クレジットカードの利用確認を装うフィッシングが急増、7月の報告数全体の半数近くに フィッシング対策協議会が7月の月次報告を発表

INTERNET Watch

 フィッシング対策協議会は、2022年7月のフィッシング報告状況を発表した。7月のフィッシング報告件数は10万7948件で、前月より1万9698件増加した。

フィッシング報告件数(2021年8月~2022年7月)

 フィッシングサイトのURL件数は4万9188件で、前月より2万1971件増加。悪用されたブランド件数は86件で、前月より14件減少した。

フィッシングサイトのURL件数(2021年8月~2022年7月)

フィッシングに悪用されたブランド件数(2021年8月~2022年7月)

クレジットカードの利用確認を装うフィッシングが全体の約47.6%に

 「クレジットカードの利用確認を装うフィッシング」が報告件数全体の約47.6%を占めた。これは、6月に同協会が緊急情報を公開したもの(「クレジットカード会社をかたるフィッシングが増加! JCB、VISA、マスターカードなどを装う『重要なお知らせ』などのメールに注意」参照)。誘導元フィッシングメールが確認されているブランドは8ブランドあり、そのなかでもVISA、マスターカード、JCBをかたるメールの文面が数多く報告されている。

 次いで報告数が多い、Amazon、三井住友カードを語るフィッシングの報告数と合わせると、全体の約73.2%を占めた。さらに、1000件以上の報告を受けたブランドは15ブランドあり、これらで全体の約92.7%を占めた。

 フィッシングに悪用された86ブランドを業種別に見ると、クレジット・信販系は25ブランド、ISPやホスティング事業者、メールサービスが17ブランド、金融系が8ブランドとなった。

 業種別に報告数を見ると、クレジット・信販系が報告数全体の約67.6%、EC系が約17.0%、オンラインサービス系が約5.6%、交通系が約4.7%、金融系が約2.2%、放送系が約2.1%となった。

SMSのフィッシングは宅配便の不在通知やモバイルキャリアなどが多い

 SMSから誘導されるフィッシングでは、宅配便関連の不在通知を装う文面からAppleをかたるフィッシングサイトへ誘導されるタイプのほか、モバイルキャリア、Amazon、Yahoo! JAPANをかたる文面のものが報告されている。

 不正なアプリ(マルウェアなど)のインストールへ誘導するタイプでは、auや日本郵便(宅配便関連の通知)を装うものが確認されている。Androidスマートフォンでは、Google Playプロテクトや正規のウイルス対策アプリなどで不正なアプリをインストールしていないか確認するようにと呼び掛けている。

フィッシングサイトのURLは前月比1.8倍に、クレジットカード関連のURLが8割弱

 フィッシングサイトのURL数は前月と比較して約1.8倍に急増した。特に、クレジットカードの利用確認を装うフィッシング関連のURLは、大量のドメインとサブドメインの組み合わせが確認されており、フィッシングサイトのURL件数全体の約79.8%を占めた。

 URLは違っても同一のIPアドレスのフィッシングサイトへ誘導されることが多く、稼働を確認できたURLに割り当てられたIPアドレス数は、URL数の1%以下となった。また、URLをトップレベルドメイン(TLD)別に分けると、「.co」が約41.6%、「.top」が約27.7%、「.cn」が約9.4%、「.tt」が約4.9%、「.shop」が約3.1%、「.xyz」が約3.1%、「.com」が約2.2%だった。

 フィッシングのほか、ビットコインを要求する脅迫メール(セクストーションメール)の報告もある。このようなメールは過去に漏えいした情報をもとに送られているケースが確認されており、長らくパスワードを変更していないサービスがある場合は、パスワード変更を行い、パスワードの使い回しをしないようにと呼び掛けている。

調査用アドレスに届いたフィッシングメールの約6割が「なりすまし」、検出率も低下

 同協議会の調査用メールアドレス宛に7月に届いたフィッシングメールのうち、約62.0%がメール差出人に正規のメールアドレス(ドメイン名)を使用した「なりすまし」フィッシングメールだったという。

 配信されたフィッシングメールの送信元IPアドレスの調査では、CN(中国)の通信事業者からの大量配信が約92.1%、次いで日本国内からの配信が約4.7%と、前月に引き続きCNからの配信が多い状況にあるものの、国内ホスティングサービスからの配信も増えているとしている。

 送信ドメイン認証技術でSPFのみ使用した場合、SPF=failで検出できたものは約6.6%となり、前月(約23.4%)よりも検出率が大幅な減少が見られる。SPF=softfail(受信側では素通し)は約30.7%で前月(約25.0%)よりも増加し、SPFのポリシーが弱いドメインが狙われている。DMARCでのみ検出できるなりすましメールは約30.1%と前月(約19.5%)から増加。送信ドメイン認証で判別ができない独自ドメインで送られるフィッシングメールも、約32.6%と前月(約32.1%)から増加した。

 また、DMARCポリシーが「none」、つまり検証に失敗しても受信者に配信するという設定のまま運用され続けているブランド(ドメイン)のなりすまし送信が続いており、フィッシング対策協議会では、DMARCの効果が発揮できない状態が狙われていると考察している。

大量のフィッシングメールを受信している利用者にはサービス変更を推奨

 月次報告の最後に、事業者向け、利用者のそれぞれに向けてフィッシング対策を挙げている。

 事業者向けには、次の対策を呼び掛けている。

  • メールサービスを提供している通信事業者は、DMARC検証+迷惑メールフィルターを利用者へ提供し、利用を促すこと
  • オンラインサービスを提供している事業者は最低限SPFとDMARCでドメインを保護して、DMARCレポートで本物のメールが届いていることを確認したり、なりすまし送信を検知すること

 なお、DMARCのモニタリングモード「p=none」では、なりすましメールは受信側で素通しされるため、長らくこのモードで運用している組織は、「p=quarantine」または「reject」に変更する準備をするようにと呼び掛けている。

 また、独自ドメインのメールアドレスを使い、送信ドメイン認証SPF/DKIM/DMARCに対応したフィッシングメールが確認されており、これらは迷惑メールフィルターをすり抜ける可能性があるため、正規メールを視認しやすくする対策が効果的だとしている。

 正規メールを視認しやすくする技術およびサービスとしては、BIMI(Brand Indicators for Message Identification)のほか、「Yahoo!メールブランドアイコン」「ドコモメール公式アカウント」などがある。ユーザー数が多いメールサービスで対応しており、一定の効果が期待できるため、これらの使用も検討するようにとしている。

 利用者向けには、次の対策を呼び掛けている

  • 現時点で大量のフィッシングメールを受信している利用者は、フィッシング対策機能が強化されているメールサービスで新たにメールアドレスを作成し、オンラインサービスに登録するメールアドレスを切り替えることを検討すること
  • 身に覚えがないタイミングで認証コード通知SMSなどが届いたときは、パスワードを変更したり、決済サービスの使用履歴を確認すること
  • 普段からログインを促すようなメールやSMSを受信した際は、正規のアプリやブックマークした正規のURLからサービスへログインして情報を確認するようにすること
  • クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの入力を要求された場合は、入力先のウェブサイトが本物かを確認すること

Source