フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/10 フィッシング報告状況」において、2023年10月のフィッシング報告状況を発表した。
2023年10月のフィッシング報告状況において、注目される点は次のとおり。
- AmazonおよびETC利用照会サービスをかたるフィッシング詐欺の報告が各5万件を超え、あわせて報告数全体の約69.0%となった。これにマイナポイント事務局、三井住友カードをかたるフィッシング詐欺の報告が各1万件を超えて続き、これらをあわせると全体の約88.0%を占めている。1,000件以上の報告があったブランドは10ブランドあり、これらで全体の約95.1%を占めた
- SMSから誘導するスミッシングでは、金融系ブランドおよびAmazonをかたる文面の報告を多く受領した。宅配便関連の不在通知を装う文面や、Appleをかたるフィッシングサイトへ誘導するタイプの報告も続いている
- 報告されたフィッシングサイトのURLは.comが75.5%ほどで最も多く、これに.cn(約5.9%)、.top(約1.4%)、.sbs(約1.3%)、.icu(約1.3%)、.shop(約1.3%)、.cfd(約1.2%)が続いた
- 調査用メールアドレスへ配信されたフィッシングメールのうち、65.5%ほどが実在するサービスのメールアドレスを使用した「なりすまし」であり、多い状況が続いている
- 先月に引き続き、マイナポイント事務局をかたるフィッシング詐欺に関する報告や相談を多く受領した。申請締め切りを10月末(実際は9月末)と虚偽の記載をし、担当省庁のメールアドレスになりすますケースも確認され、信用して入力してしまったという報告が続いている
- 7月以降減少傾向にあったフィッシング報告が再び増加し、10月は過去最高の156,804件の報告が寄せられ、先月から約34.0%増加した
- Gmailは2023年10月3日に「メール送信者のガイドライン - Gmail ヘルプ」を公開した。Gmailアカウント宛てにメールを送信する場合はこのガイドラインに沿った対応が必要となる。ガイドラインから逸脱したメールを配送すると、送信レートの制限やメールのブロック、迷惑メールに振り分けるなどの対応がとられる。2024年2月1日以降にガイドラインの適用が予定されている
同協議会は大量のフィッシングメールが届いている場合は、メールアドレスが漏洩している事実を認識して「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」を参考に、正規のメールにアイコンを表示するなどのフィッシング対策が強化されているメールサービスのメールアドレスに切り替えることを推奨している。
メールサービスを提供する通信事業者に対しては、これまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うことや、迷惑メール対策を強化し、ユーザへ迷惑メールフィルタの利用を促すよう求めている。
フィッシング詐欺に使われているWebサイトは一見しただけで判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスするなどの操作を行い、確認を行うことが望まれる。