フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/02 フィッシング報告状況」において、2023年2月のフィッシングの被害状況を公表した。2023年2月のフィッシングの報告件数は5万9,044件で、2022年1月と比較して2万775件増加した。
報告されている主な内容は次のとおり。
- スミッシングは、宅配便関連の不在通知を装う文面やAppleをかたるフィッシングサイトへ誘導するタイプが増えた。新たに関税局をかたるスミッシングも報告されている
- DMARC (Domain-based Message Authentication, Reporting, and Conformance)ポリシーをrejectまたはquarantineに変更したブランドはフィッシング報告が減少。DMARCに対応していない、または、DMARCポリシーがnoneのブランドはなりすましメールによるフィッシングが増加傾向にある
- フィッシングメールの送信元IPアドレスの調査では、中国の通信事業者からの大量配信が約85.9%で、中国の特定の通信事業者からの配信が約58.3%を占めた
フィッシングメールで悪用されていた上位ブランドは次のとおり。
- Amazon(約28.0%)
- イオンカード
- ヤマト運輸
- ソニー銀行
- セゾンカード
- ETC利用照会サービス
- えきねっと
悪用されていたジャンルの上位は次のとおり。
- クレジット・信販系(約36.6%)
- EC系(約31.4%)
- 金融系(約11.2%)
- 運送系(約10.1%)
- オンラインサービス系(約3.9%)
- 交通系(約3.6%)
悪用されていたトップレベルドメイン(TLD: top-level domain)は次のとおり。
- .ly(約28.9%)
- .com(約24.5%)
- .top(約15.0%)
- .cn(約7.8%)
- .shop(約4.6%)
- .org(約4.1%)
フィッシング対策協議会では、こうしたフィッシング詐欺の被害に遭わないよう、次の対策を取ることを推奨している。
- すでに大量のフィッシングメールを受信している場合、すでにそのメールアドレスが漏洩していることを認識するとともに、フィッシング対策機能が強化されているメールサービスのメールアドレスを取得し、登録されているメールアドレスを切り替えていくことを検討する
- 身に覚えのないタイミングで認証コード通知SMSが届いた場合は、パスワードを変更したり決済サービスの使用履歴を確認したりする
- ログインを促すメールやSMSを受信した場合、正規のアプリやURLからサービスへログインを行い情報を確認するとともに、クレジットカード情報や個人情報、アカウント情報、ワンタイムパスワードの入力を求められた場合には一度立ち止まって内容をよく確認する
- SMSのリンクからアプリのインストールは行わない
- Google Playプロテクトや正規のウイルス対策アプリで不正なアプリがインストールされていないか確認を行う
- メールのリンクから決済サービスの認証画面に誘導された場合には一度立ち止まり、いつもの決済方法と違う点がないかなど、内容をよく確認する