.li、.es、.sbsほか：フィッシング攻撃で悪用される割合が高いトップレベルドメイン上位20

佐々山 Tacos

2025.06.11

6月11日：サイバーセキュリティ関連ニュース

.li、.es、.sbsほか：フィッシング攻撃で悪用される割合が高いトップレベルドメイン上位20

HackRead – June 10, 2025

2025年に実施されたフィッシングキャンペーンで最も頻繁に使われたトップレベルドメイン（TLD）上位20件を、ANY.RUNが明らかに。これらのTLDは、フィッシングページや偽のログインポータルをホストしたり、有害サイトへのリダイレクトを隠蔽したりする目的でハッカーたちに悪用されているという。

ANY.RUNは、最近のサンドボックスデータから今年行われたフィッシング攻撃において使用されたTLDを、有害ドメインの割合が多いものから順に20件ピックアップ。1位となったのは「.li」というTLDで、観測された全.liドメインのうち57%（2,704件）がフィッシング目的で悪用されていたという。ただし、その多くは直接フィッシングコンテンツをホストしているわけではなく、ユーザーを偽のログインページやマルウェアダウンロードページなどへ誘導するリダイレクターとして使用されるケースが広く見受けられている。フィッシングチェーンにおけるこのような間接的な役割は検出ツールの目を免れることが多いことから、.liは密かにさまざまな攻撃の成功を助けている場合があるという。

2025年のフィッシングで2番目に使われることの多かったTLDが、「.es」（フィッシングページ数：15,479件、全ページの47.63%）。.esはMicrosoft 365や郵送業者などのサービスを模倣したフィッシングページをホストするものが多く、認証情報の窃取や郵送詐欺を仕掛ける攻撃者にとって人気の選択肢となっている。スペインのTLDでもあり、これを親しみやすいものと感じるスペイン語話者ユーザーにとって特に危険であると思われる。

第3位にランクインしたのは「.sbs」（フィッシングページ数：3,790件、全ページの40.25%）。極めて安価に登録できるドメインであるため、短期的に成功を収めたいフィッシングアクターに人気があるものと考えられる。.sbsを用いた有害ドメインは、偽の追跡ページや緊急で支払いを要求するページ、有害なコーポレートポータルなどをホストしていることが多く、こうしたページではログイン情報やクレジットカード番号を騙し取ることが目論まれている。

第4位は、同じく低価格なTLDである「.cfd」（フィッシングページ数：2.043件、全ページの31.29%）。このTLDはドキュメント共有サイトや政府ポータルに扮したフィッシングキットで頻繁に見受けられている。ブランドは汎用的でサイトは使い捨て可能なものとなるため、攻撃者らは.cfdの使用により大量のフィッシングページを仕掛けられるという。

続く第5位に入ったのは、国別コードドメインとしては2つ目の「.ru」（フィッシングページ数：65,018件、全ページの30.32%）。偽のログインフォームをホストしたり、ソフトウェアダウンロードに見せかけてマルウェアを配布したりする目的で使われることが多く、ロシアのTLDであることから特に同国内および近隣国のユーザーへリスクをもたらしている。

このほか、以下のTLDが上位20件として紹介されている。

.pub（1,475件、29.2%）
.so（1,757件、26.89%）
.app（11,578件、21.78%）
.icu（1,469件、21.22%）
.re（2,442件、21.13%）
.ua（895件、18.9%）
.online（3,554件、18.45%）
.link（2,590件、17.06%）
.top（6,215件、16.92%）
.ly（2,360件、16.78%）
.site（3,098件、16.76%）
.ro（713件、15.23%）
.click（1,434件、15%）
.ar（625件、14.96%）

顔認識技術の大規模展開を暗に仄めかしたLA市警の警告に活動家らが懸念の声

Cybernews – 10 June 2025

移民一斉摘発とこれに対する抗議活動をめぐって混乱に陥る米ロサンゼルスで、デモ参加者の上空を飛行したロサンゼルス市警察（LAPD）のヘリコプターが「（参加者の）身元を特定して自宅まで行く」などと警告したことをめぐり、デジタルプライバシー保護グループなどが危機感を抱いているという。

法執行機関は抗議者たちに対し、催涙ガス、ビーンバッグ、ゴム弾などを使用しており、ジャーナリストまでもがゴム弾に被弾するなど、すでに弾圧は十分に残酷性の高いものとなっている。またトランプ大統領は数千人の州兵をロサンゼルスに派遣済みであり、連邦当局も約700人の現役海兵隊員を派遣すると発表。自国民を相手に異常とも思えるような手段を講じている。

そんな中、Los Angeles Times紙は6月8日公開の記事において、LAPDのヘリが「お前たち全員をカメラに映している。家まで行くからな」とアナウンスしながらデモ参加者らの上空を飛行していたことを報道。デジタルプライバシー保護の活動家であるMatthew Guariglia氏によれば、これは「警察による、政治的立場に対する報復や懲罰」へと繋がりかねない明確なエスカレーションだという。

電子フロンティア財団（EFF）でシニアポリシーアナリストを務めるGuariglia氏は、不適切または不法な監視措置に反対してきた人物。トランプ大統領は最近、デモにおけるマスクの着用を許すべきではないなどと発言したが、同氏はこれに対しても、「マスクを着用することは、抗議活動中の監視対策としての正当な自己防衛手段です。監視カメラネットワーク、顔認識技術、個人情報データベースの急激な拡大が進行しています」と述べて反発している。

今回のLAPDのアナウンスが単なるジョークとして発言されたものだったとしても、公衆を脅しつけてデモ参加を思い直させるために行われたことははっきりしていると、南カリフォルニア・アメリカ自由人権協会のJonathan Markovitz氏も指摘。抗議活動への参加は憲法で保障された権利であるにもかかわらず、公権力によるこのような脅迫が行われたことを問題視した。

なおLAPDは2004年から顔認識を使用しており、指名手配ポスターの作成にもこのテクノロジーを使っているとされる。また集められた顔データは、将来の犯罪を予測するため（予測的警察活動）にも使われるという。

【無料配布中！】ディープ＆ダークウェブ関連レポート

弊社が作成したレポート『ディープ＆ダークウェブにおけるSNSアカウント売買とディープフェイク』を無料配布中です！

ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。

無料ダウンロードはこちらのバナーから：