フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/04 フィッシング報告状況」において、2024年4月のフィッシング報告状況を発表した。4月は次の2件の緊急情報が公開されている。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/04 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/04 フィッシング報告状況

2024年4月におけるフィッシング報告状況の注目点

2024年4月におけるフィッシング報告状況の注目される主な内容は次のとおり。

  • 2024年4月は東京電力をかたるフィッシング詐欺の報告が急増し、報告数全体の約19.5%となった。これに三井住友カード、Mastercard、Amazon、イオンカードをかたるフィッシング詐欺の報告が続き、これらを合わせると全体の約65.8%を占めている。1,000件以上の報告があったブランドは14ブランドあり、これらで全体の約90.6%を占めた
  • ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、前月に引き続き宅配便関連の不在通知からAppleをかたるフィッシングサイトへ誘導する文面の報告を多く受領した。他にも電力会社、金融系、クレジットカードをかたる文面の報告を多く受領している
  • 報告されたフィッシングサイトのURLは.comが53.5%ほどで最も多く、これに.ru(約13.5%)、.cn(約13.4%)、.top(約3.3%)、.ly(約2.9%)、.net(約2.2%)、.dev(約2.1%)が続いた。3月と比較して.ruドメインの悪用が急増し、.devは激減している。.ruはほぼすべてが「使い捨て」URLとして悪用された
  • 調査用メールアドレスへ配信されたフィッシングメールのうち、36.7%ほどが実在するサービスのメールアドレスを使用した「なりすまし」であり、前月よりも減少傾向となっている
  • 2024年4月はフィッシング詐欺の報告件数が10万6,757件となり、前月から9,594件、約9.9%の増加となっている。3月、4月は移転シーズンのため、電力会社、ガス会社、水道局をかたって未納料金支払いを求めるフィッシングメールが増加する傾向にある。また、e-Tax(国税電子申告・納税システム)をかたるフィッシング詐欺が増加しており注意が必要
  • クレジットカードの利用通知や月額請求のお知らせ、不正利用やログイン試行による利用制限、本人確認依頼、メルマガの注意喚起など、本物のメールと区別の難しいフィッシングメールが増加している
  • Googleは「メール送信者のガイドライン - Google Workspace 管理者 ヘルプ」にて規定した制限を4月から運用開始している。Gmailにメールが配送できない場合はガイドラインを閲覧し、制限に違反しないようサーバを設定、運用する必要がある

フィッシング詐欺対策

大量のフィッシングメールが届いている場合は、メールアドレス漏洩の可能性があるため「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」の「送信ドメイン認証に対応するメリット」を参考に、フィッシング対策の強化されているメールサービスのメールアドレスに切り替えることが推奨されている。

フィッシングサイトに認証情報を入力してしまった場合、攻撃者が認証情報を使用して公式サイトへログインし、ショートメッセージサービス(SMS)から二要素認証(2FA: Two-Factor Authentication)の認証コードを窃取してアカウントを乗っ取るなど、不正利用される事案が確認されている。身に覚えがない決済や登録変更の通知が送られてきた場合は、フィッシングメールではないことを確認した上で公式サイトのサポートへ相談することが望まれている。

メールサービスを提供する通信事業者にはこれまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うことや、迷惑メール対策の強化、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討を求めている。また、オンラインサービスを提供している事業者には、DMARCレポートを確認しながらポリシーをquarantineまたはrejectに変更することを求めている。

最後に、フィッシング対策協議会はフィッシングサイトやフィッシングメールを発見した際には同協議会まで報告してほしいと呼びかけている(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告」)。