フィッシングは、依然として現実的な脅威の一つです。攻撃者は単一のインフラに依存せず、ドメイン、プラットフォーム、コンテンツを継続的に入れ替えることで検知を回避しています。
では、現在どのようなフィッシングインフラが実際に運用されているのでしょうか。Criminal IPはこのような動向を踏まえ、Daily-Mal-Phishingリポジトリを通じて、リアルタイムで検知されたフィッシングURLのサンプルデータを毎日無料で公開しています。このデータは全体の脅威インテリジェンスの一部サンプルではありますが、それだけでも最近のフィッシング攻撃がどのように運用されているかを十分に読み取ることができます。特に、追加の環境構築を行わずにすぐダウンロードして分析できるため、フィッシングインテリジェンスに初めて触れるユーザーやセキュリティ初級者にとっても有用なデータソースです。
本記事では、Daily-Mal-Phishingの公開データをもとに、攻撃者のインフラ構成や運用パターンを分析し、このGitHubリポジトリをどのように活用できるかについてもあわせて解説します。
Daily-Mal-Phishing リポジトリとは
Daily-Mal-Phishing は、Criminal IPドメイン検索を通じて収集された悪性およびフィッシングURLを日次で提供する公開脅威インテリジェンスデータセットです。
- 更新周期:日次
- データソース:Criminal IPドメイン検索(Dangerous / Critical)
- 提供形式:日付別CSV / TXT
- 費用:無料(サンプルデータ)
単なる参考リストではなく、「現在どのようなフィッシングインフラが検知されているか」を示すデータである点に価値があります。
- 分析期間:2024.09 ~ 2026.04
- URL総数:52,670件
- ユニークドメイン数:51,126件
- 対象国数:91か国
本分析は、2024年9月から2026年4月までに公開されたデータをもとに実施しました。URL総数は52,670件で、その中から確認されたユニークドメインは51,126件、国コードは合計91か国にのぼります。公開サンプルデータでありながら、期間、ドメイン、国、登録時点などの多様なメタデータが含まれており、フィッシングインフラを単なるURLリストではなく、構造的な観点から把握することが可能です。
主な分析結果
1. 月別フィッシングURLトレンド
月別データを見ると、多くの期間で約2,500〜3,000件規模のフィッシングURLが継続的に観測されています。これは、フィッシング攻撃が特定のイベントや話題に応じて一時的に増加するものではなく、常時運用されている構造であることを示しています。攻撃者は一つのキャンペーンが終了しても、すぐに別のブランド、別のドメイン、別のホスティング環境へと切り替えながら活動を継続します。
特に2026年4月の区間では再び3,000件以上が確認されており、攻撃規模が維持されていることが分かります。公開サンプルデータからも、フィッシングが一過性ではなく継続的に運用されるモデルであることが読み取れる点は、実務上も重要な示唆となります。「一時的に流行する脅威」としてではなく、継続的な観測と蓄積分析が必要な対象として捉える必要があります。
2. TLDおよびドメイン生成戦略
TLD(Top-Level Domain)はドメインの末尾部分を指します。たとえば .com、.org、.app、.dev といった要素がこれに該当し、インターネット上でドメインの種類を区別する役割を持ちます。フィッシング分析においてTLDは、攻撃者がどのような種類のドメインを好むのか、大量生成型の運用パターンが存在するのかを把握するうえで重要な手がかりとなります。
今回のデータで確認されたTLD上位5件は以下の通りです。
.com → 11,333件
.bond → 8,454件
.app → 5,926件
.dev → 5,399件
.click → 2,610件
特に注目すべき点は、.comが依然として高い比率を占める一方で、.bond や .click のように比較的低コストで大量登録に適したTLDが多く利用されていることです。これは、攻撃者が取得しやすいドメインを広く分散して運用し、検知されるとすぐに別のドメインへ切り替える戦略を取っていることを示しています。
つまり、最近のフィッシングは、一つのドメインを長期間使用するのではなく、短期間で複数のドメインを循環させる構造に近いといえます。この特性により、個別のドメインを単独でブロックする対応には限界があります。TLD分布や生成パターンといった広い視点で攻撃の流れを捉えることが重要です。Daily-Mal-Phishingデータは、こうした分析を手軽に試すための有用な出発点となります。
3. プラットフォームベースのフィッシングインフラ
