フィッシング対策協議会(Council of Anti-Phishing Japan)は2月3日、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2022/01 フィッシング報告状況」において、2022年1月に同協議会に寄せられたフィッシング報告の状況を公表した。2022年1月のフィッシング報告は50,615件で、2021年12月と比べると12,544件減少した。大幅に減少したように思えるが、以下のグラフからも分かるように2021年12月は同年でも突出した報告件数の63,159件を記録した月であるため、実際には元の水準に戻った形となっている。
報告によると、フィッシングに悪用されたブランドのトップは全体の約33.8%を占めたAmazonで、前月までと同様に他のブランドを大きく引き離している。2位以降はメルカリ、JCB、三井住友カードと続いており、この上位4ブランドで全体の約67.6%、1000件以上の報告を受けた上位10ブランドで全体の約82.9%を占めていたという。
フィッシングに悪用されたブランドは全部で86ブランドあり、これまでと同様にクレジットカードや銀行のブランドをかたるフィッシングが多数を占めたとのことだ。ISP(インターネットサービスプロバイダー)やホスティング事業者をかたるフィッシングも多く、詐取されたアカウント情報が不正なメール配信等に使われている可能性があるとして、同協議会は警告している。
その他、キャッシュレス決済サービスをかたるフィッシングの報告が増えたこと、フードデリバリーサービスかたるフィッシング報告があったことも指摘されている。フィッシング以外では、景品プレゼントやイベントへの応募登録といった名目でLINEアカウントに連絡するように誘導するメールや、不審なアルバイト募集メールの報告が多く寄せられたとのことだ。
ここ数カ月、送信元メールアドレスに正規サービスのドメインを使用した「なりすまし」フィッシングメールが多いことが指摘されてきたが、2022年1月も同様に多数の報告を受領したとのこと。現在、日本で主に導入されているフィッシング対策は送信元を判断基準に使うSPF(Sender Policy Framework)だが、これだけでは対策として不十分であるため、より強固ななりすまし対策を実現するDMARC(Domain-based Message Authentication, Reporting, and Conformance)と呼ばれる認証プロトコルに対応した対策を導入することが推奨されている。
普段使っているサービスを利用する際は、メールのリンクをクリックするのではなく、正規のアプリやブックマークした正規のURLからサービスにログインするなど、日頃から十分に注意した行動を取る必要がある。特にクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの入力が求められるような場合は、入力する前に偽のサイトではないかどうかをもう一度確認するよう、フィッシング対策協議会では呼びかけている。