フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/05 フィッシング報告状況」において、2025年5月のフィッシング報告状況を発表した。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/05 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/05 フィッシング報告状況

概要

2025年5月におけるフィッシング報告状況の注目される主な内容は次のとおり。

  • SBI証券をかたるフィッシング詐欺の報告件数が約23.3%と急増し、首位を維持した。次いでAppleが約13.3%とこちらも急増、対するAmazonは約6.8%と減少した。これらに続きANA、野村證券、VISAの報告が確認され、これらで全体の約59.3%を占めた。1,000件以上の報告を受けたブランドは31ブランドあり、全体の約95.4%を占めた
  • ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、クレジットカード系、証券系、金融(銀行)系ブランドをかたる文面の報告を多く受領した。宅配便の不在通知を装う文面の報告も継続している
  • 報告されたフィッシングサイトのURL(重複あり)は.comが約25.5%で最多となった。これに.goog(約24.8%)、.asia(約23.1%)、.cn(約8.0%)、.net(約4.4%)、.jp(約4.4%)が続いた。Google翻訳をオープンリダイレクトとして悪用するケースが引き続き多く確認され、約18.5%(重複なし)を占めた
  • 5月はフィッシング詐欺の報告件数が229,536件となり、前月から17,044件減少した。ゴールデンウィーク後半は4割近く減少し、一般からの報告も3割近く減少した。これは攻撃元地域の長期休暇が要因とみられる。4月以降、迷惑メールフィルターに検知されたとみられるメールは統計から除外している。5月の除外件数は約6万件、その他の除外メールも合わせると報告総数は32万件を超える
  • なりすましフィッシングメールの割合は前月から減少し約32.4%となった。DMARC(Domain-based Message Authentication, Reporting, and Conformance)によるフィルタリングを可能にしているドメインのなりすましは約14.1%と急減、DMARCポリシーがnoneまたはDMARC非対応のドメインのなりすましは約18.1%とわずかに減少した
  • メール本文に非表示かつ無意味な文字列を含ませたり、正規サイトのURL、無関係なURL、Unicode文字を使用したURLを混在させたりするなど、迷惑メールフィルターや解析ツールの検出を回避する試みが続いている。これらパターンは毎週のように変更され、メールフィルターなどで対策しても翌週にはすり抜けている
  • 先月に引き続き証券会社をかたるフィッシング詐欺が急増している。認証情報を窃取され、不正に株を売買されるなど被害が発生しており、金融庁、警察庁、日本証券業協会からも注意を喚起する情報が発表されている。この他にもApple IDやiCloudの返金手続きやカード情報更新、航空会社のマイレージ加算の案内を装うフィッシングメールが増加傾向にある

フィッシング詐欺対策

逆引き(PTRレコード)を設定していないIPアドレスからのフィッシングメール送信が多く確認されている。これら不審なサーバーを拒否するFCrDNS(Forward-confirmed reverse DNS)認証は海外において一般的なセキュリティ対策だが、国内では導入が遅れている。

フィッシング対策協議会はSPF/DKIM/DMARC認証をすべて通過し、FCrDNS認証のみ失敗するフィッシングメールを確認しており、対応の遅れが日本を積極的に狙う要因の一つとみられている。この状況を改善するためにFCrDNS認証による受信拒否、または再送制御(グレイリスト)や流量制限の実施の検討が望まれている。

認証サービスを提供する事業者にはパスキーの実装が推奨されている。多要素認証としてSMS認証を提供する場合は、スミッシング対策として「0005」から始まる国内モバイルキャリア共通のSMS発信用共通番号(共通ショートコード)などを使用し、メッセージにURLを記載せず、本物の入力画面照合用のキーワードを記載するなどセキュリティを強化し、利用者に啓発することが推奨されている。

利用者には「◯」や「□」の囲み文字、斜体や太字など見るからに不自然なリンクに警戒するよう呼びかけている。また、パスワード管理にパスワードマネージャーの利用を推奨し、パスワードマネージャーによる自動入力が機能しないWebサイトはフィッシングサイトの可能性が高いとしている。