フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/07 フィッシング報告状況」において、2024年7月のフィッシング報告状況を発表した。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/07 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/07 フィッシング報告状況

7月の主要なフィッシング被害

2024年7月におけるフィッシング報告状況において、注目される主な内容は次のとおり。

  • 2024年7月はヤマト運輸をかたるフィッシング詐欺の報告が急増し、報告数全体の約30.6%を占めトップとなった。次いでAmazon、東京電力、三井住友カード、イオンカードの報告が1万件以上確認され、これら報告を合わせると全体の約82.6%を占める。1,000件以上の報告があったブランドは14ブランドあり、これらで全体の約97.1%を占めた
  • ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、これまでと異なり金融系ブランドや東京電力をかたる文面の報告を受領した
  • 6月からGoogleのリッチコミュニケーションサービス(RCS: Rich Communication Services)を使用したフィッシングメッセージの報告が増加している。ブランド名を設定したグループを作成し、海外の電話番号から送信する事案を確認している。国内のサービス事業者がグループチャットを使用して重要な連絡をとることはないと考えられるため、このようなメッセージはフィッシング詐欺として扱うことが推奨される
  • 報告されたフィッシングサイトのURLは.cnが約50.0%で最多となった。これに.com(約36.8%)、.net(約3.1%)、.dev(約2.8%)が続いた。一部の.cnドメインはランダム文字列のサブドメインを使用したり、稼働と停止を繰り返したりしている。7月は独自ドメインの使用が多く、短縮URLやリダイレクトサービスの使用は減少した
  • 調査用メールアドレスへ配信されたフィッシングメールのうち、約53.4%が実在するサービスのメールアドレスを使用した「なりすまし」であり、前月とほぼ同じ水準を維持している
  • 2024年7月はフィッシング詐欺の報告件数が17万7,855件となり、前月から33,695件の増加となった。この報告件数は過去最多となる
  • 正規のキャンペーンメールなどをコピーしてリンク先を差し替えたフィッシングメールが確認されている。このようなメールは受信者の氏名などを省略するが、違和感に気づきにくいため判別が困難となっている
  • メール本文に非表示のゴミ文字列や正規のURLを埋め込んだり、Unicode文字列を用いてURLを記述するなど、セキュリティソリューションの検知を回避する試みが続いている

フィッシング詐欺対策

大量のフィッシングメールが届いている場合は、メールアドレスが漏洩している可能性がある。このような場合、「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」の「送信ドメイン認証に対応するメリット」を参考に、フィッシング対策の強化されているメールサービスのメールアドレスに切り替えることが推奨されている。

また、基本的なフィッシング対策として、ログインを求めるメールやメッセージを受信した際には、本文に記載されたリンクには触れず、正規アプリまたはブックマーク済みの正規URLからサービスにログインすることが推奨されている。クレジットカード情報、認証コード、口座情報、ワンタイムパスワードなどを入力する際は、正規サイトにアクセスしているか毎回URLを確認するようにする。

メールサービスを提供する通信事業者にはこれまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うことや、迷惑メール対策の強化、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討を求めている。また、オンラインサービスを提供している事業者には、DMARCレポートを確認しながらポリシーをrejectに変更することを求めている。

最後に、フィッシング対策協議会はフィッシングサイトを発見した場合や、フィッシングメール、不審なメール、不審なSMSメッセージを受信した場合に同協議会まで報告してほしいと呼びかけている(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | フィッシングの報告」)。