TwoFiveは2月27日、「フィッシングトレンド」レポートの2022年9月~12月版を発表した。同レポートは、SSL証明書発行情報、ドメイン登録情報、ソーシャル情報、マルウェアなど複数のデータソースから独自のアルゴリズムにより、国内のフィッシングサイトについて多角的に独自に調査し、分析・判定して検知した結果をまとめたもの。

前回の調査(2022年6月~8月)で、国税庁のフィッシングサイトで使われたダイナミックDNSサービス「duckdns.org」が、8月中旬から下旬にかけて件数が増加したことが明らかになった。

今回の調査期間で、この「duckdns.org」を使ったフィッシングの攻撃ブランドにおいて、国税庁が減り、ソフトバンクが増加したという。

日単位でみると、ソフトバンクを偽るフィッシングサイトが検出されている期間が、国税庁を偽るフィッシングサイト数が落ち着いている期間と一致。フィッシングの成果を検証しているかのような動きが⾒られることから、国税庁をターゲットとした攻撃者が、攻撃対象をソフトバンクに切り替えた可能性が考えられると指摘されている。

  • duckdns.orgを利用する攻撃者がかたるブランド 資料:TwoFive

フィッシングに悪用されたブランドとしては、前回に引き続き、国税庁のe-Taxを偽るフィッシングサイトが11月まで増加を続けて大量に検出されたが、12月は11月の3分の1以下に減少したという。

  • フィッシングに悪用されたブランド 資料:TwoFive

TLDに関しては、中国のカントリーコードTLD(ccTLD)である「.cn」を利用するフィッシングサイトが、前回は全体の54%と最も多く検出されていたが、今回は19%と減少している。

しかし、「.cn」以外を利⽤するフィッシングサイトの本文やHTML コメント内の一部に中国語が混じっている例が多く散見されていることから、中国系のフィッシング攻撃数が減少しているのではなく、警戒されがちな「.cn」ではなく、別のTLDに変えたと考えられると同社は見ている。