フィッシング対策協議会(Council of Anti-Phishing Japan)は、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/02 フィッシング報告状況」において、2025年2月のフィッシング報告状況を発表した。
-
フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/02 フィッシング報告状況
概要
2025年2月におけるフィッシング報告状況の注目される主な内容は次のとおり。
- Amazonをかたるフィッシング詐欺の報告が首位を維持し、報告数全体の約28.3%を占めた。次いでPayPay、Apple、オリコ、NHKの報告が確認され、これらで全体の約55.5%を占めた。1,000件以上の報告があったブランドは22ブランドあり、全体の約91.0%を占めた
- ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、クレジットカード系および銀行系ブランドをかたる文面の報告を多く受領した。宅配便の不在通知を装うスミッシングも継続している
- 報告されたフィッシングサイトのURLは.comが約45.0%で最多となった。これに.cn(約33.7%)、.goog(約9.0%)、.net(約5.4%)、.shop(約2.4%)、.in(約1.1%)、.sbs(約1.0%)が続いた。Google翻訳をオープンリダイレクトとして悪用するケースが急増し、1月の約2.8倍に達した
- 2月はフィッシング詐欺の報告件数が141,223件となり、前月から5,054件の増加となった。旧正月前後の報告数は激減したが、その後急増し、全体として増加した
- なりすましフィッシングメールの割合は約69.0%と急増した。DMARC(Domain-based Message Authentication, Reporting, and Conformance)によるフィルタリングを可能にしているドメインのなりすましが約32.6%と増加し、DMARCポリシーがnoneまたはDMARC非対応のドメインのなりすましも約36.4%とこちらも増加した
- 攻撃者は従来の迷惑メールフィルターや解析ツール等の検知を回避する手法を使用している。そのため、迷惑メール対策の弱い企業や組織、ISPなどを利用しているユーザーから大量の報告が寄せられた
フィッシング詐欺対策
2月も逆引き(PTRレコード)を設定していないIPアドレスからのメール送信が約91.9%と非常に高い水準を維持した。Gmail送信者ガイドラインは逆引き設定を必須としており、メールサービスを運用している組織には逆引き設定のないメールサーバーからのメールを受信しないよう検討することが望まれている。
メールサービスを提供する通信事業者にはこれまでと同様に、DMARCポリシーに従ってメールの配信を行うことや、迷惑メール対策の強化、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討が望まれている。
オンラインサービスを提供する事業者にはパスキーなど、従来のパスワードより安全な認証方式の採用が望まれている。また、クレジットカード決済に対応しているEC加盟店は、原則として2025年3月末までに「EMV 3-Dセキュア(3-Dセキュア2.0)」を導入する必要があるとして注意を呼びかけている(参考:「「クレジットカード・セキュリティガイドライン」が改訂されました (METI/経済産業省)」)。
フィッシング詐欺に使われているWebサイトは一見しただけでは判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクから辿るのではなく、公式アプリやWebブラウザーに登録したブックマークなどからアクセスし、情報入力時にはURLを確認することが望まれる。
クラウドセキュリティ「HENNGE One」、ゼロトラスト戦略を実現する脱VPNなど3つの新機能を拡充
