフィルターデータベースに反映されていないURLについても「ホワイト運用」を行うことで、デジタルアーツが安全を確認したURLにのみアクセスを許可し未知のフィッシングサイトや悪性URLをブロックすることができます。さらに「クレデンシャルプロテクション」機能では、正規のサイトと判別が困難な改ざんサイトに設置されたフィッシングサイトであっても、ユーザーがID・パスワードを送信しようとした際にこれをブロックすることが可能です。
(リンク »)
●メール本文中に含まれるURLの偽装判定が可能な「m-FILTER」
「m-FILTER」は、送信元や添付ファイルの拡張子、メール本文中に含まれるURLの偽装判定などが行えるメールセキュリティ製品です。「脅威URLブロック」オプション※は、「i-FILTER」利用ユーザー以外でも、メールの本文と添付ファイル内のURLをデジタルアーツが運用しているクラウド上のデータベースに問い合わせます。もしも危険なURLが記載されている場合は、メールをブロックします。
※2022年12月9日より、本オプションの名称を「URLカテゴリ判定」から「脅威URLブロック」に変更しております。
※本オプションは「i-FILTER」をお持ちでないユーザー様に向けた機能となります。
(リンク »)
●2023年上半期フィッシングサイト ドメイン集計のレポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
(リンク »)
お問い合わせにつきましては発表元企業までお願いいたします。