フィッシング対策協議会(Council of Anti-Phishing Japan)は3月3日、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2022/02 フィッシング報告状況」において、2022年2月に同協議会に寄せられたフィッシング報告の状況を公表した。2022年2月のフィッシング報告は48,611件で、2022年1月の50,615件から2,004件減少したという。
-
2021年3月から2022年2月までにフィッシング対策協議会に寄せられたフィッシング報告件数の推移 引用:フィッシング対策協議会
報告によると、フィッシングに悪用されたブランドのトップは全体の約39.2%を占めたAmazonで、前月までと同様に他のブランドを大きく引き離している。2位はメルカリ、3位はJCBで、この上位3ブランドで全体の約56.6%、1000件以上の報告を受けた上位10ブランドで全体の約74.2%を占めていたという。
フィッシングに悪用されたブランドは全部で87ブランドあり、これまでと同様にクレジットカードや銀行のブランドをかたるフィッシングが多数を占めたとのことだ。その他には、SMSによるフィッシングではNTTドコモや宅配便の不在通知を装ったり、Amazonやクレジットカードブランドをかたったりする文面が報告されたという。また、2月には悪名高いマルウェア「Emotet」のインストールへ誘導する添付ファイルつきメールの報告があったことも指摘されている。
なお、2月は第1週目が中国の春節期間にあたり、その間はフィッシングメールの配信がそれまでの約60%程に減少したものの、春節明けからは再び大量のメール配信が始まったという。
ここ数カ月のレポートでは、送信元メールアドレスに正規サービスのドメインを使用した「なりすまし」フィッシングメールが多いことが指摘されてきたが、2022年2月も同様に多数の報告を受領したとのこと。現在日本で主に導入されているフィッシング対策は送信元を判断基準に使うSPF(Sender Policy Framework)だが、これだけでは対策として不十分であるため、より強固ななりすまし対策を実現するDMARC(Domain-based Message Authentication, Reporting, and Conformance)と呼ばれる認証プロトコルに対応した対策を導入することが推奨されている。
利用者側としては、メールのリンクをクリックするのではなく正規のアプリやブックマークした正規のURLからサービスにログインするなど、日頃から十分に注意した行動をとる必要がある。特にクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの入力が求められるような場合は、入力する前にフィッシングでないかどうかをもう一度確認するよう、フィッシング対策協議会では呼びかけている。
フィッシング詐欺に使われているWebサイトは正式なWebサイトの内容をコピーして作成されたものと見られ、一見しただけで判別することが難しいため注意が必要。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスするなどの操作を行い、確認を行うことが推奨されている。
