フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/03 フィッシング報告状況」において、2023年3月のフィッシングの被害状況を公表した。2023年3月のフィッシングの報告件数は7万7,056件で、2023年2月と比較して1万8,012件増加している。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/03 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/03 フィッシング報告状況

報告されている主な内容は次のとおり。

  • Amazonを偽るフィッシングが前月(約28.0%)から引き続き減少傾向にある
  • スミッシングは、宅配便関連の不在通知を装う文面のもの、Appleをかたるフィッシングサイトへ誘導するタイプのものが引き続き多かった。日本年金機構や厚生労働省、国税庁をかたり、Vプリカでの支払いを要求する画面へ誘導するSMSも多く報告されている
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance)ポリシーをrejectまたはquarantineに変更したブランドはフィッシング報告が減少傾向。DMARCに対応していない、または、DMARCポリシーがnoneのブランドはなりすましメールによるフィッシングが多い状況が続いている
  • フィッシングメールの送信元IPアドレスの調査では、中国の通信事業者からの配信が全体の約74.6%を占めた。また国内通信事業者からのフィッシングメールが増加した

フィッシングメールで悪用されていた上位ブランドは次のとおり。

  1. Amazon(約22.1%)
  2. 三井住友信託銀行
  3. 三井住友銀行
  4. えきねっと
  5. イオンカード

悪用されていたジャンルの上位は次のとおり。

  1. 金融系(約29.1%)
  2. EC系(約26.5%)
  3. クレジット・信販系(約23.9%)
  4. 交通系(約7.7%)
  5. オンラインサービス系(約5.5%)

悪用されていたトップレベルドメイン(TLD: top-level domain)は次のとおり。

  1. .dev(約24.6%)
  2. .com(約22.0%)
  3. .cn(約10.3%)
  4. .top(約10.2%)
  5. .ly(約8.0%)
  6. .monster(約4.4%)

フィッシング対策協議会では、こうしたフィッシング詐欺の被害に遭わないよう、次の対策を取ることを推奨している。

  • すでに大量のフィッシングメールを受信している場合、すでにそのメールアドレスが漏洩していることを認識するとともに、フィッシング対策機能が強化されているメールサービスのメールアドレスを取得し、登録されているメールアドレスを切り替えていくことを検討する
  • 身に覚えのないタイミングで認証コード通知SMSが届いた場合には、パスワードを変更したり決済サービスの使用履歴を確認したりする
  • ログインを促すメールやSMSを受信した場合、正規のアプリやURLからサービスへログインを行い情報を確認するとともに、クレジットカード情報や個人情報、アカウント情報、ワンタイムパスワードの入力を求められた場合には一度立ち止まって内容をよく確認する
  • SMSのリンクからアプリのインストールは行わない
  • Google Playプロテクトや正規のウイルス対策アプリで不正なアプリがインストールされていないかを確認する
  • メールのリンクから決済サービスの認証画面に誘導された場合には一度立ち止まり、いつもの決済方法と違う点がないかなど内容をよく確認する