ブログ - phishurl-list
JPCERT/CCが把握しているフィッシングサイトのURLリストがgithubに公開されているというので入手してみた.
昨日公開されたのが2023年10月から12月のデータ.
どういう利用方法が良いのだろうと考えたのだけど,社内のWeb ProxyのNGリストにロードしておけば,古いフィッシングメールをみて誤って誘導先URLをリンクした時にブロックできるという意味があるかな,という感じか.
2023年のcsvデータから,どのサービスを騙っているフィッシングサイトが多いのかトップ30を集計してみた.
うちではポケットカードを騙ったメールは目立つほど来てないかな.何かメアドリストに偏りがあるのだろう.
もう1つ,トップレベルドメインを調べてみた.
phpがあるけどこれは抽出コマンドが悪いので無視.ドメインcom,cnは良いけど,cfd(Clothing Fashin Design)というのはみない感じだ.うちでは.cnと.topが多いかな.
興味深いのはa3IwMDY1P3というパラメータみたいなのが多くあるところかな.
追記2024/02/22
加工パラメータを工夫してFQDNを抽出して集計してみた.
$ git clone https://github.com/JPCERTCC/phishurl-list/🆑
Cloning into 'phishurl-list'...
remote: Enumerating objects: 197, done.
remote: Counting objects: 100% (197/197), done.
remote: Compressing objects: 100% (148/148), done.
remote: Total 197 (delta 82), reused 144 (delta 43), pack-reused 0
Receiving objects: 100% (197/197), 2.16 MiB | 8.29 MiB/s, done.
Resolving deltas: 100% (82/82), done.
$ cd phishurl-list/🆑
$ ls -la
total 60
drwxr-xr-x 14 ujpadmin staff 448 2 22 12:11 .
drwxr-xr-x 51 ujpadmin staff 1632 2 22 12:11 ..
drwxr-xr-x 12 ujpadmin staff 384 2 22 12:11 .git
drwxr-xr-x 3 ujpadmin staff 96 2 22 12:11 .github
-rw-r--r-- 1 ujpadmin staff 105 2 22 12:11 .gitignore
drwxr-xr-x 14 ujpadmin staff 448 2 22 12:11 2019
drwxr-xr-x 14 ujpadmin staff 448 2 22 12:11 2020
drwxr-xr-x 14 ujpadmin staff 448 2 22 12:11 2021
drwxr-xr-x 14 ujpadmin staff 448 2 22 12:11 2022
drwxr-xr-x 14 ujpadmin staff 448 2 22 12:11 2023🈁
-rw-r--r-- 1 ujpadmin staff 239 2 22 12:11 README.md
-rw-r--r-- 1 ujpadmin staff 23484 2 22 12:11 index.html
-rw-r--r-- 1 ujpadmin staff 2561 2 22 12:11 statistic.py
-rw-r--r-- 1 ujpadmin staff 21456 2 22 12:11 template.html
$ cd 2023🆑
$ ls -la🆑
total 4124
drwxr-xr-x 14 ujpadmin staff 448 2 22 12:11 .
drwxr-xr-x 14 ujpadmin staff 448 2 22 12:11 ..
