フィッシング対策協議会は、2022年4月のフィッシング報告状況を発表した。4月のフィッシング報告件数は9万2094件で、前月より9714件増加した。
フィッシングサイトのURL件数は1万928件で、前月より1149件増加。悪用されたブランド件数は101件で、前月より4件減少した。
au PAYをかたるフィッシングが急増し、前月の4.5倍に
報告数全体のうち、auおよびau PAYをかたるフィッシングが約22.4%を占め、3月と比較すると約4.5倍となった。次いで報告数が1万件以上となったメルカリ、Amazonを加えた上位3ブランドで、全体の約56.5%を占めた。
そのほかの動向では、前月は報告数全体の約21.1%を占めたJRグループ系ブランドをかたるフィッシングが減少し、全体の約11%となった。なお、メルカリをかたるフィッシングについては、4月18日以降フィッシングメールの配信量が激減し、月末ごろにはほとんど報告がなったという。
フィッシングに悪用された101件のブランドのうち、クレジット・信販系が26件と、前月に引き続きクレジットカードブランドをかたるフィッシングが多数確認された。都市銀行やネット銀行など金融系ブランドは8件、ISPやホスティング事業者、メールサービスについては13件。このほか、新たに放送局をかたるフィッシングの報告も受けたという。
SMSのフィッシングは宅配便の不在通知やモバイルキャリアなど
SMSから誘導されるフィッシングでは、前月と同様に、宅配便の不在通知、モバイルキャリア、Amazon、クレジットカードブランドをかたる文面のものが報告された。
au、日本郵便(宅配便の不在通知)を装うSMSについては不正なアプリ(マルウェアなど)のインストールへ誘導されるケースが確認されており、Google Playプロテクトや正規のウイルス対策アプリなどで不正なアプリをインストールしていないか確認するよう呼び掛けている。
Emotetに加え、セクストーションメールにも注意を呼び掛け
フィッシング以外では、マルウェア「Emotet」の感染につながる添付ファイル付きメールの報告も確認されている。不審なメールの添付ファイルは開かず、メールを削除するよう注意を呼び掛けている。
また、ビットコインを要求する脅迫メール(セクストーションメール)の報告が増えているという。このようなメールは、過去に漏えいした情報をもとに送られているケースも確認されているため、長らくパスワードを変更していないサービスがある場合は、パスワード変更を行い、パスワードを使い回さないようにと注意を呼び掛けている。
調査用アドレスに届いたフィッシングメールの8割近くが「なりすまし」
同協議会の調査用メールアドレス宛に4月に届いたフィッシングメールのうち、約78.4%がメール差出人に正規のメールアドレス(ドメイン名)を使用した「なりすまし」フィッシングメールだったという。
配信されたフィッシングメールの送信元IPアドレスの調査では、CN(中国)の通信事業者からの大量配信が約91.1%、次いで日本国内からの配信が約4.5%。なりすまし送信以外については、3月と同様に「.cn」ドメインや、ランダムに生成したと思われるドメイン名のメールアドレスが多く使われていたとしている。
大量のフィッシングメールを受信している利用者にはサービス変更を推奨
4月のフィッシング報告状況の最後に、事業者向け、利用者のそれぞれに向けてフィッシング対策を挙げている。
事業者向けには、次の対策を検討するよう促している。
- 最低限、SPFとDMARCでドメインを保護し、DMARCレポートで本物のメールが届いていることを確認したり、なりすまし送信を検知したりすること
- メールサービスを提供している事業者は、DMARC検証+迷惑メールフィルターを利用者へ提供し、利用を促すこと
また、DMARCで検証済みの正規メールにブランドアイコンを表示するBIMI(Brand Indicators for Message Identification)や、Yahoo!メールブランドアイコン、ドコモメール公式アカウントなどの、正規メールを視認しやすくする技術およびサービス導入の検討も推奨している。独自ドメインのメールアドレスを利用して、SPF/DKIM/DMARCの送信ドメイン認証に対応したフィッシングメールも確認されており、この対策としても正規メールを視認しやすくすることが効果的であるという。
利用者向けには、次の対策を実施するよう呼び掛けている。
- 現時点で大量のフィッシングメールを受信している利用者は、フィッシング対策機能が強化されているメールサービスで新たにメールアドレスを作成し、オンラインサービスに登録するメールアドレスを切り替えることを検討すること
- 身に覚えがないタイミングで認証コード通知SMSなどが届いたときは、パスワードを変更したり、決済サービスの使用履歴を確認したりすること
- 普段からログインを促すようなメールやSMSを受信した際は、正規のアプリやブックマークした正規のURLからサービスへログインして情報を確認するようにすること
- クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの入力を要求された場合は、入力先のウェブサイトが本物かを確認すること