フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/12 フィッシング報告状況」において、2024年12月のフィッシング報告状況を発表した。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/12 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/12 フィッシング報告状況

概要

2024年12月におけるフィッシング報告状況の注目される主な内容は次のとおり。

  • 12月はAmazonをかたるフィッシング詐欺の報告が減少し、報告数全体の約16.3%を占めた。次いでえきねっと、PayPay、佐川急便、国税庁、マスターカード、Apple、三井住友カード、JAバンク、JCBの報告が1万件以上確認され、これらで全体の約73.7%を占めた。1,000件以上の報告があったブランドは27ブランドあり、全体の約96.8%を占めた
  • ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、クレジットカード系ブランドおよび東京電力をかたる文面の報告を多く受領した。金融系、宅配便の不在通知を装うスミッシングも継続している
  • 報告されたフィッシングサイトのURLは.cnが約54.5%で最多となった。これに.com(約36.8%)、.shop(約4.0%)、.goog(約1.2%)が続いた。報告されたURL件数(重複なし)は14,327件だった。短縮URLやリダイレクト機能のあるサービスの不正利用件数は減少傾向だが、Google翻訳を悪用するケースを確認している
  • 12月はフィッシング詐欺の報告件数が過去最多の23万2,290件となり、前月から53,697件の急増となった。要因として使い捨てURLのばらまきが考えられ、調査用メールアドレスへのフィッシングメールも約5倍に増加した
  • なりすましフィッシングメールの割合は先月と比較して半分以下の約32.9%と大きく減少した。メール受信時にDMARC(Domain-based Message Authentication, Reporting, and Conformance)によるフィルタリングを実施していないISPや企業があり、DMARCポリシーをreject(拒否)として運用しているドメインのなりすましの継続がみられる
  • フィッシングサイトへの誘導の手口としては先月に続き、抽選、支払い利用、紹介、新規契約、Webサイトへのログイン等によるポイントプレゼントなど、キャンペーンを装う文面が多く報告された。毎日のように届く正規キャンペーンのリンクを差し替えたフィッシングメールは判別が難しく、送信ドメイン認証のブランドロゴや電子署名などを確認することが望まれる

フィッシング詐欺対策

12月は逆引き(PTRレコード)を設定していないIPアドレスからのメール送信が約97.5%と非常に高い水準を維持した。多くは海外の特定の通信事業者のIPアドレスからで、12月は特に配信量が増加した。Gmail送信者ガイドラインは逆引き設定を必須としており、メールサービスを運用している組織は逆引き設定のないメールサーバからのメールを受信しないよう検討することが望まれている。

メールサービスを提供する通信事業者にはこれまでと同様に、DMARCポリシーに従ってメールの配信を行うことや、迷惑メール対策の強化、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討が望まれている。

オンラインサービスを提供する事業者には、パスキーなど従来のパスワードより安全な認証方式の採用が望まれている。また、クレジットカード決済に対応しているEC加盟店は、原則として2025年3月末までに「EMV 3-Dセキュア(3-Dセキュア2.0)」を導入する必要があるとして注意を呼びかけている(参考:「「クレジットカード・セキュリティガイドライン」が改訂されました (METI/経済産業省)」)。

フィッシング詐欺に使われているWebサイトは一見しただけでは判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザーに登録したブックマークなどからアクセスし、情報入力時にはURLを確認することが望まれる。