フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/03 フィッシング報告状況」において、2025年3月のフィッシング報告状況を発表した。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/03 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/03 フィッシング報告状況

概要

2025年3月におけるフィッシング報告状況において、注目すべき内容は次のとおり。

  • Amazonをかたるフィッシング詐欺の報告が首位を維持し、報告数全体の約22.5%を占めた。次いでApple、ANA、VISAの報告が確認され、これらで全体の約58.2%を占めた。1,000件以上の報告を受けたブランドは35ブランドに増加、全体の約97.2%を占めた
  • ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、クレジットカード系および銀行系ブランドをかたる文面の報告を多く受領した。宅配便の不在通知を装う文面の報告も継続している
  • 報告されたフィッシングサイトのURLは.comが約36.3%で最多となった。これに.cn(約27.5%)、.net(約11.1%)、.goog(約6.7%)、.xyz(約6.2%)が続いた。Google翻訳をオープンリダイレクトとして悪用するケースの増加が続いており、前月からさらに約1.2倍増となった
  • 3月はフィッシング詐欺の報告件数が249,936件となり、前月から108,713件増加した。これは昨年12月の記録を超える過去最多の報告件数となる。要因としては類似した文面を用いたフィッシングメールの継続配信、迷惑メールフィルター等を回避するフィッシングメールの増加が考えられる
  • なりすましフィッシングメールの割合は前月からわずかに減少し約63.2%となった。DMARC(Domain-based Message Authentication, Reporting, and Conformance)によるフィルタリングを可能にしているドメインのなりすましは約29.8%、DMARCポリシーがnoneまたはDMARC非対応のドメインのなりすましは約33.4%と、どちらも前月より減少した
  • 3月はiPhoneの新機種発売に合わせたとみられるフィッシング、引っ越しや旅行シーズンを狙ったとみられるガス会社、宅配系、航空会社をかたるフィッシング、証券会社をかたるフィッシングが増加した
  • 証券会社をかたるフィッシングではアカウント情報を窃取され、株の不正売買による被害が発生した。証券会社が注意喚起のメールを送信すると、このメールをコピーしたフィッシングメールが送信された

フィッシング詐欺対策

メールサービスを運用している組織には逆引き設定のないメールサーバからのメールを受信しないよう検討することが望まれている。Gmail送信者ガイドラインは逆引き設定を必須としており、正規のメールサービスの多くは逆引き設定を完了していると考えられている。

認証サービスを提供する事業者にはパスキーの実装を推奨している。また、多要素認証(MFA: Multi-Factor Authentication)としてSMS認証を提供する場合は、スミッシング対策として「0005」から始まる国内モバイルキャリア共通のSMS発信用共通番号(共通ショートコード)などを使用し、メッセージにURLを記載せず、用途や本物の入力画面照合用のキーワードを記載するなどセキュリティを強化し、利用者に啓発することを推奨している。

利用者には「◯」や「□」の囲み文字、斜体や太字など見るからに不自然なリンクに警戒するよう呼びかけている。また、パスワード管理にパスワードマネージャーの利用を推奨し、パスワードマネージャーによる自動入力が機能しないWebサイトはフィッシングサイトの可能性が高いとしている。