フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/09 フィッシング報告状況」において、2023年9月のフィッシング報告状況を発表した。
2023年9月のフィッシング報告状況において注目される主な内容は次のとおり。
- 前月に引き続き、Amazonをかたるフィッシング詐欺の報告が増加しており、報告数全体の約40.8%を占めた。以降、ETC利用照会サービス、三井住友カード、Apple、マイナポイント事務局を偽るフィッシング詐欺が続いており、これらを合わせると全体の約71.3%に達している。1,000件以上の報告があったブランドは17ブランドあり、これらで全体の約93.8%を占めた
- SMSから誘導するスミッシングでは、金融系ブランドおよびAmazonをかたる文面の報告を多く受領した。宅配便関連の不在通知を装う文面や、Appleをかたるフィッシングサイトへ誘導するタイプの報告も続いている
- 報告されたフィッシングサイトのURLは.comが53.3%ほどで最も多く、これに.cn(約14.7%)、.cc(約5.5%)、.xyz(約4.5%)、.top(約3.4%)、.shop(約2.6%)、.cfd(約2.3%)、.jp(約1.7%)、.buzz(約1.6%)が続いた
- 調査用メールアドレスへ配信されたフィッシングメールの送信元IPアドレスの調査では、全体の約86.1 %が中国の通信事業者からの配信だった。新たに構築したと思われるクラウド系メール配信インフラから大量のフィッシングメールが配信されていることを確認している
- DMARC受信側対応を行っていない(DMARCポリシがrejectまたはquarantineのメールを素通しする)メールサービスの利用者からの報告の割合が増えている
- 9月はマイナポイント事務局を偽るフィッシング詐欺に関する報告や相談を多く受領した。9月末がマイナポイント受け取り申請の期限であったことから、つい情報を入力してしまったという報告もあった
- フィッシング報告件数は先月から約14.9%増加した
同協議会は大量のフィッシングメールが届いている場合は、メールアドレスが漏洩している事実を認識して「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」を参考に、正規メールにアイコンを表示するなどのフィッシング対策が強化されているメールサービスのメールアドレスに切り替えることを推奨している。
メールサービスを提供する通信事業者にはこれまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシに従ってメールの配信を行うことや、迷惑メール対策を強化し、ユーザへ迷惑メールフィルターの利用を促すよう求めている。