フィッシング対策協議会(Council of Anti-Phishing Japan)は6月1日、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|協議会WG報告書|資料公開: フィッシングレポート 2023 の掲載について」において、フィッシング被害状況やフィッシング攻撃技術・手法などをまとめた「フィッシングレポート 2023」の公開を報じた。同レポートには、フィッシング詐欺の動向や対策などに関する情報がまとまっている。

  • フィッシングレポート 2023 - フィッシング対策協議会

    フィッシングレポート 2023 - フィッシング対策協議会

レポートで挙げられている注目ポイントは次のとおり。

  • 2022年はフィッシング情報の届け出件数が前年と比較してほぼ倍増となった。増加傾向はこの5年間継続している
  • フィッシングサイトのURL件数が増加した。特に2022年上半期と比べて2022年下半期に大きく増加した。複数のURLを利用することでURLフィルタの検知率を低減させる狙いがあるとみられる
  • 国内企業のブランド名を悪用したフィッシングの件数が増加傾向を維持している
  • 2022年はクレジットカードを偽るフィッシングの報告件数が最も多かった
  • キャッシュレス決済サービスを偽るフィッシングが発生した。これはスマートフォンによるキャッシュレス決済サービスの利用率が増加していることから、スマホを標的にしているとみられる
  • ETC利用紹介サービスや交通系サービスを偽るフィッシングが新型コロナウイルス感染症(COVID‑19)以降の交通往来再開以降に定常的に発生している
  • 政府による旅行支援が発表されたあとは、旅行予約サイトを偽るフィッシングが発生した
  • 翻訳サービスの正規URLを経由したフィッシングやQRコードを使用した誘導が行われた。URLフィルタの検知回避が目的とみられる
  • 送信元メールアドレスに正規サービスのドメインを利用する「なりすまし送信メール」が継続して観測された

また、レポートでは、携帯電話やスマートフォンのSMS(ショートメッセージ)を悪用したフィッシングについても紹介されている。回答者の半数以上がフィッシング詐欺と考えられる SMSを受け取ったことがあると回答、その数は前年より増えている。手口は、宅配業者やECサイトなど、消費者が日常的に利用する接点の多いサービスを装う割合が多いのは前回と同様だったが、2022年は銀行やクレジットカード会社を装う手口の増加率が大きい。

被害額は、前回は「被害額1万円~10万円未満」の割合が39.8%だったが、今回は 54.3%と14.5ポイント増えている。これは、男性の「被害額1万円~10万円未満」の割合が増えていることが影響しているという。今回の調査における最大額は252万円で、20代の男性からの回答だったとのこと。

サイバー攻撃は時事に応じてさまざまな戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)が使われるが、最初の攻撃ベクトルとしてメールを使うという大枠のやり方は変わっていない。こうしたリスクが常に存在していることを認識し、日常的にこうしたメールを受信している可能性を考慮して適切な対応を取り続けることが望まれる。