フィッシング対策協議会(Council of Anti-Phishing Japan)は1月16日、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/12 フィッシング報告状況」において、2023年12月のフィッシング報告状況を発表した。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/12 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/12 フィッシング報告状況

12月のフィッシング詐欺の報告状況

2023年12月におけるフィッシング報告状況の注目される主な内容は次のとおり。

  • 12月はETC利用照会サービスをかたるフィッシング詐欺の報告が最も多く、報告数全体の約24.3%となった。Amazon、マイナポイント事務局、三井住友カードをかたるフィッシング詐欺の報告もそれぞれ1万件超えており、これらをあわせると全体の約69.4%を占めている。1,000件以上の報告があったブランドは11あり、これらで全体の約89.7%を占めた
  • SMSから誘導するスミッシングでは、宅配便関連の不在通知やAppleをかたりフィッシングサイトへ誘導する文面の報告が目立った。スマートフォンへのスミッシングではマルウェアの配布につながる不正アプリのインストールに誘導されることが多いため、SMSの文面に誘導されてアプリをインストールしないように注意する。また、可能であればアンチウイルスソフトウェアの導入を推奨する
  • 報告されたフィッシングサイトのURLは.comが55.3%ほどで最も多く、これに.dev(約16.8%)、.cn(約10.8%)、.top(約8.0%)、.xyz(約2.6%)、.net(約2.3%)が続いた。Cloudflare Workersのサブドメインの利用が増加したため、フィッシングサイトのURL件数は先月と比較して約60.8%増加、全体の37.2%を占めた
  • 調査用メールアドレスへ配信されたフィッシングメールのうち、50.2%ほどが実在するサービスのメールアドレスを使用した「なりすまし」であり、前月よりも増加傾向となっている
  • Gmailの「メール送信者のガイドライン」が更新された。また、「メール送信者のガイドラインに関するよくある質問」に今後のスケジュールが追記された。2024年2月から要件を満たさない一部のメールにエラー応答を開始。4月からはメールの拒否率を引き上げる予定
  • 12月も特殊なIPアドレスの表記やさまざまな飾り文字を使用したURLの偽装など、送信ドメインの検証を回避する試みが多く確認された
  • 12月はフィッシング詐欺の報告件数が90,792件となり、先月から6,444件増加。年末年始の移動シーズンを控え、交通サービス関連のフィッシング詐欺や、税金、公共料金の未払い請求を装うフィッシング詐欺が増加傾向となった。また、マイナポイント、マイナポータルをかたるフィッシング詐欺も発生している

フィッシング詐欺対策

大量のフィッシングメールが届いている場合は、メールアドレス漏洩の可能性があるため「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」を参考に、フィッシング対策の強化されているメールサービスのメールアドレスに切り替えることが推奨されている。

また、フィッシングサイトに認証情報を入力してしまった場合、攻撃者が認証情報を使用して公式サイトへログインし、ショートメッセージサービス(SMS: Short Message Service)から二要素認証(2FA: Two-Factor Authentication)の認証コードを窃取してアカウントを乗っ取るなど、不正利用される事案が確認されている。身に覚えがない決済や登録変更の通知が送られてきた場合は、フィッシングメールではないことを確認した上で公式サイトのサポートへ相談することが望まれている。

メールサービスを提供する通信事業者はこれまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うことや、迷惑メール対策を強化し、ユーザーへ迷惑メールフィルタの利用を促すことが求められている。また、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討も求めている。

フィッシング詐欺に使われているWebサイトは一見しただけで判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスして確認を行うことが望まれる。

フィッシング対策協議会は、フィッシングサイトやフィッシングメールを発見した際には同協議会まで報告してほしいと呼びかけている(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告」)。