「au/au PAY」「Amazon」「えきねっと」の3ブランドをかたるフィッシングが全体の約半数に。5月の報告数はやや減少も、引き続き注意を フィッシング対策協議会が5月の月次報告を発表

INTERNET Watch

フィッシング報告件数(2021年6月~2022年5月)

 フィッシング対策協議会は、2022年5月のフィッシング報告状況を発表した。5月のフィッシング報告件数は8万8132件で、前月より3962件減少した。

 フィッシングサイトのURL件数は1万8591件で、前月より7663件増加。悪用されたブランド件数は110件で、前月より9件増加した。

フィッシングサイトのURL件数(2021年6月~2022年5月)

フィッシングに悪用されたブランド件数(2021年6月~2022年5月)

au/au PAYをかたるフィッシングが引き続き多数、上位3ブランドで約半数を占める

 報告数全体のうち、auおよびau PAYをかたるフィッシングが約21.7%を占め、大幅増加した4月に引き続いて、最も多く悪用されたブランドとなった。次いで報告数が1万件以上となったAmazon、えきねっと(JR東日本)を加えた上位3ブランドで、全体の約49.5%を占めた。

 そのほかの動向では、前月は報告数全体の約11%を占めたJRグループ系ブランドをかたるフィッシングが増加し、全体の約14.3%となった。なお、1000件以上の報告を受領したブランドは20件あり、これらで全体の約90.1%を占めた。

 フィッシングサイトのURL件数が急増し、前月の約1.7倍となった。ランダムな文字列のドメインにサブドメインを付加するなどしたものにより件数は増えたが、IPアドレスは同一のものが多いとしている。

 フィッシングに悪用された110件のブランドを業種別に見ると、クレジット・信販系が30件と最も多い。そのほかでは、ISPやホスティング事業者、メールサービスについては16件、都市銀行やネット銀行など金融系ブランドは7件。新しく報告のあったブランドとして、フィッシング対策協議会、九州カードが挙げられている。

SMSのフィッシングは宅配便の不在通知やモバイルキャリアなどが多い

 SMSから誘導されるフィッシングでは、宅配便関連の通知(配達完了、不在通知、商品の発送など) を装う文面からApple をかたるフィッシングサイトへ誘導されるタイプのほか、モバイルキャリア、Amazon、クレジットカードブランドをかたる文面のものが報告された。

 不正なアプリ(マルウェアなど)のインストールへ誘導するタイプでは、auや日本郵便(宅配便関連の通知)を装うものが確認されている。Androidを使っている場合は、Google Playプロテクトや正規のウイルス対策アプリなどで不正なアプリをインストールしていないか確認するよう呼び掛けている。

Emotetに加え、セクストーションメールにも注意を呼び掛け

 フィッシング以外では、マルウェア「Emotet」の感染につながる添付ファイル付きメールの報告も前月に引き続いて確認されているという。不審なメールの添付ファイルは開かず、メールを削除するようにとしている。

 また、ビットコインを要求する脅迫メール(セクストーションメール)の報告が増えているという。このようなメールは、過去に漏えいした情報をもとに送られているケースも確認されているため、長らくパスワードを変更していないサービスがある場合は、パスワード変更を行い、パスワードを使い回さないようにと注意を呼び掛けている。

調査用アドレスに届いたフィッシングメールの約7割が「なりすまし」

 同協議会の調査用メールアドレス宛に5月に届いたフィッシングメールのうち、約69.5%がメール差出人に正規のメールアドレス(ドメイン名)を使用した「なりすまし」フィッシングメールだったという。

 配信されたフィッシングメールの送信元IPアドレスの調査では、CN(中国)の通信事業者からの大量配信が約90.1%、次いで日本国内からの配信が約5.5%。なりすまし送信以外については、前月と同様に「.cn」ドメインや、ランダムに生成したと思われるドメイン名のメールアドレスが多く使われていた。

大量のフィッシングメールを受信している利用者にはサービス変更を推奨

 フィッシング対策協議会では月次報告の最後に、事業者向け、利用者のそれぞれに向けてフィッシング対策を挙げている。

 事業者向けには、次の対策を検討するよう促している。

  • 最低限、SPFとDMARCでドメインを保護し、DMARCレポートで本物のメールが届いていることを確認したり、なりすまし送信を検知したりすること
  • メールサービスを提供している事業者は、DMARC検証+迷惑メールフィルターを利用者へ提供し、利用を促すこと

 また、DMARCで検証済みの正規メールにブランドアイコンを表示するBIMI(Brand Indicators for Message Identification)や、Yahoo!メールブランドアイコン、ドコモメール公式アカウントなどの、正規メールを視認しやすくする技術およびサービス導入の検討も推奨している。独自ドメインのメールアドレスを利用して、SPF/DKIM/DMARCの送信ドメイン認証に対応したフィッシングメールも確認されており、この対策としても正規メールを視認しやすくすることが効果的であるという。

 利用者向けには、次の対策を実施するよう呼び掛けている。

  • 現時点で大量のフィッシングメールを受信している利用者は、フィッシング対策機能が強化されているメールサービスで新たにメールアドレスを作成し、オンラインサービスに登録するメールアドレスを切り替えることを検討すること
  • 身に覚えがないタイミングで認証コード通知SMSなどが届いたときは、パスワードを変更したり、決済サービスの使用履歴を確認したりすること
  • 普段からログインを促すようなメールやSMSを受信した際は、正規のアプリやブックマークした正規のURLからサービスへログインして情報を確認するようにすること
  • クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの入力を要求された場合は、入力先のウェブサイトが本物かを確認すること

Source