フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/06 フィッシング報告状況」において、2025年6月のフィッシング報告状況を発表した。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/06 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/06 フィッシング報告状況

フィッシング報告の概要

2025年6月におけるフィッシング報告状況のポイントは次のとおり。

  • Appleをかたるフィッシング詐欺の報告が約16.4%と増加し首位に浮上した。前月首位のSBI証券は約11.3%と大きく減少。次いでANA、Amazon、NTTドコモの報告が確認され、これらで全体の約50.5%を占めた。1,000件以上の報告を受けたブランドは27ブランドあり、全体の約94.0%を占めた
  • ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、クレジットカード系、電力系ブランドをかたる文面の報告を多く受領した。宅配便の不在通知を装う文面の報告も継続している
  • 報告されたフィッシングサイトのURL(重複あり)は.cnが約26.6%と急増した。これに.com(約24.0%)、.asia(約14.1%)、.top(約8.8%)、.cc(約5.7%)が続いた。Google翻訳をオープンリダイレクトとして悪用するケースが引き続き多く確認され、約14.0%(重複なし)を占めた
  • 6月はフィッシング詐欺の報告件数が192,870件となり、前月から36,666件減少した。各証券会社が実施した多要素認証(MFA: Multi-Factor Authentication)の必須化などが功を奏し、攻撃の減少につながったとみられる。しかしながら、各社が送付した注意喚起や多要素認証設定依頼、補償に関するメールをまねるフィッシングメールが確認され、被害が継続している
  • 証券会社関連を除くと、Apple IDやiCloudの更新手続き、決済(カード)情報更新、航空会社のマイレージ加算、高級ホテルやレストランの当選案内、電気/ガス料金未納、未加算ポイントの手続き、海外でのカード利用確認、検知による利用制限、月額請求、認証情報更新、宅配便配達不能通知などを装うフィッシングメールが確認されている
  • なりすましフィッシングメールの割合は前月から増加して約38.7%となった。DMARC(Domain-based Message Authentication, Reporting, and Conformance)によるフィルタリングを可能にしているドメインのなりすましは約9.7%と急減、対してDMARCポリシーがnoneまたはDMARC非対応のドメインのなりすましは約29.0%と急増した
  • メール本文がなくメールアドレスの到達性を確認していると思われるメールや、正規の差出人や送信元ではないが不正なリンクを含まない(誘導先が正規サイトのURL)メールなど、不審なメールも多く確認されている。これら不審なメールや詐欺メールを確認した場合は利用しているメールサービスへ報告することが望まれる

フィッシング詐欺対策

逆引き(PTRレコード)を設定していないIPアドレスからのフィッシングメール送信が約91.0%と多く確認されている。これら不審なサーバを拒否するFCrDNS(Forward-confirmed reverse DNS)認証は海外において一般的なセキュリティ対策だが、国内では導入が遅れている。

フィッシング対策協議会はSPF/DKIM/DMARC認証をすべて通過し、FCrDNS認証のみ失敗するフィッシングメールを確認しており、対応の遅れが日本を積極的に狙う要因の一つとされる。この状況を改善するためにFCrDNS認証による受信拒否、または再送制御(グレイリスト)や流量制限の実施の検討が望まれている。

オンラインサービスを提供している事業者には、DMARCレポートで正規メールの到達を確認しながらポリシーをrejectに変更することが推奨されている。また、DMARCの認証成功メールにブランドロゴを表示するBIMI(Brand Indicators for Message Identification)の対応を提案している。BIMIは信頼性が担保され、国内のモバイル系メールアドレスでのカバー率が高く、フィッシングメールに紛れた正規メールを判別できるとしている。

利用者に対しては、「自分だけはだまされない」と考えないよう注意を喚起している。本物と見分けのつかないフィッシングメールにだまされ、被害に遭うケースが急増しているという。万が一に備え、パスキーや多要素認証(MFA: Multi-Factor Authentication)をかならず設定するように求めている。