フィッシング対策協議会(Council of Anti-Phishing Japan)は5月9日、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/04 フィッシング報告状況」において、2023年4月のフィッシングの被害状況を公表した。2023年4月のフィッシングの報告件数は9万2,932件で、2023年3月と比較して1万5,876件増加している。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/04 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/04 フィッシング報告状況

報告されている主な内容は次のとおり。

  • Amazonを偽るフィッシングが全体の約30.6%と再び増加に転じた
  • スミッシングは、宅配便関連の不在通知を装う文面のもの、Appleをかたるフィッシングサイトへ誘導するタイプのものが引き続き多かった。日本年金機構や厚生労働省、国土交通省、総務省をかたり、Vプリカでの支払いを要求する画面へ誘導するSMSも多く報告されている
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance)ポリシーに対応していない、またはDMARCポリシーがnoneのドメインを利用したなりすましメールによるフィッシングが多い状況が続いている
  • フィッシングメールの送信元IPアドレスの調査では、中国の通信事業者からの配信が全体の約88.3%を占めた。また逆引き設定がされていないIPアドレスからの送信は約96.5%を占めた

フィッシングメールで悪用されていた上位ブランドは次のとおり。

  1. Amazon(約30.6%)
  2. ファミペイ
  3. えきねっと
  4. Uber Eats
  5. ETC利用照会サービス

悪用されていたジャンルの上位は次のとおり。

  1. EC系(約32.2%)
  2. クレジット・信販系(約14.4%)
  3. 決済サービス系(約14.2%)
  4. 金融系(約11.5%)
  5. 交通系(約8.1%)
  6. デリバリーサービス系(約7.1%)
  7. オンラインサービス系(約6.6%)
  8. モバイル系(約2.4%)

悪用されていたトップレベルドメイン(TLD: top-level domain)は次のとおり。

  1. .com(約26.3%)
  2. .top(約19.6%)
  3. .dev(約19.3%)
  4. .cn(約9.1%)
  5. .ly(約4.9%)

フィッシング対策協議会では、こうしたフィッシング詐欺の被害に遭わないよう、次の対策を取ることを推奨している。

  • 大量のフィッシングメールを受信している場合、そのメールアドレスが漏洩していると認識するとともに、フィッシング対策機能が強化されているメールサービスのメールアドレスを取得し、登録されているメールアドレスを切り替えていくことを検討する
  • 身に覚えのないタイミングで認証コード通知SMSが届いた場合、パスワードを変更したり決済サービスの使用履歴を確認したりする
  • ログインを促すメールやSMSを受信した場合、正規のアプリやURLからサービスへログインを行い情報を確認するとともに、クレジットカード情報や個人情報、アカウント情報、ワンタイムパスワードの入力を求められた場合は一度立ち止まって内容をよく確認する
  • SMSのリンクからアプリのインストールは行わない
  • Google Playプロテクトや正規のウイルス対策アプリで不正なアプリがインストールされていないかを確認する
  • メールのリンクから決済サービスの認証画面に誘導された場合は一度立ち止まり、通常の決済方法と違う点がないかなど内容をよく確認する