フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/01 フィッシング報告状況」において、2023年1月のフィッシングの被害状況を公表した。2023年1月のフィッシングの報告件数は3万8,269件で、2022年12月と比較して2万7,205件減少した。
今月の報告の主な内容は次のとおり。
- フィッシングサイトのURLをQRコードにしてメールに埋め込んだフィッシングメールが増加し、報告が1,000件以上に上った
- スミッシングは、宅配便関連の不在通知を装う文面のもの、Appleをかたるフィッシングサイトへ誘導するタイプのもの、そしてモバイルキャリアをかたる文面のものが増加した
- DMARC正式運用(DMARCポリシーをrejectまたはquarantineに変更)に移行したブランドが増えており、この数か月はこれらのブランドのフィッシング報告数が減る傾向にあったが、EC系サイトについてはDMARC正式運用中でも報告が減らない傾向にある
- フィッシングメールの送信元IPアドレスの調査では、中国の通信事業者からの大量配信が約75.9%で依然として大部分を占めている
報告されたフィッシングメールで悪用されていた上位ブランドは次のとおり。
- Amazon(約44.6%)
- ETC利用照会サービス
- セゾンカード
- PayPayカード
悪用されていたジャンルの上位は次のとおり。
- EC系(約47.1%)
- クレジット・信販系(約36.5%)
- オンラインサービス系(約8.7%)
- 交通系(約2.0%)
- 運送系(約1.1%)
- 通信事業者・メールサービス系(約1.1%)
フィッシング対策協議会では、こうしたフィッシング詐欺の被害に遭わないよう、次の対策を取ることを推奨している。
- すでに大量のフィッシングメールを受信している場合、すでにそのメールアドレスが漏洩していることを認識するとともに、フィッシング対策機能が強化されているメールサービスのメールアドレスを取得し、登録されているメールアドレスを切り替えていくことを検討する
- 身に覚えのないタイミングで認証コード通知SMSが届いた場合には、パスワードを変更したり決済サービスの使用履歴を確認する
- ログインを促すメールやSMSを受信した場合、正規のアプリやURLからサービスへログインを行い情報を確認するとともに、クレジットカード情報や個人情報、アカウント情報、ワンタイムパスワードの入力を求められた場合には一度立ち止まって内容をよく確認する
- SMSのリンクからアプリのインストールは行わない
- Google Playプロテクトや正規のウイルス対策アプリで不正なアプリがインストールされていないか確認を行う
- メールのリンクから決済サービスの認証画面に誘導された場合には一度立ち止まり、いつもの決済方法と違う点がないかなど内容をよく確認する