フィッシング対策協議会(Council of Anti-Phishing Japan)は11月4日、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2021/10 フィッシング報告状況」において、2021年10月に同協議会に寄せられたフィッシング報告の状況を公表した。2021年10月のフィッシング報告は48,740件と、同9月に比べると1,213件減少しているが、過去1年間では8月、9月に次いで3番目に多い結果となっており、引き続き注意が必要だ。

  • 2020年11月から2021年10月までにフィッシング対策協議会に寄せられたフィッシング報告件数の推移 - 引用:フィッシング対策協議会

    2020年11月から2021年10月までにフィッシング対策協議会に寄せられたフィッシング報告件数の推移 資料:フィッシング対策協議会

報告によると、フィッシングに悪用されたブランドのトップはAmazonで全体の約28.2%と、これまでと同様に他のブランドを大きく引き離している。2位以降は、メルカリ、三井住友カード、ETC利用照会サービス、楽天と続いており、この上位5ブランドで報告数全体の約66.6%を占めていたという。フィッシングに悪用されたブランドは全部で77ブランドあり、前月に引き続いてクレジットカードのブランドをかたるフィッシングが多数を占めたとのことだ。

その他、モバイルキャリアをかたるフィッシング報告が前月より約28.9%増えたことも指摘されている。また、前月に引き続いてビットコインを要求する脅迫メールが多かったという。

ここ最近の傾向として、送信元メールアドレスに正規サービスのドメインを使用した「なりすまし」フィッシングメールが多いことも挙げられている。これは、受信者が目視で正規のメールと区別するのが難しいということを意味している。現在、日本で主に導入されているフィッシング対策は送信元を判断基準に使うSPF(Sender Policy Framework)だが、最早これだけでは対策として不十分であるため、より強固ななりすまし対策を実現するDMARC(Domain-based Message Authentication, Reporting, and Conformance)と呼ばれる認証プロトコルに対応した対策を導入することが推奨されている。

利用者側としては、普段使っているサービスを利用する際、メールのリンクをクリックするのではなく正規のアプリやブックマークした正規のURLからサービスにログインするなど、日頃から十分に注意した行動を取る必要がある。特にクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの入力が求められるようなときは、入力する前にフィッシングでないかどうか再度確認するように、フィッシング対策協議会では呼びかけている。

フィッシング詐欺に使われているWebサイトは正式なWebサイトの内容をコピーして作成されたものと見られ、一見しただけで判別することが難しいため注意が必要。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスするなどの操作を行い、確認を行うことが望まれる。