フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/05 フィッシング報告状況」において、2023年5月のフィッシングの被害状況を公表した。2023年5月のフィッシングの報告件数は11万3,789件で、2023年4月と比較して2万857件増加している。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/05 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/05 フィッシング報告状況

報告されている主な内容は次のとおり。

  • ファミペイを偽るフィッシングが全体の約21.5%と最も多く、セゾンカード、Amazon、イオンカードを偽るフィッシングの報告をあわせると、全体の約60.0%を占めた
  • スミッシングは、金融系ブランドをかたる文面が増加。宅配便関連の不在通知を装う文面のもの、Appleをかたるフィッシングサイトへ誘導するタイプのものも多く報告されている
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance)ポリシーに対応していない、またはDMARCポリシーがnoneのドメインを利用したなりすましメールによるフィッシングが77.4%と増加傾向が続いている
  • フィッシングメールの送信元IPアドレスの調査では、中国の通信事業者からの配信が全体の約94.6%を占めた。また逆引き設定がされていないIPアドレスからの送信は約99.0%を占めた
  • 2023年5月のフィッシング報告数が過去最高となった

フィッシングメールで悪用されていた上位ブランドは次のとおり。

  1. ファミペイ(約21.5%)
  2. セゾンカード
  3. Amazon
  4. イオンカード

悪用されていたジャンルの上位は次のとおり。

  1. クレジット・信販系(約38.3%)
  2. 決済サービス系(約21.9%)
  3. EC系(約15.8%)
  4. 金融系(約10.7%)
  5. 交通系(約4.8%)
  6. オンラインサービス系(約3.7%)
  7. 公共サービス系(約2.1%)

悪用されていたトップレベルドメイン(TLD: top-level domain)は次のとおり。

  1. .cn(約32.9%)
  2. .com(約28.0%)
  3. .top(約17.9%)
  4. .cyou(約4.8%)
  5. .asia(約4.1%)

フィッシング対策協議会では、こうしたフィッシング詐欺の被害に遭わないよう、次の対策を取ることを推奨している。

  • すでに大量のフィッシングメールを受信している場合、すでにそのメールアドレスが漏洩していることを認識するとともに、フィッシング対策機能が強化されているメールサービスのメールアドレスを取得し、登録されているメールアドレスを切り替えていくことを検討する
  • 身に覚えのないタイミングで認証コード通知SMSが届いた場合には、パスワードを変更したり決済サービスの使用履歴を確認したりする
  • ログインを促すメールやSMSを受信した場合、正規のアプリやURLからサービスへログインを行い情報を確認するとともに、クレジットカード情報や個人情報、アカウント情報、ワンタイムパスワードの入力を求められた場合には一度立ち止まって内容をよく確認する
  • SMSのリンクからアプリのインストールは行わない
  • Google Playプロテクトや正規のウイルス対策アプリで不正なアプリがインストールされていないか確認を行う
  • メールのリンクから決済サービスの認証画面に誘導された場合には一度立ち止まり、いつもの決済方法と違う点がないかなど内容をよく確認する

フィッシング詐欺は主な攻撃ベクトルであり続けており、引き続き注意をする必要がある。