ホスティングサービス「Cloudflare Workers」の悪用も増加
「くらしTEPCO」を装うフィッシング攻撃に注意を ― TwoFive2024年上半期調査
2024年07月17日 07時30分更新
TwoFiveは、2024年7月16日、2024年上半期(1月~6月)の「フィッシングトレンド」レポートを公開した。同レポートは、SSL証明書やドメイン登録、迷惑メール、マルウェアなど、複数のデータソースを基に、同社独自のアルゴリズムで国内フィッシングサイトを調査したものだ。
まず、フィッシングに悪用されたブランドは、前回の調査(2023年7月~12月)で頻出したマイナンバーやマイナポータル、国税庁など、公的機関や公金の支払いに関連するサービスをかたるフィッシングサイトは減少傾向にあり、ECサイトやクレジットカード会社、銀行など民間企業をかたるサイトが多く検出された。
特に、東京電力の会員向けサービス「くらしTEPCO」を装い、未払いの電気料金を支払うよう促すフィッシングサイトが昨年より増加。4月~6月では、昨年同時期と比較して74.6倍のサイトが検出されたという。
フィッシングに利用されているeTLD(effective TLD)は、 前回に続いて今回も「com」「cn」「duckdns.org」が上位を占め、「top」「xyz」「net」といったgTLD(Generic TLD)の利用も多く見られた。
また、2024年上半期には「workers.dev」というeTLDの検出も増加している。これはCloudflareが提供するホスティングサービス「Cloudflare Workers」のドメインであり、サブドメインに好きな文字列を指定できる。TwoFiveは、「同サービスにはクレジットカード登録不要の無料プランがあり、安価かつ容易にサイトを公開することができるため、フィッシングサイト設置に利用されやすい」と分析する。
前回調査では、URL にアルファベットを四角や丸で装飾したり、斜体や太字を用いたりする飾り文字が含まれるURLを使用したフィッシングメールが流通しはじめており、今回の調査でも、件数は減少傾向であるもののフィッシングサイトのURLとして利用されているのが観測されたという。
また、今回の調査では、飾り文字をさらにURLエンコードしたドメインが検出された。通常は、国際化ドメイン名(IDN)の仕様により、英数字だけの表記に変換されるが、「フィッシングメール作成者がIDNに対応していないメールソフトでメール本文を作成したため、多言語文字がURLエンコード変換され、ドメインがURLエンコードされている」とTwoFiveは推測する。
ドメインがURLエンコードされたURLは、本文中に記載されていれば不審な URLと目視で判別できる。しかし、HTMLメールの場合、一部のメールソフトではリンクにマウスオーバーした際にURLエンコードをデコードして、飾り文字を英数字に変換して表示するため、注意が必要になるとしている。