フィッシング対策協議会(Council of Anti-Phishing Japan)は9月3日、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2021/08 フィッシング報告状況」において、2021年8月に同協議会に寄せられたフィッシング報告の状況を公表した。2021年8月のフィッシング報告は同7月と比べて18,390件増加した53,177件に上っており、過去1年間で最も多い月となった。フィッシングサイトのURLの件数や悪用されたブランドの件数も同様に増加しており、引き続き十分に注意する必要がある。

  • 2020年9月から2021年8月までにフィッシング対策協議会に寄せられたフィッシング報告件数の推移 - 引用:フィッシング対策協議会

    2020年9月から2021年8月までにフィッシング対策協議会に寄せられたフィッシング報告件数の推移 資料:フィッシング対策協議会

報告によると、フィッシングに悪用されたブランドのトップはAmazonで全体の約24.8%を占めており、これに次ぐ三井住友カード、エポスカード、イオンカード、PayPay銀行が上位5ブランドだったという。この5ブランドだけで報告数全体の約65.8%を占めており、Amazonを除くと金融系のブランドがフィッシングに悪用されやすいことがわかる。

ISPやホスティング事業者については、メールアカウントや管理者アカウントのIDやパスワードなどを詐取する目的でのフィッシング報告が増加している傾向にあるという。その他、ねんきんネット(日本年金機構)や特別定額給付金申請サイト(総務省)、コロナワクチンナビ(厚生労働省)を模した偽サイトへ誘導するフィッシングが登場したことも報告されている。

同協議会の調査用メールアドレス宛に届いたフィッシングメールのうち、約90.7%が差出人として正規のメールアドレスを使用した「なりすまし」フィッシングメールだったという傾向も明らかにされている。これは、受信者が目視で正規のメールと区別するのが難しいということを意味している。現在、日本で主に導入されているフィッシング対策は送信元を判断基準に使うSPF(Sender Policy Framework)だが、これだけでは対策として不十分であるため、より強固ななりすまし対策を実現するDMARC(Domain-based Message Authentication, Reporting, and Conformance)と呼ばれる認証プロトコルに対応した対策を導入することが推奨されている。

利用者サイドでは、普段使っているサービスを利用する際は、メールのリンクをクリックするのではなく正規のアプリやブックマークした正規のURLからサービスにログインするなど、日頃から十分に注意した行動を取る必要がある。特にクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの入力が求められる場合は、入力する前にフィッシングでないかどうかをもう一度確認するように、フィッシング対策協議会では呼びかけている。