サイバーセキュリティ企業Cofenseは、スペインの国別ドメイン.esを悪用したフィッシング攻撃が19倍増加したと報告した。
この報告は2025年7月5日にThe Registerで報じられた。2025年1月から5月にかけて、447の.esベースドメイン上で1,373のサブドメインが悪意のあるウェブページをホストしていた。攻撃の99%は認証情報フィッシングに集中し、残り1%はConnectWise RAT、Dark Crystal、XWormなどのリモートアクセス型トロイの木馬配布に使用された。
攻撃の95%がMicrosoftサービスを偽装しており、悪意のある.esドメインの99%がCloudflareのインフラでホストされていた。.esドメインは現在、.comと.ruに次いで3番目に悪用されているトップレベルドメインとなっている。
インターネット名前番号割り当て機関(ICANN)によると、.esのような欧州連合の国別コードTLDは通常、最も悪用されにくいドメインの一つである。
From: 
Massive spike in use of .es domains for phishing abuse
【編集部解説】
今回のスペイン国別ドメイン.esを悪用したフィッシング攻撃の急増は、サイバー犯罪の戦術が新たな段階に入ったことを示しています。The Registerの報道内容を詳細に検証した結果、Cofenseの調査データは信頼性が高く、この脅威の深刻さが確認されました。
国別ドメインの悪用が意味するもの
従来、.esのような国別コードトップレベルドメイン(ccTLD)は、登録に厳格な制限があり、一括登録ができないため、サイバー犯罪者にとって魅力的ではありませんでした。しかし、今回の事例は、攻撃者がこれらの制限を回避する新たな手法を確立したことを意味します。
特に注目すべきは、攻撃者が人間が作成したドメイン名ではなく、ランダムに生成されたサブドメインを使用している点です。これにより、従来のドメイン名ベースの検出システムを回避しつつ、大量のフィッシングサイトを効率的に展開できるようになりました。
Cloudflareインフラの両面性
今回の事案で特に興味深いのは、悪意のある.esドメインの99%がCloudflareのインフラでホストされていることです。Cloudflareは本来、ウェブサイトのセキュリティと高速化を提供する正当なサービスですが、その利便性が悪用されている状況が浮き彫りになりました。
Cloudflareが最近導入したコマンドライン経由での簡単なウェブページ展開機能は、開発者にとって革新的なツールである一方、攻撃者にとっても魅力的な環境を提供してしまっています。この技術的進歩が意図せずサイバー犯罪を助長している可能性があります。
攻撃の高度化と組織化
今回の調査で明らかになったのは、.esドメインの悪用が特定の攻撃グループによるものではなく、幅広い攻撃者コミュニティに広がっていることです。これは、効果的な攻撃手法が急速に共有され、標準化されていることを示しています。
Microsoft製品を95%の確率で偽装するという統計は、企業環境における同社の圧倒的な市場シェアを反映していますが、同時に攻撃者が最も効果的なターゲットを熟知していることも示しています。
セキュリティ業界への影響
この事案は、従来のセキュリティ対策の盲点を突いています。多くの組織では、.comや.ruなどの一般的に悪用されるドメインに対する監視は強化していますが、.esのような国別ドメインへの警戒は相対的に薄い傾向があります。
元記事によると、.esは.comと.ruに次いで3番目に悪用されるドメインとなっており、セキュリティ業界全体での対策見直しが急務となっています。
長期的な影響と対策の方向性
この傾向は一時的なものではなく、構造的な変化を示しています。攻撃者は常に新しい回避手法を模索しており、今回の.es悪用成功により、他の国別ドメインへの攻撃拡大も予想されます。
企業のセキュリティ担当者は、ドメイン監視の範囲を拡大し、特にサブドメインレベルでの異常検知システムの導入を検討する必要があります。また、従業員教育においても、見慣れないドメイン拡張子への警戒を強化することが重要です。
規制当局への示唆
この事案は、国別ドメインの管理体制についても重要な問題を提起しています。スペインのドメイン管理機関や欧州連合レベルでの対策強化が求められる一方、過度な規制は正当な利用者の利便性を損なう可能性もあります。
技術の進歩とセキュリティのバランスを取りながら、効果的な対策を講じることが、今後のサイバーセキュリティ政策の重要な課題となるでしょう。
【用語解説】
フィッシング(Phishing)
偽のウェブサイトやメールを使って、ユーザーの認証情報やクレジットカード情報などの個人情報を騙し取るサイバー攻撃手法である。
トップレベルドメイン(TLD)
ドメイン名の最上位階層を指す。.com、.org、.jpなどがこれに該当し、国別コードTLD(ccTLD)と分野別TLD(gTLD)に分類される。
国別コードTLD(ccTLD)
各国に割り当てられた2文字のトップレベルドメイン。.esはスペイン、.jpは日本、.ruはロシアを表す。
リモートアクセス型トロイの木馬(RAT)
感染したコンピュータを遠隔操作可能にする悪意のあるソフトウェア。攻撃者が被害者のシステムを完全に制御できるようになる。
C2ノード(Command and Control)
マルウェアが攻撃者からの指示を受け取り、盗んだデータを送信するための通信拠点。サイバー攻撃の中枢として機能する。
タイポスクワット
正規のドメイン名に似せた偽のドメイン名を登録し、ユーザーの入力ミスを狙って悪意のあるサイトに誘導する手法。
CAPTCHA
ウェブサイトでボットと人間を区別するための認証システム。画像の文字入力や画像選択などを通じて人間であることを証明する。
【参考リンク】
Cofense(外部)
フィッシング攻撃の検知・対応ソリューションを提供する米国のサイバーセキュリティ企業
Cloudflare(外部)
ウェブサイトの高速化とセキュリティ保護を提供するクラウドサービス企業
ICANN(外部)
インターネットのドメイン名システムとIPアドレスの管理・調整を行う国際的な非営利組織
Red.es(外部)
スペインの.esドメインの登録・管理を行う公的機関
【参考記事】
The Rise of XWorm RAT: What Cybersecurity Teams Need to Know(外部)
XWorm RATの詳細な分析レポート。2022年7月にMaaSとして登場し、現在は無料版が広く流通している高度なRAT。APTグループも使用しており、DDoS攻撃やランサムウェア機能も備えている。
Signal経由でDark Crystal RAT攻撃:ウクライナ防衛部門が標的に(innovaTopia)
ウクライナの防衛部門を標的としたDark Crystal RAT攻撃の詳細。Signalアプリを通じて会議議事録を装ったマルウェアを配布し、既に侵害されたアカウントを利用する高度なソーシャルエンジニアリング手法を使用。
Overview · Cloudflare Turnstile docs(外部)
Cloudflare Turnstileの技術仕様とAPI documentation。CAPTCHAに代わる認証システムとして、機械学習とJavaScriptチャレンジを組み合わせて人間とボットを区別する仕組みを解説。
【編集部後記】
今回のスペイン.esドメインを悪用したフィッシング攻撃の急増は、私たち一人ひとりにとって身近な脅威となっています。皆さんは普段、メールのリンクをクリックする前にドメイン名を確認されていますか?特に.comや.jp以外のドメインに対して、どの程度注意を払っているでしょうか。
この事案は、サイバー犯罪者が私たちの「慣れ」や「油断」を狙っていることを示しています。もし皆さんの組織でセキュリティ対策を検討されているなら、どのような点を重視されますか?また、技術の進歩がもたらす利便性と、それに伴うリスクのバランスについて、どのようにお考えでしょうか?
私たちinnovaTopia編集部も、読者の皆さんと一緒にこの複雑なサイバーセキュリティの世界を理解していきたいと思っています。
