株式会社TwoFiveは2月27日、2022年9月から12月にかけて国内のフィッシングサイトについて多角的に調査を行った結果を「フィッシングトレンド」として発表した。
同調査によると、フィッシングに悪用されたブランドについて、2022年6月から8月の調査結果に引き続き、国税庁のe-Taxを騙るフィッシングサイトは11月まで増加し続け大量に検出されたが、12月は11月の3分の1以下に減少している。携帯キャリアでは、9月から10月にかけてauブランドを狙ったものが、11月から12月にかけてソフトバンクユーザーを狙ったフィッシングサイトが多く検出されている。クレジット、信販系では、全体的にサイト数は少ないが三井住友(SMBC)カード、VISAカード、イオンカード、アメックスカードなどを狙ったフィッシングサイトが各月で検出されている。
フィッシングに利用されているホスティング事業者については、2022年6月から8月に全体の半数近くを占めたQuadranet.com(米)の利用が経る一方で、DediPathを利用したフィッシングサイトが増加し半数以上を占めている。9月から10月にはColoCrossingを利用したフィッシングサイトが、11月にはSun Network Company Limitedを利用したフィッシングサイトが見られたが、料金が安価であることに加え、利用に際しての審査が甘く、支払い方法において足が付かないホスティングサービスが狙われているのではと推測している。
フィッシングに利用されているTLD(Top Level Domain)の3ヶ月の合計は、2022年6月から8月に全体の半数となる54%を占めた中国のカントリーコードTLDである「.cn」が、2022年9月から12月は19%と減少傾向となった。ただし、「.cn」以外を利用するフィッシングサイトの本文やHTML コメント内の一部に中国語が混じっている例が依然として多く、中国系のフィッシング攻撃数が減少しているのではなく、警戒されがちな「.cn」ではなく、別のTLDに変えたと推測している。
本「フィッシングトレンド」レポートは、複数のフィッシング攻撃キャンペーンの相関関係から攻撃意図を推定するといった、同種の報告書としては野心的な内容となっている。株式会社TwoFiveは本誌の取材に応え、その狙いについて以下の通り回答した。
──TwoFiveフィッシングトレンドレポートには「ソフトバンクのフィッシングと国税庁のフィッシングは同一犯の可能性」「フィッシングの成果を検証しているかのような動き」とありますが、具体的にどのような動きを観測し、あるいはどんな根拠に基づいてそう推測しているのですか?
日単位で動きをとらえると、ソフトバンクを騙るフィッシングサイトが検出されている期間と、国税庁を騙るフィッシングサイト数が落ち着いている期間とが一致したことからの推測です。DuckDNS経由でのフィッシングを日別にまとると、片方が活動しているときはもう片方が止まっている動きが観測されています。
──フィッシングを行うサイバー攻撃犯が行う「成果検証」とは、具体的に何を目的にどんな行動をしているのでしょうか。
フィッシングを行う目的は他人の個人情報の不正取得です。「成果検証」とは、現在行っているブランドのなりすましキャンペーンよりも、他のブランドをなりすますことでより効率的に個人情報を不正取得できるかどうかを検証する、そういう動きが確認されたということです。
──フィッシング対策協議会などの定期レポートでは、こうした「攻撃者側の意図や行動を推定して仮説を出す」という取り組みはこれまであまり見たことがありません。フィッシングを行う攻撃者は、ただひたすらクレデンシャルを盗むのっぺりとした妖怪のような、ある種無個性な存在として扱われてきました。今回のレポートはそこから一歩踏み込んだ印象があります。意図は何でしょうか。
認識の通りで、フィッシングの定期レポートは、行政機関様やベンダー様などでも発表されておりますが、フィッシング対策協議会様などが集めていないデータも含まれている弊社独自の情報をより深く分析し、独自の考察や仮説を加えることで、新たな観点での分析結果をお伝えしたいというのが意図です。(株式会社TwoFive 広報)
