フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/03 フィッシング報告状況」において、2024年3月のフィッシング報告状況を発表した。

○3月のフィッシング詐欺の報告状況

2024年3月におけるフィッシング報告状況の注目される主な内容は次のとおり。

2024年3月は東京電力およびAmazonをかたるフィッシング詐欺の報告が急増し、それぞれ報告数全体の約15.9%となった。これにイオンカード三井住友カードメルカリETC利用照会サービスをかたるフィッシング詐欺の報告が続き、全体の約66.7%を占めている。1,000件以上の報告があったブランドは15ブランドあり、これらで全体の約90.5%を占めた。
ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、前月に引き続き宅配便関連の不在通知からAppleをかたるフィッシングサイトへ誘導する文面の報告を多く受領した。他にも金融系や電力会社をかたる文面の報告を多く受領している。
報告されたフィッシングサイトのURLは.comが51.4%ほどで最も多く、これに.dev(約17.8%)、.cn(約12.0%)、.ru(約6.2%)、.ly(約1.9%)、.top(約1.8%)が続いた。2月と比較して.comおよび.cnの悪用が急増している。短縮URLCloudflare Workersサブドメイン使い捨てURLの利用は先月に引き続き多い傾向にある。
調査用メールアドレスへ配信されたフィッシングメールのうち、37.4%ほどが実在するサービスのメールアドレスを使用した「なりすまし」であり、前月よりも増加傾向となっている。
2024年3月はフィッシング詐欺の報告件数が9万7,163件となり、前月から4万1,661件増加、約75.1%の急増となっている。例年、旧正月前後の月は報告が減少し、その翌月に増加する傾向にあり、今年もその傾向通りの結果となった。
3月は電力会社の督促フィッシングメールの大量配信が続いている。移転シーズンということもあり誤って情報を入力してしまうことがあるため注意。また、e-Tax(国税電子申告・納税システム)やマイナポイント、マイナポータルなどの行政サービスをかたるフィッシング詐欺も増加している

フィッシング詐欺対策

大量のフィッシングメールが届いている場合は、メールアドレス漏洩の可能性があるため「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」の「送信ドメイン認証に対応するメリット」を参考に、フィッシング対策の強化されているメールサービスのメールアドレスに切り替えることが推奨されている。

フィッシングサイトに認証情報を入力してしまった場合、攻撃者が認証情報を使用して公式サイトへログインし、ショートメッセージサービス(SMS)から二要素認証(2FA: Two-Factor Authentication)の認証コードを窃取してアカウントを乗っ取るなど、不正利用される事案が確認されている。身に覚えがない決済や登録変更の通知が送られてきた場合は、フィッシングメールではないことを確認した上で公式サイトのサポートへ相談することが望まれている。

メールサービスを提供する通信事業者にはこれまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うことや、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討を求めている。また、送信ドメイン認証において正規メールと判別できるメール以外は注意するように利用者に啓発することも求めている。

フィッシング詐欺に使われているWebサイトは一見しただけでは判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクから辿るのではなく、公式アプリやWebブラウザーに登録したブックマークなどからアクセスし、さらにURLの確認を行うことが望まれる。

フィッシング対策協議会は、フィッシングサイトやフィッシングメールを発見した際には同協議会まで報告してほしいと呼びかけている(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告」)。
(後藤大地)

画像提供:マイナビニュース