2021年に報告されたフィッシングサイトの傾向と利用されたドメインについて
JPCERT/CCでは、2021年に44,242件のインシデント報告が寄せられ、そのうちフィッシングサイトに関するインシデント件数は、23,104件でした。本ブログでは、JPCERT/CCに報告されたフィッシングサイトの情報をもとに、報告件数の推移やかたられたブランドの業種別割合、フィッシングサイトに利用されたドメインの傾向について解説します。
なお、この記事で示すフィッシングサイトは、実在するブランドをかたり、認証情報などの窃取を狙っている不正なWebサイトを指します。また、報告を受けたフィッシングサイトは、メール以外にもSMS経由で拡散されているものも含まれます。
報告されたフィッシングサイト件数の推移と業種別割合
図1は、2021年のフィッシングサイト報告件数の推移です。1月から7月までは、月に2,000件未満でしたが、8月頃からAmazonやETC利用照会サービスサイトをかたったフィッシングサイトの報告が増加したこともあり、2,000件を超える状況が続きました。
図2は、フィッシングサイトでかたられた業種の割合を表したものです。報告されたすべてのURLをもとに割合を出しています。
2021年は、金融機関のブランドをかたったフィッシングサイトの割合が全体の31%を占めており、次いで通信事業者が27%と続いています。業種別割合の中で特徴的だったのが、政府機関のサービスをかたったフィッシングサイトで、 1月から7月までは30件未満でしたが、8月は63件に増え、9月は209件まで増加しました。報告内容の多くは総務省の特別定額給付金サイトや厚生労働省のコロナワクチンナビサイトをかたったフィッシングサイトでした。
フィッシングサイトが設置されたTLD(トップレベルドメイン)の内訳
図3は、報告されたフィッシングサイトをgTLDとccTLDで月別内訳を表したものです。
フィッシングサイトの多くは、gTLDで稼働していますが、全体の22%はccTLDでした。ccTLDとは「Country Code Top Level Domain」の略語で、国ごとに割り当てられ管理されているTLDです。一方で、gTLDは「General Top Level Domain」の略語で、国という概念はなく、サービス分野ごとに割り当てられています。gTLDは、ccTLDに比べ利用するのに制限は厳しくないこともあり、フィッシングサイトに利用されやすいと考えられます。
図4および図5は、フィッシングサイトに利用されたTLDをgTLDとccTLDに分け、それぞれのTLDの割合を表しています。
gTLDでは、orgドメインが42%と多くを占める結果となりました。原因としては、orgドメインでDynamic DNSサービスを提供する事業者のサービスが悪用され、フィッシングサイトが大量に生成されたためです。
ccTLDでは、cnドメインが69%と多くを占める結果となりました。JPCERT/CCは、CNCERT/CCと連携しフィッシング被害が拡大しないように、フィッシングコンテンツが置かれたサイトへの対応依頼や、関連ドメインレジストラーへの調整を実施しています。なお、jpドメインは3番目に多いという結果となりました。
フィッシングサイトが発生したjpドメインの傾向
jpドメインのフィッシングサイトの傾向として、正規ドメインのWebサイトが侵害を受け、フィッシングサイトのコンテンツが置かれて、悪用されるケースが散見されます。一方で、一部ではフィッシングサイトを設置するために取得されたjpドメインを利用して、フィッシングサイトを構築している状況も確認できました。フィッシングサイトの設置のために取得されたjpドメインの詳細は後ほど紹介します。
フィッシングサイトの設置のために取得されたjpドメインの特徴
フィッシングサイトの設置のために取得されたjpドメイン(対象のフィッシングサイトが確認された月に、登録されたjpドメインをフィッシングサイトの設置のために取得されたと判断)の特徴については、次の4点が挙げられます。
- ブランド名をドメインに含める:aplusl.jp, saisons.jp
- ブランド名をドメインに含めない:hsjhhfjk.jp, reihakls.jp
- セカンドレベルドメイン(SLD)に数字を含める:card020.jp, card030.jp
- 固有名詞の一文字を入れ替えたドメイン:registerb.jp, registerc.jp
jpドメインとフィッシングサイト(FQDN)とかたられたブランドの関係
フィッシングサイトの設置のために取得されたjpドメインを利用していたフィッシングサイトの特徴的なパターンを3つ紹介します。
1. サブドメインに対象ブランド名を利用
1つ目は、ブランド名をサブドメインに含めているパターンです。表1は、サブドメインごとに対象ブランドを変えている例を示しています。
ドメイン名に”card”を付けることで、攻撃者は何かしらのカードサービス(クレジットカードやマイナンバーカードなどの個人情報カード)を提供しているサービスやブランドの偽装を目的にドメインを登録したと考えられます。このような事例では、サブドメインにsmbcやrakutenを付けることで、フィッシングサイトごとに異なるブランドをかたっていました。
