フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/06 フィッシング報告状況」において、2024年6月のフィッシング報告状況を発表した。
6月のフィッシング詐欺の被害状況
2024年6月におけるフィッシング報告状況において、注目される点は次のとおり。
企業をかたるフィッシング詐欺の状況
2024年6月はAmazonをかたるフィッシング詐欺の報告が減少傾向にあったものの、報告数全体の約26.3%を占めトップを維持。三井住友カード、ヤマト運輸の報告は2万件以上、東京電力、イオンカードの報告は1万件以上確認され、これら報告を合わせると全体の約82.1%を占める。特にヤマト運輸をかたるフィッシング詐欺の報告が急増し、先月と比較して約26倍になった。1,000件以上の報告があったブランドは11ブランドあり、これらで全体の約93.9%を占めた。
スミッシングの被害状況
ショートメッセージサービス(SMS: Short Message Service)からフィッシングに誘導するスミッシングに関しては、前月に引き続き宅配便関連の不在通知からAppleをかたるフィッシングサイトへ誘導する文面の報告を多く受領した。他にも金融系ブランドをかたる文面の報告を多く受領している。
フィッシングサイトのURL
報告されたフィッシングサイトのURLは.comが約50.8%で最も多かった。これに.cn(約24.0%)、.top(約6.0%)、.xyz(約5.8%)、.net(約4.5%)、.dev(約3.3%)が続いた。重複なしのURLでは.cnドメイン名にランダム文字列のサブドメイン名を付加した「使い捨て」リダイレクト用URLを使用するケースが全体の約41.3%を占めた。
調査用メールアドレスへ配信されたフィッシングメール
調査用メールアドレスへ配信されたフィッシングメールのうち、53.3%ほどが実在するサービスのメールアドレスを使用した「なりすまし」であり、前月とほぼ同じ水準を維持している。
フィッシング詐欺の報告件数
2024年6月はフィッシング詐欺の報告件数が144,160件となり、前月から480件の微増となった。6月も報告件数の多い状態が持続している。
特筆すべき手口。
メール本文に非表示のゴミ文字列や正規のURLを埋め込んだり、リダイレクトサービスを使用したり、Unicode文字列でURLを記述したりして、セキュリティソリューションの検知を回避する試みが続いている。不正なメッセージを送信する新しい配信経路としてGoogleチャットの悪用が確認された。攻撃者はスミッシング対策を回避してモバイル端末へメッセージを到達させようと試行錯誤しているものとみられる。
フィッシング詐欺への対策
大量のフィッシングメールが届いている場合は、メールアドレス漏洩の可能性があるため「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」の「送信ドメイン認証に対応するメリット」を参考に、フィッシング対策の強化されているメールサービスのメールアドレスに切り替えることが推奨されている。
フィッシングサイトに認証情報を入力してしまった場合、攻撃者が認証情報を使用して公式サイトへログインし、ショートメッセージサービス(SMS)から二要素認証(2FA: Two-Factor Authentication)の認証コードを窃取してアカウントを乗っ取るなど、不正利用される事案が確認されている。身に覚えがない決済や登録変更の通知が送られてきた場合は、フィッシングメールではないことを確認した上で公式サイトのサポートへ相談することが望まれている。
メールサービスを提供する通信事業者にはこれまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うことや、迷惑メール対策の強化、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討が求められている。また、オンラインサービスを提供している事業者には、DMARCレポートを確認しながらポリシーをquarantineまたはrejectに変更することが求められている。
最後に、フィッシング対策協議会は、フィッシングサイトやフィッシングメールを発見した際には同協議会まで報告してほしいと呼びかけている(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告」)。