フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/01 フィッシング報告状況」において、2025年1月のフィッシング報告状況を発表した。
1月のフィッシング被害の概況
2025年1月におけるフィッシング報告状況において。注目される主な内容は次のとおり。
- 1月はAmazonをかたるフィッシング詐欺の報告が首位を維持し、報告数全体の約22.3%を占めた。次いでPayPay、三井住友カード、えきねっと、佐川急便、JAバンクの報告が確認され、これらで全体の約53.4%を占めた。1,000件以上の報告があったブランドは21ブランドあり、全体の約92.6%を占めた
- SMS(Short Message Service)から誘導するスミッシングでは、銀行系およびクレジットカード系ブランドをかたる文面の報告を多く受領した。東京電力、宅配便の不在通知を装うスミッシングも継続している
- 報告されたフィッシングサイトのURLは.comが約47.5%で最多となった。これに.cn(約35.7%)、.shop(約3.8%)、.goog(約3.3%)、.net(約3.0%)、.top(約1.5%)、.sbs(約1.5%)、.in(約1.4%)が続いた。報告されたURL件数(重複なし)は1万2,826件だった。同じURLを使い回すケースやGoogle翻訳を悪用するケースが増加した
- 1月はフィッシング詐欺の報告件数が13万6,169件となり、前月から9万6,121件の急減となった。近年は旧正月(春節)と前後1週間の報告数が減少する傾向にあり、本年も1月下旬に報告数が減少した
- なりすましフィッシングメールの割合は約42.1%と増加した。DMARC(Domain-based Message Authentication, Reporting, and Conformance)によるフィルタリングを可能にしているドメインのなりすましが約26.4%と増加し、DMARCポリシーがnoneまたはDMARC非対応のドメインのなりすましが約15.6%と減少した
- 攻撃者は迷惑メール対策が弱く、DMARC受信側判定を実施していない事業者を標的に配信した可能性がある。また、使い捨てURLについては約半年間使用されていたタイプの報告が大きく減少しており、攻撃者の運用に何かしらの変更があったと推測される
フィッシング詐欺対策
1月も逆引き(PTRレコード)を設定していないIPアドレスからのメール送信が約97.9%と非常に高い水準を維持した。Gmail送信者ガイドラインは逆引き設定を必須としており、メールサービスを運用している組織には逆引き設定のないメールサーバーからのメールを受信しないよう検討することが望まれている。
メールサービスを提供する通信事業者にはこれまでと同様に、DMARCポリシーに従ってメールの配信を行うことや、迷惑メール対策の強化、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討が望まれている。
オンラインサービスを提供する事業者にはパスキーなど、従来のパスワードより安全な認証方式の採用が望まれている。また、クレジットカード決済に対応しているEC加盟店は、原則として2025年3月末までに「EMV 3-Dセキュア(3-Dセキュア2.0)」を導入する必要があるとして注意を呼びかけている(参考:「「クレジットカード・セキュリティガイドライン」が改訂されました (METI/経済産業省)」)。
フィッシング詐欺に使われているWebサイトは一見しただけでは判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザーに登録したブックマークなどからアクセスし、情報入力時にはURLを確認することが望まれる。