続報・東京オリンピック偽サイト調査

Posted on by

はじめに

本研究室では前回の記事以降、東京オリンピック公式サイトに類似したドメイン名を悪用した偽サイトの調査を継続しています。発見した類似ドメイン名の個数の累積数は2020年3月7日現在、1089件となりました。今回の投稿では特に注意が必要だと考えられる具体的なサイトの例を紹介し、フィッシングサイトに対する注意喚起につながればと期待します。

要注意チケット販売サイト

 東京オリンピックのチケットの販売は公式サイトで述べられているように公式チケット販売チャネル(公式チケット販売サイト、公式チケット販売所、公式チケット販売事業者)によって行われています。それ以外のサイトで出品されているチケットは無効なチケット、あるいは偽物である可能性があります。リセールサービスを利用することによってチケットを購入することもできますが、こちらも組織委員会が用意する公式チケット販売サイト以外での販売は禁じられているため、注意が必要です。そこで本調査では公式チケット販売事業者のリストに載っていないドメイン名を使ってチケットを販売しているサイトを「要注意チケット販売サイト」と定義します。以下に発見した要注意チケット販売サイトを示します。

※これらのサイトには安易にアクセスしないよう、十分な注意をお願いします。

  • tickets-tokyo2020[.]com

  ドメイン名登録日  2020/02/11

  レジストラ  Guangdong Nicenic Technology Co., Ltd

  ウェブ画面スクリーンショット

コンテンツ

 サイトの言語はロシア語と英語の切り替えが可能。またアカウント登録なしでチケットの購入画面まで進むことができる。購入画面では電話番号とemailアドレスが要求される。実際に使い捨てemailアドレスを入力したところ、特にメールは来なかった。

 

  • tokyo2020-ticket[.]com

  ドメイン名登録日 : 2018/02/16

  レジストラ  united domains AG United-Domains AG

  ウェブ画面スクリーンショット

 コンテンツ

 チケットのリクエストフォームに進むと電話番号やemailアドレスなどが要求される。リクエストフォームでサイト運営側にメッセージを送ってチケットをリクエストする。

公式サイトに似せた悪性サイト

上記で示した要注意サイトの他、公式サイトに似せたドメイン名を用いたウェブサイトが観測されています。それらのウェブサイトをオンライン悪性サイト検知サービスである VirusTotal を使って判定したところ、悪性判定されたドメイン名や怪しいサイトにリダイレクトされるドメイン名が確認されました。以下にそれらの悪性ドメイン名を示します。こちらも安易にアクセスしないよう、お願いします。

  • Virus Totalで悪性判定されたドメイン名

Domain
Registrar
Malicious
Malware
Phishing
2020jpn[.]tokyo
GMO Internet,
0
1
0
2020tokyo[.]fit
GMO Internet
1
0
0
ifpwtokyo2020[.]com
DYNADOT, LLC
2
0
0
neotokyo2020[.]com
FastDomain Inc.
0
1
0
thetokyo2020[.]com
Wix.com Ltd.
2
2
0
tokyo-2020-olympic-games[.]com
GoDaddy.com, LLC
0
1
0
tokyo2020[.]events
NameCheap, Inc.
0
0
1
tokyo2020[.]online
Metaregistrar BV Applications
2
0
0
tokyo2020[.]su
NAUNET-SU
3
1
1
tokyo2020olympicbabies[.]com
PDR Ltd.
2
2
0
tokyogold2020[.]com
GoDaddy.com, LLC
1
1
0

 

  • 怪しいサイトにリダイレクトされたことが確認されたドメイン名

    • 2020-tokyo[.]xyz
    • 東京オリンピック2020[.]tokyo

    (xn--2020-pl4c4a3kpfnimdq892bbe2c[.]tokyo)

    • tokyo-olympic2020[.]xyz

 

  • リダイレクト先のサイトのスクリーンショット

東京オリンピック2021?

コロナウイルスの被害が収まらない場合、東京オリンピックが一年延期されるという案もでており、それに乗じて「東京オリンピック2021」を想起させるようなドメイン名が43個取得されていることが分りました。これらのドメイン名のほとんどは具体的なコンテンツは設置されていませんが、今後実際にオリンピックが延期されるような事態になれば、フィッシングサイトに変化する可能性があるため、注意が必要です。

  • 2021olympics[.]live
  • olympics2021[.]live
  • olympics2021ticket[.]live
  • 2021olympicsticket[.]ltd
  • 2021olympicstickets[.]ltd
  • 2021olympictickets[.]ltd
  • olympic2021tickets[.]ltd
  • olympics2021ticket[.]ltd
  • olympics2021tickets[.]ltd
  • olympics2021[.]news
  • 2021olympicsticket[.]site
  • 2021olympicstickets[.]site
  • olympics2021[.]site
  • 2021olympics[.]today
  • olympics2021tickets[.]today
  • olympics2021ticket[.]vip
  • olympics2021tickets[.]vip
  • olympics2021[.]world
  • 2021olympics[.]org
  • 2021olympicstickets[.]org
  • 2021olympictickets[.]org
  • olympic2021tickets[.]org
  • olympics2021[.]org
  • olympics2021ticket[.]org
  • olympics2021tickets[.]org
  • 2021olympics[.]net
  • 2021olympicsticket[.]net
  • 2021olympicstickets[.]net
  • olympic2021[.]net
  • olympic2021tickets[.]net
  • olympics2021[.]net
  • olympics2021ticket[.]net
  • olympics2021tickets[.]net
  • olympics2021[.]com
  • 2021olympics[.]com
  • olympics2021tickets[.]com
  • olympics2021ticket[.]com
  • 2021olympicsticket[.]com
  • olympic2021tickets[.]com
  • 2021olympicstickets[.]com
  • 2021olympictickets[.]com
  • tokyo2021olympic[.]com
  • tokyo2021olympic[.]org

今後の予定

我々が発見した要注意ドメイン名等はフィッシング対策協議会などの組織に報告し、事前に十分なセキュリティ対策がなされるべく調査活動を進めていきます。開催時期が近づくにつれて様々な活動が出てくる可能性があるため、今後もモニタリングや情報共有を継続していきます。