攻撃者が、フィッシングサイトの設置のためにドメイン名を登録する意図は、前述の例のように、対象ブランドやサービスがイメージできるサブドメインを追加することで、多種のフィッシングサイトが容易に作成でき柔軟性を得るためと考えられます。
一方で、表2のように楽天市場をかたる目的でドメインを登録したと思われるjpドメイン名において、サブドメインをsoumuiとすることで、特別定額給付金のフィッシングサイトを稼働させているパターンも確認されています。
2. サブドメインを固定
2つ目のパターンは、表3のようにサブドメインを固定し、ドメイン名の一文字を入れ替え、複数のフィッシングサイトを稼働するパターンです。
パソコンやスマートフォンなどブラウザーのサイズにより、Webサイトのアドレスは、左から表示され右側は表示されないことがあります。攻撃者は、左側となるサブドメインに正規企業名を登録することで、利用者に正規サイトと誤認識させるフィッシングサイトを複数稼働させる目的であると考えられます。
3. 日本語ドメイン
3つ目のパターンは日本語ドメインを使ったjpドメインです。
攻撃者は日本語ドメインでフィッシングサイトを稼働させることにより、外国語に慣れていない人に対して、対象のフィッシングサイトにアクセスすることに不安や違和感を与えない目的であると考えられます。
おわりに
今回は、2021年にJPCERT/CCに報告されたフィッシングサイトの報告件数やフィッシングサイトに利用されたドメインの特徴について解説しました。 JPCERT/CCで確認できたフィッシングサイト構築のために取得されたjpドメイン名情報を、Appendix Aに記載しました。関係事業者への対策の一助となれば幸いです。
フィッシングサイトやサイト改ざんなどの不審なコンテンツに関する情報をお持ちでしたら、以下の「インシデント対応依頼」からご連絡ください。
インシデント対応依頼 https://www.jpcert.or.jp/form/
| 確認月 | ドメイン | WHOIS登録年月日 | フィッシングサイトのFQDN | ブランド |
|---|---|---|---|---|
| 1月 | redirectjcom.jp | 2021/01/04 | redirectjcom.jp | Amazon |
| vpassids.jp | 2021/01/11 | vpassids.jp smbc.vpassids.jp |
三井住友カード | |
| 2月 | docomo-ma.jp | 2021/02/05 | www.docomo-ma.jp | docomo |
| 3月 | aplusl.jp | 2021/03/07 | aplusl.jp | アプラス |
| fc2dda.jp | 2021/03/03 | www.fc2dda.jp | 三菱UFJニコス | |
| 4月 | amazon-images.jp | 2021/04/29 | amazon-images.jp | Amazon |
| card-saison.jp | 2021/04/24 | card-saison.jp | SAISON CARD | |
| cardsaisons.jp | 2021/04/15 | cardsaisons.jp | SAISON CARD | |
| saison-update.jp | 2021/04/15 | saison-update.jp | SAISON CARD | |
| saisons.jp | 2021/04/24 | saisons.jp | SAISON CARD | |
| 5月 | amzano.jp | 2021/05/13 | amzano.jp | Amazon |
| member-jcom.jp | 2021/05/20 | member-jcom.jp | J:COM | |
| saison-sms.jp | 2021/05/19 | api.saison-sms.jp | SAISON CARD | |
| saison-updated.jp | 2021/05/20 | saison-updated.jp net.saison-updated.jp |
SAISON CARD | |
| saison-updates.jp | 2021/05/07 | saison-updates.jp | SAISON CARD | |
| saisoncard-update.jp | 2021/05/07 | saisoncard-update.jp | SAISON CARD | |
| sms-card.jp | 2021/05/19 | sms-card.jp | SAISON CARD | |
| 6月 | appappmazom.jp | 2021/06/16 | appappmazom.jp | Amazon |
| 7月 | card-00.jp | 2021/07/16 | smbc.card-00.jp | 三井住友カード |
| card0000.jp | 2021/07/16 | smbc.card0000.jp | 三井住友カード | |
| card0003.jp | 2021/07/17 | smbc.card0003.jp | 三井住友カード | |
| card020.jp | 2021/07/16 | rakuten.card020.jp | 楽天市場 | |
