株式会社TwoFiveは7月23日、国内フィッシングサイトの調査レポート「フィッシングトレンド」最新版(2025年1月~6月)を発表した。
同レポートは、SSL証明書発行情報やドメイン登録情報、ソーシャル情報、マルウェアなど複数のデータソースから独自のアルゴリズムで国内のフィッシングサイトを多角的に調査したもので、フィッシングキャンペーンの実行前の準備段階を含めて情報を収集し、同社の経験に基づく知見で分析・判定して検知するのが特徴となっている。
同レポートによると、2025年1月から6月はクレジットカード会社を騙るフィッシングが引き続き検出されるとともに、知名度が高い会社だけでなく、中小規模を含む幅広い証券会社を騙ったフィッシングサイトが多く検出される結果となった。
フィッシングに利用されている eTLD(effective TLD)は、Google翻訳サービスのドメイン「translate.goog」を悪用したURLが増加傾向にあった。同サービスは、指定されたURLの内容を翻訳して表示するもので、対象サイトの構成やブラウザの言語設定によっては翻訳を行わず自動的に元のサイトへリダイレクトされる仕様になっているが、この挙動を悪用し、translate.goog をリダイレクトサービスのように利用して、フィッシングサイトへの誘導に用いる手口が確認されている。Googleのドメインである信頼性を利用し、セキュリティフィルタを通過しやすくする目的で悪用されているとTwoFiveでは考察している。
フィッシングに利用されているホスティング事業者について、前回の調査(2024年7月から12月)から引き続き中国や香港などアジア圏の利用がさらに増加し、大半を占める結果となった。また、米国のホスティング事業者「Baxet Group Inc.」の利用が増加傾向にあった。継続して、安価であったり容易にWebサイトを構築可能なホスティング事業者が利用されていると指摘している。
また、今回の調査では、フィッシングメールに複数のURLを意図的に組み合わせる手法の増加を確認しており、特に知名度は低いが実在する正規のWebサイトのURLを多数挿入する戦術を多く観測している。こうした正規URLを含めることで、フィッシングURLの存在を希薄化し、スパムフィルタなどの自動検出を回避する狙いがあると考察している。
その他、今回の調査で、フィッシングメールに「 https:// 」などのスキームを含まないURL表記の使用の増加を確認している。一部のメーラーでは、「 https:// 」を含まないURLのような文字列でも、自動的にリンクとして処理される場合がある。また、HTMLメールでは通常、<a>タグを用いてWebサイトへのリンクを作成するが、リンクを設定せずに単なるテキストとしてURLを記載している例も確認しており、これらの手法は、スパムフィルタやセキュリティシステムによるURL抽出・自動検出を回避することを目的としているとしている。
「フィッシングトレンド」最新版(2025年1月~6月)は下記からダウンロード可能。
