数か月で19倍に急増した「.es」のフィッシング攻撃
人知の及ばぬ32ビットの空間に、
名前がついたその日から、
見知らぬあなたと、見知らぬあなたに、
ウェブの糸がつながった
ドメインの織りなす運命を解き明かす
あらたな世界の扉が開かれる
それが、あなたの知らないドメインの.世界
急増する「.es」ドメインのフィッシング攻撃をご存知ですか?
2024年後半から2025年前半にかけて、スペインのccTLD(国別コードトップレベルドメイン)
「.es」を使ったフィッシング攻撃が爆発的に増加しました。わずか数か月で19倍に膨れ上が
り、フィッシングで使われるTLDランキングでも「.com」「.ru」に次いで第3位に浮上したのです。
攻撃の99%は認証情報の窃取が目的で、偽装対象の95%以上はMicrosoft社です。
サブドメインをランダム文字列で生成し、判別を困難にする手法で偽装を図っています。
攻撃のほとんどが Cloudflare社(※)経由でホスティングされており、CAPTCHAの代替
「Cloudflare Turnstile」を使って自動検知を回避するケースも見られます。
これにより、攻撃者は短期間で大量の偽サイトを展開できます。
「.es」を登録するには、法人IDやパスポート番号などの提出が必要です。それにも
かかわらず攻撃が急増している背景には、以下の要因があります。
・確認精度の限界
偽造や盗用されたIDが利用されるケース。
・インフラの匿名化効果
Cloudflare社などのサービスを経由することで、実際の運営者を追跡しにくくしており、
結果的に身元情報の効果が限定的。
「.es」を管理する「RED.es」は、フィッシングなどの不正利用が疑われるドメインについて
、登録者の情報に不備や疑義が見つかった場合は、登録者に確認を要求し、10日以内に回答
がなければ登録を停止するという手続きを導入しています。この仕組みによって、悪意ある
利用者が虚偽の情報で「.es」を登録した場合でも、一定期間内に正しい情報を示せなければ
ドメインが利用できなくなります。
「.es」ドメインは、これまでフィッシングで目立つ存在ではありませんでしたが、わずか
数か月で主要な攻撃手段へと変貌しました。また、Cloudflare社自体は正規のセキュリティ
企業ですが、攻撃者がそのインフラの一部を“盾”のように利用してしまうケースがある、
という点も課題となりました。フィッシングは進化を続けています。常に最新の手口を把握
し、警戒心を持つことが求められます。
※サンフランシスコに本社を置く、インターネットセキュリティ・パフォーマンス最適化企業。世界中に分散したデータセンターを活用し、ウェブサイトやアプリ
を安全かつ高速に提供するサービスを展開。
参考
Spain TLD’s Recent Rise to Dominance
Experts flag a huge amount of cyberattacks coming from this unexpected domain
Massive spike in use of .es domains for phishing abuse
.es – wikipedia
RED.ES – ICANNWiki
・関連記事
スパムやフィッシングメールに使われるドメインは「無料」か「激安」が多い
QRコードで読み取った先のドメインは偽物かもしれない
Facebookから約6億円の賠償を求められているドメイン登録事業者
ドメイン登録で「悪意は無かった」は通用しません
ワインのテイスティングじゃなくて、ドメインのテイスティング
