フィッシング対策協議会(Council of Anti-Phishing Japan)は5月9日、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2022/04 フィッシング報告状況」において、2022年4月に同協議会に寄せられたフィッシング報告の状況を公表した。2022年4月のフィッシング報告は9万2,094件だった。前月の報告件数は8万2,380件で、これは2011年5月に同協会がフィッシング報告件数の公開を始めて以来の最大値だったが、4月はさらに9,714件の増加となった。
報告によると、フィッシングに悪用されたブランドのトップはauおよびau PAYで報告数全体の約22.4%を占めており、3月と比較すると約4.5倍に急増したという。次いで、2位がメルカリ、3位が長らくトップを取り続けていたAmazonとなり、この上位3ブランドで全体の約56.5%、1000件以上の報告を受けた上位15ブランドで全体の約88.7%を占めていたという。ただし、メルカリについては4月18日以降に配信量が激減し、月末頃にはほとんど報告が来なくなったことが伝えられている。
フィッシングに悪用されたブランドは全部で101ブランドあり、これまでと同様にクレジットカードや銀行のブランドをかたるフィッシングが多数を占めたとのことだ。2022年3月に急増傾向が伝えられていたJRグループ系ブランドをかたるフィッシングは全体の約11.0%となり、3月の21.1%より大幅に減少したという。
SMSによるフィッシングでは、前月と同様に宅配便の不在通知を装ったり、モバイルキャリア、Amazon、クレジットカードブランドをかたったりする文面が報告されたという。また、悪名高いマルウェア「Emotet」のインストールへ誘導するファイルが添付されたメールの報告も依然として多数確認されているとして、注意喚起が行われている。
ここ数カ月のレポートでは、送信元メールアドレスに正規サービスのドメインを使用した「なりすまし」フィッシングメールが多いことが指摘されてきたが、2022年3月も同様に多数の報告を受領したとのこと。現在日本で主に導入されているフィッシング対策は送信元を判断基準に使うSPF(Sender Policy Framework)だが、これだけでは対策として不十分であるため、より強固ななりすまし対策を実現するDMARC(Domain-based Message Authentication, Reporting, and Conformance)と呼ばれる認証プロトコルに対応した対策を導入することが推奨されている。
利用者側としては、普段使っているサービスを利用する際に、メールのリンクをクリックするのではなく正規のアプリやブックマークした正規のURLからサービスにログインするなど、日頃から十分に注意した行動を取る必要がある。特にクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの入力が求められるような場合は、入力する前にフィッシングでないかどうかをもう一度確認するように、同協議会では呼びかけている。
フィッシング詐欺に使われているWebサイトは正式なWebサイトの内容をコピーして作成されたものと見られ、一見しただけで判別することが難しいため注意が必要。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスするなどの操作を行い、確認を行うことが推奨されている。