フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/05 フィッシング報告状況」において、2024年5月のフィッシング報告状況を発表した。
5月のフィッシングの被害状況
2024年5月におけるフィッシング報告状況において、注目される点は次のとおり。
- 2024年5月はAmazonをかたるフィッシング詐欺の報告が急増し、報告数全体の約31.3%となった。東京電力、三井住友カード、イオンカード、エポスカードをかたるフィッシング詐欺の報告が続き、これらを合わせると全体の約73.6%を占める。1,000件以上の報告があったブランドは16ブランドあり、これらで全体の約94.0%を占めた
- ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、前月に引き続き宅配便関連の不在通知からAppleをかたるフィッシングサイトへ誘導する文面の報告を多く受領した。他にも電力会社、金融系、クレジットカード系をかたる文面の報告を多く受領している
- 報告されたフィッシングサイトのURLは.comが55.4%ほどで最も多く、これに.cn(約16.1%)、.dev(約8.0%)、.ru(約5.7%)、.net(約3.1%)、.top(約2.8%)が続いた。4月と比較して.com、.cn、.devドメインの悪用が増加した
- 調査用メールアドレスへ配信されたフィッシングメールのうち、53.4%ほどが実在するサービスのメールアドレスを使用した「なりすまし」であり、前月から急増している
- 2024年5月はフィッシング詐欺の報告件数が143,680件となり、前月から36,923件、約34.6%の大幅増となった。これまでフィッシングメールを受信したことがないアドレスにも届くようになったとの報告を多数受領したことから、新たに漏洩した大量のアドレスに配信を開始した可能性がある
- クレジットカードの利用通知や月額請求のお知らせ、不正利用やログイン試行による利用制限、本人確認依頼、メルマガの注意喚起など、本物のメールと区別の難しいフィッシングメールが増加している
- メール本文に非表示のゴミ文字列や正規のURLを埋め込んだり、リダイレクトサービスの使用、Unicode文字列でURLを記述したりと、セキュリティソリューションの検知を回避する試みが続いている
フィッシング詐欺対策
大量のフィッシングメールが届いている場合は、メールアドレス漏洩の可能性があるため「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」の「送信ドメイン認証に対応するメリット」を参考に、フィッシング対策の強化されているメールサービスのメールアドレスに切り替えることが推奨されている。
フィッシングサイトに認証情報を入力してしまった場合、攻撃者が認証情報を使用して公式サイトへログインし、ショートメッセージサービス(SMS)から二要素認証(2FA: Two-Factor Authentication)の認証コードを窃取してアカウントを乗っ取るなど、不正利用される事案が確認されている。身に覚えがない決済や登録変更の通知が送られてきた場合は、フィッシングメールではないことを確認した上で公式サイトのサポートへ相談することが望まれている。
メールサービスを提供する通信事業者にはこれまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うことや、迷惑メール対策の強化、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討を求めている。また、オンラインサービスを提供している事業者には、DMARCレポートを確認しながらポリシーをquarantineまたはrejectに変更することを求めている。
フィッシング対策協議会はフィッシングサイトやフィッシングメールを発見した際には同協議会まで報告してほしいと呼びかけている(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告」)。