フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/11 フィッシング報告状況」において、2023年11月のフィッシング報告状況を発表した。
2023年11月のフィッシング報告状況のポイント
2023年11月のフィッシング報告状況において、注目すべき点は次のとおり。
- 前月に続きAmazonをかたるフィッシング詐欺の報告が多く、報告数全体の約26.7%となった。これにETC利用照会サービス、マイナポイント事務局、三井住友カードをかたるフィッシング詐欺の報告が各1万件を超えて続き、これらを合わせると全体の約74.4%を占めている。1,000件以上の報告があったブランドは12ブランドあり、これらで全体の約91.4%を占めた。
- SMSから誘導するスミッシングでは、金融系ブランド、宅配便関連の不在通知、Appleをかたりフィッシングサイトへ誘導する文面の報告を多く受領した。文面は日々変化しており、これはフィルタを回避する目的もあるとみられ、前月より報告件数が増えている。
- 報告されたフィッシングサイトのURLは.comが60.3%ほどで最も多く、これに.cn約12.7%、.top約7.9%、.cyou約3.0%、.xyz約2.3%、.dev約1.8%、.org約1.5%が続いた。
- 調査用メールアドレスへ配信されたフィッシングメールのうち、41.4%ほどが実在するサービスのメールアドレスを使用した「なりすまし」であり、前月よりも減少傾向となっている。
- 11月は特殊なIPアドレスの表記やさまざまな飾り文字を使用してURLを偽装するなど、送信ドメインの検証を回避する試みが多く確認された。
- 11月は前月から一転し、報告件数が84,348件と大きく減少した。前月と比較すると約46.2%の減少となるが、その大きな要因はAmazonやETC利用照会サービスをかたるフィッシング詐欺の報告が各3万件以上減少したこと。
フィッシングメールを受領した場合の対策
大量のフィッシングメールが届いている場合は、メールアドレスが漏洩している可能性があるため「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」を参考に、正規のメールにアイコンを表示するなどのフィッシング対策が強化されているメールサービスのメールアドレスに切り替えることが推奨されている。
また、フィッシングサイトに認証情報を入力してしまった場合、攻撃者が窃取した認証情報を使用して公式サイトへログインし、ショートメッセージサービス(SMS: Short Message Service)から二要素認証(2FA: Two-Factor Authentication)の認証コードを窃取してアカウントを乗っ取るなど、不正利用される事案が確認されている。身に覚えがない決済や登録変更の通知が送られてきた場合は、フィッシングメールではないことを確認した上で、公式サイトのサポートへ相談することが推奨されている。
メールサービスを提供する通信事業者にはこれまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシに従ってメールの配信を行うことや、迷惑メール対策を強化し、ユーザへ迷惑メールフィルタの利用を促すことを求めている。
フィッシング詐欺を回避する対策
フィッシング詐欺に使われているWebサイトは一見しただけで判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスするなどの操作を行い、確認を行うことが望まれる。
フィッシング対策協議会は、フィッシングサイトやフィッシングメールを発見した際には同協議会まで報告してほしいと呼びかけている(参考:「フィッシング対策協議会 Council of Anti-Phishing Japan | フィッシングの報告」)。