フィッシング対策協議会は4月5日、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2022/03 フィッシング報告状況」において、2022年3月に同協議会に寄せられたフィッシング報告の状況を公表した。2022年3月のフィッシング報告は8万2,380件で、2022年2月の4万8,611件から3万3,769件増加した。これまで最も報告件数が多かったのは2021年12月の6万3,159件だが、2022年3月はそれを大幅に上回り、2011年5月に同協会がフィッシング報告件数の公開を始めて以来最大となった。

  • 2021年4月から2022年3月までにフィッシング対策協議会に寄せられたフィッシング報告件数の推移 - 引用:フィッシング対策協議

    2021年4月から2022年3月までにフィッシング対策協議会に寄せられたフィッシング報告件数の推移 引用:フィッシング対策協議会

報告によると、フィッシングに悪用されたブランドのトップは全体の約21.5%を占めたAmazonで、前月の39.2%と比較すると割合は大きく減っている。2位はメルカリ、3位はえきねっと(JR東日本)で、この上位3ブランドで全体の約55%、1000件以上の報告を受けた上位18ブランドで全体の約88.7%を占めていたという。

フィッシングに悪用されたブランドは全部で105ブランドあり、これまでと同様にクレジットカードや銀行のブランドをかたるフィッシングが多数を占めたとのことだ。2022年3月の報告の特徴としては、JRグループ系ブランドをかたるフィッシングが急増して全体の約21.1%を占めたことや、モバイルキャリアをかたるフィッシングの報告が増加し前月の約4.2倍に上ったことなどが挙げられている。

SMSによるフィッシングでは、宅配便の不在通知のほか、モバイルキャリア、Amazon、クレジットカードブランドをかたる文面が報告されたという。また、悪名高いマルウェア「Emotet」のインストールへ誘導する添付ファイルつきメールの報告があったことも指摘されている。

ここ数カ月のレポートでは、送信元メールアドレスに正規サービスのドメインを用いた「なりすまし」フィッシングメールが多いことが指摘されてきたが、2022年3月も同様に多数の報告を受領したとのこと。現在、日本で主に導入されているフィッシング対策は送信元を判断基準に使うSPF(Sender Policy Framework)だが、これだけでは対策として不十分であるため、より強固ななりすまし対策を実現するDMARC(Domain-based Message Authentication, Reporting, and Conformance)と呼ばれる認証プロトコルに対応した対策を導入することが推奨されている。

利用者側としては、普段使っているサービスを利用する際、メールのリンクをクリックするのではなく正規のアプリやブックマークした正規のURLからサービスにログインするなど、日頃から十分に注意した行動を取る必要がある。特にクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの入力が求められるような場合は、入力する前にフィッシングでないかどうかをもう一度確認するように、フィッシング対策協議会では呼びかけている。

フィッシング詐欺に使われているWebサイトは正式なWebサイトの内容をコピーして作成されたものと見られ、一見しただけで判別することが難しいため注意が必要。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスするなどの操作を行い、確認を行うことが推奨されている。