| card030.jp | 2021/07/16 | smbc.card030.jp | 三井住友カード | |
| card06.jp | 2021/07/16 | rakuten.card06.jp | 楽天市場 | |
| card0800.jp | 2021/07/18 | smbc.card0800.jp | 三井住友カード | |
| card200.jp | 2021/07/16 | smbc.card200.jp | 三井住友カード | |
| hsjhhfjk.jp | 2021/07/20 | www.nttdocmon.ne.hsjhhfjk.jp | docomo | |
| paypay-co.jp | 2021/07/04 | paypay-co.jp www.paypay-co.jp |
PayPay | |
| registerb.jp | 2021/07/21 | nttdocomo.ne.registerb.jp | docomo | |
| registerc.jp | 2021/07/21 | nttdocomo.ne.registerc.jp | docomo | |
| registern.jp | 2021/07/21 | nttdocomo.ne.registern.jp | docomo | |
| registert.jp | 2021/07/21 | nttdocomo.ne.registert.jp | docomo | |
| registerv.jp | 2021/07/21 | nttdocomo.ne.registerv.jp | docomo | |
| registerx.jp | 2021/07/21 | nttdocomo.ne.registerx.jp | docomo | |
| 8月 | am-prime.jp | 2021/08/07 | am-prime.jp | Amazon |
| americnnexpress.jp | 2021/08/03 | www.americnnexpress.jp | American Express | |
| card-bccb.jp | 2021/08/08 | smbc.card-bccb.j | 三井住友カード | |
| card-ii.jp | 2021/08/06 | smbc.card-ii.jp | 三井住友カード | |
| card-zxc.jp | 2021/08/10 | smbc.card-zxc.jp | 三井住友カード | |
| prime-card1.jp | 2021/08/26 | amazon.prime-card1.jp | Amazon | |
| rakeoini.jp | 2021/08/13 | soumui.rakeoini.jp | 総務省 | |
| rakeunore.jp | 2021/08/13 | soumui.rakeunore.jp | 総務省 | |
| rakuteine.jp | 2021/08/13 | co-jp.rakuteine.jp | 楽天市場 | |
| rakutenoi.jp | 2021/08/13 | co-jp.rakutenoi.jp | 楽天市場 | |
| rekuonrie.jp | 2021/08/24 | soumui.rekuonrie.jp | 総務省 | |
| xn----fbu197jpxfmoevwj41ibsc.jp 情報の更新-安全.jp |
2021/08/24 | xn----fbu197jpxfmoevwj41ibsc.jp | Amazon | |
| 9月 | amazon-logn.jp | 2021/09/04 | amazon-logn.jp | Amazon |
| appama.jp | 2021/09/01 | info.appama.jp | Amazon | |
| card-tty.jp | 2021/09/14 | smbc.card-tty.jp | 三井住友カード | |
| info-customerservcqqq24.jp | 2021/09/09 | info-customerservcqqq24.jp | Amazon | |
| infosecvalidatedagains.jp | 2021/09/16 | infosecvalidatedagains.jp | Amazon | |
| irnuaiekr.jp | 2021/09/04 | rekuten.irnuaiekr.jp | 楽天市場 | |
| japannet-bank-co.jp | 2021/09/10 | www.japannet-bank-co.jp | PayPay銀行 | |
| mkdinue.jp | 2021/09/24 | ufbk.jp.mkdinue.jp | 三菱UFJニコス | |
| reihakls.jp | 2021/09/11 | rakutone.reihakls.jp | 楽天市場 ヨドバシカメラ |
|
| shopping-survey.jp | 2021/09/01 | amazon.shopping-survey.jp | Amazon | |
| smbc-co.jp | 2021/09/23 | www.smbc-co.jp | 三井住友銀行 | |