-rw-r--r-- 1 ujpadmin staff 136327 2 22 12:11 202301.csv
-rw-r--r-- 1 ujpadmin staff 157753 2 22 12:11 202302.csv
-rw-r--r-- 1 ujpadmin staff 296911 2 22 12:11 202303.csv
-rw-r--r-- 1 ujpadmin staff 302824 2 22 12:11 202304.csv
-rw-r--r-- 1 ujpadmin staff 515049 2 22 12:11 202305.csv
-rw-r--r-- 1 ujpadmin staff 694739 2 22 12:11 202306.csv
-rw-r--r-- 1 ujpadmin staff 373045 2 22 12:11 202307.csv
-rw-r--r-- 1 ujpadmin staff 411706 2 22 12:11 202308.csv
-rw-r--r-- 1 ujpadmin staff 316962 2 22 12:11 202309.csv
-rw-r--r-- 1 ujpadmin staff 282193 2 22 12:11 202310.csv
-rw-r--r-- 1 ujpadmin staff 297317 2 22 12:11 202311.csv
-rw-r--r-- 1 ujpadmin staff 416192 2 22 12:11 202312.csv🈁
$ head 202312.csv🆑
date,URL,description
2023/12/01 10:32:00,https://beet-u5s1-1h6y.p6ndza0z.workers.dev/,三井住友カード
2023/12/01 10:32:00,https://strawberry-qo68-yl4y.oah2c2h4.workers.dev/,三井住友カード
2023/12/01 10:47:00,https://smcodenpass.jtlf4rg.cn/,三井住友カード
2023/12/01 10:47:00,https://smcodenpass.udknela.cn/,三井住友カード
2023/12/01 11:56:00,https://asasion.63928.cn/,SAISON CARD
2023/12/01 11:56:00,https://emv1.virfxjg.cn/,SAISON CARD
2023/12/01 11:56:00,https://emv1.ynmghkw.cn/,SAISON CARD
2023/12/01 11:56:00,https://mta-sts.virfxjg.cn/,SAISON CARD
2023/12/01 11:56:00,https://mta-sts.ynmghkw.cn/,SAISON CARD
$
どういう利用方法が良いのだろうと考えたのだけど,社内のWeb ProxyのNGリストにロードしておけば,古いフィッシングメールをみて誤って誘導先URLをリンクした時にブロックできるという意味があるかな,という感じか.
2023年のcsvデータから,どのサービスを騙っているフィッシングサイトが多いのかトップ30を集計してみた.
$ cat *|cut -d "," -f 3|sort|uniq -c|sort -r|head -n 30🆑
8753 Amazon
6560 SAISON CARD
5071 えきねっと
4441 Apple ID
4033 エポスカード
3932 ETC利用照会サービス
3791 イオン銀行
3378 三井住友カード
2428 softbank
2349 ヤマト運輸
2188 総務省
1649 イオンカード
993 au
779 三井住友信託銀行
748 BIGLOBE
675 NHK
596 MICARD
503 メルカリ
494 American Express
487 楽天
412 PayPay
405 ポケットカード
397 楽天カード
339 Viewcard
331 Microsoft
321 Orico
281 TEPCO
271 横浜銀行
242 TS CUBIC CARD_MY TS3
231 国税庁
$
もう1つ,トップレベルドメインを調べてみた.
$ cat *|cut -d "," -f 2|sed 's/\./,/g'|sed 's/\///g'|rev|cut -d ',' -f 1|rev|sort|uniq -c|sort -r|head -n 30🆑
15725 com
9213 cn
7061 org
3253 dev
2788 cfd
2383 top
1728 php
1427 xyz
1161 coma3IwMDY1P3🈁
1153 php?id=*
1000 php?id=
952 icu
767 php?sinvu7yfte=*
586 html?id=*
551 orgjamain
505 html
322 jp
321 cncaonige
299 shop
296 net
296 comjp
252 one
235 cnjp
216 shopa3IwMDY1P3🈁
200 php?info=*
190 ink
180 cyou
173 onea3IwMDY1P3🈁
149 cc
136 buzz
$
興味深いのはa3IwMDY1P3というパラメータみたいなのが多くあるところかな.
追記2024/02/22
加工パラメータを工夫してFQDNを抽出して集計してみた.
$ cat *|cut -d "," -f 2|sed 's/\//,/g'|cut -d "," -f 3|rev|cut -d "." -f 1|rev|sort|uniq -c|sort -r|head -n 30
20754 com
11016 cn
7761 org
4423 cfd
3496 dev
3001 top
1592 xyz
1187 icu
659 shop
635 asia
580 cc
496 cyou
473 one
456 net
430 ly
220 jp
203 ink
200 monster
174 buzz
144 life
142 co
138 vip
134 info
129 sbs
123 club
105 fit
104 gd
102 art
97 us
79 tokyo
$