フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/11 フィッシング報告状況」において、2024年11月のフィッシング報告状況を発表した。
フィッシング詐欺の報告件数は178,593件となり、前月から2,850件減少のほぼ横ばいとなった。
-
フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/11 フィッシング報告状況
概要
2024年11月におけるフィッシング報告状況の注目される主な内容は次のとおり。
- 11月はAmazonをかたるフィッシング詐欺の報告が減少し、報告数全体の約22.9%を占めた。次いでJCB、マスターカード、えきねっと、PayPayの報告が1万件以上確認され、これらで全体の約57.1%を占めた。1,000件以上の報告があったブランドは24ブランドあり、全体の約94.0%を占めた
- ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、クレジットカード系ブランドおよび東京電力をかたる文面の報告を多く受領した。金融系、宅配便の不在通知を装うスミッシングも継続している
- 報告されたフィッシングサイトのURLは.comが約42.5%で最多となった。これに.cn(約36.4%)、.top(約9.1%)、.co(約1.8%)、.goog(約1.5%)、.chou(約1.5%)が続いた。報告されたドメイン数は11,700件。報告件数が100回以上のドメイン名を含むURLは全体の約45.3%を占め、報告回数10回以下は約14.8%を占めた
- 11月はフィッシング詐欺の報告件数が178,593件となり、前月から2,850件減少のほぼ横ばい。一部事業者のドメインになりすましてフィッシングメールを大量送信する状況が続いている。被害を最小に抑えるため、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーをrejectに設定して運用することが望まれている
- 調査用メールアドレス宛に届いたフィッシングメールのうち、約75.1%が実在するサービスのメールアドレス(ドメイン名)を使用した「なりすまし」で、同様のフィッシングメールが多く観測されている
- フィッシングサイトへの誘導の手口として、プレゼントキャンペーンに勧誘する文面が先月に続き多く報告されている。毎日のように届く正規キャンペーンのリンクを差し替えたフィッシングメールは判別が難しく、送信ドメイン認証のブランドロゴや電子署名などを確認することが望まれる
フィッシング詐欺対策
2024年11月は、逆引き(PTRレコード)を設定していないIPアドレスからのメール送信が約85.9%と、高い水準を維持している。特に大量配信される不正メールは逆引き設定のないケースが多くみられる。Gmail送信者ガイドラインは逆引き設定を必須としており、メールサービスを運用している組織には、逆引き設定のないメールサーバーからのメールを受け取らないよう検討することが望まれている。
メールサービスを提供する通信事業者にはこれまでと同様に、DMARCポリシーに従ってメールの配信を行うことや、迷惑メール対策の強化、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討が望まれている。また、オンラインサービスを提供している事業者には、DMARCレポートを確認しながらポリシーをrejectに変更することが推奨されている。
フィッシング詐欺に使われているWebサイトは一見しただけでは判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザーに登録したブックマークなどからアクセスし、情報入力時にはURLを確認することが望まれる。
Ankerモバイルバッテリーがリコール