| web-aupay.jp | 2021/09/18 | web-aupay.jp www.web-aupay.jp |
au | |
| 10月 | caird-co.jp | 2021/10/26 | smbc.caird-co.jp | 三井住友カード |
| cards-co.jp | 2021/10/23 | smbc.cards-co.jp | 三井住友カード | |
| carrd-co.jp | 2021/10/23 | smbc.carrd-co.jp | 三井住友カード | |
| carsd-co.jp | 2021/10/23 | smbc.carsd-co.jp | 三井住友カード | |
| cart-co.jp | 2021/10/26 | smbc.cart-co.jp | 三井住友カード | |
| d3f2c3fbd7a2b2e1d3f2c3fbd7a2b2e2.jp | 2021/10/15 | d3f2c3fbd7a2b2e1d3f2c3fbd7a2b2e2.jp | Amazon | |
| hbvkhcvh.jp | 2021/10/18 | rekutonin.hbvkhcvh.jp | 楽天市場 | |
| jhvjhcfjhbjkj.jp | 2021/10/18 | rakutonei.co-jp.jhvjhcfjhbjkj.jp | 楽天市場 | |
| smbc-card-ma.jp | 2021/10/12 | www.smbc-card-ma.jp | 三井住友カード | |
| smbc-card-mr.jp | 2021/10/12 | www.smbc-card-mr.jp | 三井住友カード | |
| smbc-card-ms.jp | 2021/10/12 | www.smbc-card-ms.jp | 三井住友カード | |
| smbc-cardom.jp | 2021/10/10 | www.smbc-cardom.jp | 三井住友カード | |
| 11月 | cade-co.jp | 2021/11/08 | smbc.cade-co.jp | 三井住友カード |
| cead-co.jp | 2021/11/09 | smbc.cead-co.jp | 三井住友カード | |
| cerd-co.jp | 2021/11/09 | smbc.cerd-co.jp | 三井住友カード | |
| cnke.jp | 2021/11/07 | paypey.cnke.jp paypoy.cnke.jp poypoy.cnke.jp |
PayPay | |
| crad-co.jp | 2021/11/09 | smbc.crad-co.jp | 三井住友カード | |
| csad-co.jp | 2021/11/09 | smbc.csad-co.jp | 三井住友カード | |
| cxrd-co.jp | 2021/11/09 | smbc.cxrd-co.jp | 三井住友カード | |
| dsyne55.jp | 2021/11/05 | paypoy.dsyne55.jp poypoy.dsyne55.jp |
PayPay | |
| etc-merisair.jp | 2021/11/12 | www2.etc-merisair.jp | ETC利用照会サービス | |
| nerel.jp | 2021/11/02 | paypay.nerel.jp | PayPay | |
| neros.jp | 2021/11/02 | paypay.neros.jp | PayPay | |
| neui.jp | 2021/11/02 | paypay.neui.jp | PayPay | |
| paypaya.jp | 2021/11/14 | login.paypaya.jp | PayPay | |
| paypayqg.jp | 2021/11/15 | login.paypayqg.jp | PayPay | |
| whjk22.jp | 2021/11/07 | paypey.whjk22.jp paypoy.whjk22.jp poypoy.whjk22.jp |
PayPay | |
| 12月 | 3d14xojlryiivx8unsh0prn4h8ehmqro0.jp | 2021/12/17 | 3d14xojlryiivx8unsh0prn4h8ehmqro0.jp | Amazon |
| aqtdyosxlbwupvflyzcrf811eqopji.jp | 2021/12/09 | aqtdyosxlbwupvflyzcrf811eqopji.jp | Amazon | iy3bhwobsaxvhuiheklqqaak8iv8lnmyc9xv cesc4ysga.jp |
2021/12/14 | iy3bhwobsaxvhuiheklqqaak8iv8lnmyc9xv cesc4ysga.jp |
Amazon |
| descente-store.jp | 2021/12/08 | prime.store.descente-store.jp | Amazon | |
| yahoo-ai.jp | 2021/12/13 | yahoo-ai.jp | Yahoo! JAPAN |
.png)