フィッシングURLが実際にどのようなプラットフォーム上で運用されているかを分析することで、攻撃者のインフラ戦略をより明確に把握できます。今回のデータでは、Vercel、GitHub Pages、Blogger、Wix Studio、Framerといった正規のプラットフォームが、フィッシングURLの運用に繰り返し利用されていることが確認されました。
Vercelは3,519件、GitHub Pagesは1,946件、Bloggerは1,088件、Wix Studioは883件、Framerは465件という結果となっています。この結果は、攻撃者が自前でサーバーを構築・運用する方法だけに依存していないことを示しています。代わりに、信頼性のある既存プラットフォームを利用して迅速にページを作成し、標準で提供されるHTTPSやCDN環境を活用してユーザーの警戒心を下げ、必要に応じて同一プラットフォーム上に新たなフィッシングページを再展開することで運用効率を高めています。
この点はセキュリティ初心者にとっても重要です。フィッシングサイトというと、不審なサーバーや未知のホスティング環境を想像しがちですが、実際にはよく知られた正規プラットフォームが悪用されるケースが多く見られます。そのため、URLの見た目だけで判断するのではなく、背後にあるプラットフォームやインフラにも目を向けることが重要です。
4. 国別インフラ分布
国別の分布を見ると、米国が26,113件と最も多く、次いで香港2,079件、ドイツ2,071件、シンガポール2,029件、日本514件となっています。
これらの数値は、そのまま攻撃者の実際の所在地を示すものではありません。むしろ、グローバルなクラウドやホスティングインフラがどの地域に集中しているかを反映していると考える方が適切です。米国は主要なCDN、SaaS、静的ホスティングサービス、クラウドインフラが集積しているため、攻撃者にとって可用性と信頼性の両方を確保しやすい環境です。その結果、フィッシングインフラも米国に多く分布していますが、これは攻撃者の国籍というより、選択された運用環境の特性に近いものです。
このような見方は実務においても重要です。国情報だけで「どの国の攻撃者か」と判断するのではなく、どの地域のどのインフラが繰り返し悪用されているのかを把握することが、実際の対策に直結します。
GitHubデータから実際の分析へ拡張する方法
Daily-Mal-Phishing リポジトリで特定のキーワード(例:Netflix)を基準にフィルタリングすると、数百件規模のフィッシングURLを確認できます。こうしたデータは攻撃パターンの把握には有用ですが、個別ドメインの実際のリスクやインフラ構成までは把握しにくい側面があります。
このような場合、Criminal IPドメイン検索を活用することで、分析をさらに一段階深めることができます。
GitHubで確認したURLをそのままCriminal IPドメイン検索に入力することで、単なる文字列としてのURLを超え、より具体的な脅威コンテキストを把握できます。たとえば、当該ドメインのリスクレベル(Critical、Dangerousなど)に加え、登録時期や国情報といった基本的なメタデータ、さらに関連IPやインフラ構成、SSL設定、サービス環境などの技術情報があわせて提供されます。また、場合によっては実際のWebページのプレビューも確認できるため、どのようなフィッシングページとして機能しているのかを直感的に理解できます。
このプロセスでは、分析は単一ドメインにとどまりません。対象ドメインに紐づくIPを起点にCriminal IPのIT資産検索を行うことで、同一インフラ上で運用されている他の疑わしい資産も確認できます。これにより、個別のURLからインフラ単位へと分析を拡張することが可能になります。つまり、1つのURLを起点として攻撃対象領域全体を追跡する流れへとつながります。
結果として、この分析フローは、GitHubの公開サンプルデータで全体傾向を把握し、ドメイン検索で個別ドメインを検証し、その後IT資産検索でインフラ全体へと展開する形で整理できます。公開データと実運用ツールを組み合わせた代表的な活用シナリオといえます。
まとめ
Daily-Mal-Phishingデータは、単なる公開サンプルではなく、実際のフィッシングインフラの動向を迅速に把握できる実用的な脅威インテリジェンスの入門資料です。毎日無料で更新されるこのデータだけでも、最新の攻撃パターンを十分に把握でき、複雑な環境構築を行わずに分析を開始できる点が大きな利点です。
特にフィッシング分析を初めて行うユーザーにとっては、このリポジトリを通じてデータに基づく分析の感覚を身につける良い出発点となります。その後、個別ドメインをCriminal IPドメイン検索やPhishing Scan機能で拡張分析することで、単なるURLリストを超え、実際の攻撃インフラにつながるインサイトを得ることができます。
全コードは以下のGitHubリポジトリから確認できます。
