フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/04 フィッシング報告状況」において、2025年4月のフィッシング報告状況を発表した。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/04 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/04 フィッシング報告状況

概要

2025年4月におけるフィッシング報告状況の注目される主な内容は次のとおり。

  • SBI証券をかたるフィッシング詐欺の報告が約11.3%と急増し首位に浮上した。Amazonをかたるフィッシング詐欺は約10.7%と大きく減少。次いで野村證券、VISA、Apple、ANA、マネックス証券、東京ガスの報告が確認され、これらで全体の約54.8%を占めた。1,000件以上の報告を受けたブランドは31ブランドあり、全体の約95.6%を占めた
  • ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、クレジットカード系、銀行系、電力・ガス系ブランドをかたる文面の報告を多く受領した。宅配便の不在通知を装う文面の報告も継続している
  • 報告されたフィッシングサイトのURL(重複あり)は.comが約32.3%で最多となった。これに.cn(約28.4%)、.asia(約14.2%)、.goog(約5.1%)、.net(約4.7%)、.top(約3.1%)、.shop(約2.1%)、.cc(約1.6%)、.tokyo(約1.3%)が続いた。ドメインを使用せず、IPアドレス(2進数、8進数、16進数表記を含む)を使用するケース(約1.2%)も確認されている
  • 4月はフィッシング詐欺の報告件数が24万6,580件となり、前月から3,356件減少した。ほぼ横ばいとなっているが、4月の統計以降は迷惑メールフィルタで検知されたとみられるフィッシングメールを除外している。除外した報告件数は約10.5万件で、合計すると35万件を超え過去最多の報告件数となる
  • なりすましフィッシングメールの割合は前月から減少し約41.3%となった。DMARC(Domain-based Message Authentication, Reporting, and Conformance)によるフィルタリングを可能にしているドメインのなりすましは約21.2%、DMARCポリシーがnoneまたはDMARC非対応のドメインのなりすましは約20.1%と、どちらも前月より減少した
  • メール本文に非表示かつ無意味な文字列を含ませたり、正規サイトのURL、無関係なURL、Unicode文字を使用したURLを混在させたりなど、迷惑メールフィルタや解析ツールの検出を回避する試みが続いている。これらパターンは毎週のように変更され、メールフィルターなどで対策しても翌週にはすり抜けている
  • 証券会社をかたるフィッシング詐欺が急増している。認証情報を窃取され、不正に株を売買されるなど被害が発生しており、金融庁、警察庁、日本証券業協会からも注意を喚起する情報が発表されている。被害の拡大を受け、各証券会社は多要素認証(MFA: Multi-Factor Authentication)を必須化するなど対策を行っているが、この状況を悪用する多要素認証設定依頼や補償に関するフィッシング詐欺が多数確認されている

フィッシング詐欺対策

報告によると逆引き(PTRレコード)を設定していないIPアドレスからのフィッシングメール送信が約83.5%と高い水準を維持している。Gmail送信者ガイドラインは逆引き設定を必須としており、正規のメールサービスの多くは逆引き設定を完了していると考えられている。

つまり、逆引き設定のないIPアドレスから送信されるメールは無条件でフィッシングメールとみなすことができる。そこでメールサービスを運用している組織には、逆引き設定のないサーバーからのメールの受信拒否、または再送制御(グレイリスト)や流量制限の実施の検討が望まれている。

認証サービスを提供する事業者にはパスキーの実装が推奨されている。多要素認証としてSMS認証を提供する場合は、スミッシング対策として「0005」から始まる国内モバイルキャリア共通のSMS発信用共通番号(共通ショートコード)などを使用し、メッセージにURLを記載せず、用途や本物の入力画面照合用のキーワードを記載するなどセキュリティを強化し、利用者に啓発することが推奨されている。

利用者には「◯」や「□」の囲み文字、斜体や太字など見るからに不自然なリンクに警戒するよう呼びかけている。また、パスワード管理にパスワードマネージャーの利用を推奨し、パスワードマネージャーによる自動入力が機能しないWebサイトはフィッシングサイトの可能性が高いとしている。