フィッシング報告件数

2021 年 7 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 4,227 件増加し、34,787 件となりました。

フィッシングサイトの URL 件数

2021 年 7 月のフィッシングサイトの URL 件数 (重複無し) は、前月より 1,714 件増加し、8,108 件となりました。

フィッシングに悪用されたブランド件数

2021 年 7 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 8 件減少し、74 件となりました。

総評

2021 年 7 月のフィッシング報告件数は 34,787 件となり、6 月と比較すると 4,227 件増加しました。
Amazon をかたるフィッシングは報告数全体の約 33.1% を占めており、前月より割合が減っています。次いで三井住友カード、楽天、イオンカード、VISA をかたるフィッシングの報告も含めた上位 5 ブランドで、報告数全体の約 67.8% を占めました。また上位ブランドの多くが、前月より報告数が増加傾向となりました。

フィッシングに悪用されたブランドは 74 ブランドとなりました。クレジット・信販系は 26 ブランドとなり、前月に引き続きクレジットカードブランドをかたるフィッシングが多く、都市銀行やネット銀行など金融系ブランドは 5 ブランドと減りました。
ISP やホスティング事業者については 10 ブランドとなっており、メールアカウントや管理アカウントの認証情報 (ID/パスワード) の詐取が目的と思われるフィッシングの報告が続いています。その他では、東京電力や ETC 利用照会サービス、モバイル事業者をかたるフィッシングの報告が増えました。

ショートメッセージ (SMS) から誘導されるフィッシングについては、Amazon をかたる文面のものが引き続き多く報告されています。SMS はメールと比較すると、本物と誤認したり、ついアクセスしてしまう傾向があるため、注意が必要です。 宅配業者の不在通知を装った SMS についても多くの報告を受領しており、不正なアプリ (マルウェア等) のインストールへ誘導されたり、Apple や LINE、ドコモ、宅配業者などのフィッシングサイトへ誘導されるケースが確認されています。この SMS の送信元の電話番号は、同様の SMS から不正なアプリ (マルウェア等) のインストールを行ってしまった被害者のものである可能性が高いため、返信したり電話をかけないよう、注意や配慮が必要です。

フィッシング以外では、ショップや有名人の SNS の公式アカウントに似せた偽アカウントからの賞品当選メッセージや、無料のスポーツ動画配信サービスを装うサイト等から、登録と称してクレジットカード情報などの入力を促すサイトへ誘導し、意図しない有料サービスへ登録させられるケースが報告されています。真偽を確認せず、安易に情報を入力しないよう、ご注意ください。
その他、前月に引き続きビットコインを要求する脅迫メール (セクストーションメール) の報告も多数、寄せらせました。このようなメールは過去に漏洩した情報を元に送られているケースも確認されているため、長らくパスワードを変更していないサービスがある場合は、パスワード変更を行い、パスワードを使いまわししないよう、ご注意ください。

7 月も差出人に正規のメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールが非常に多く配信されました。「なりすまし」メールは、正規メールとの判別が難しい場合が多く、現在、日本で普及している送信ドメイン認証技術 SPF だけでは、これらのなりすましメールを判別できず、逆に正規メールとして誤認を招く可能性があります。SPF に加えて DMARC を導入し、正規の送信元から送られたか否かを、受信側で検証できる手段を提供することが重要です。また「なりすまし」メール以外では、7 月は .cn ドメインのメールアドレスから送信されるフィッシングメールが非常に多く確認されました。基本に立ち返り、送信元メールアドレスを確認する習慣をつけることも重要です。
メール文面に違和感のない見破ることが困難なフィッシングメールでも、送信元メールアドレスと DMARC の検証結果の確認、併せて迷惑メールフィルタを使用することで判別ができるものが多いことを確認しています。スマートフォンのメールアプリで手軽に DMARC の検証結果を確認できるサービスもあるため、まずはフィッシングメールを受け取らない、読まないために、これらの対策を検討してください。

普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認するよう、心がけてください。またクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、もし、入力した情報が裏で即時に不正利用された場合には、何が起こるかを考え、似たようなフィッシングや詐欺事例がないかを確認するようにしてください。 特に初めて利用するサイトの場合は、運営者情報や問い合わせ先なども確認し、実在する組織の場合は他に (本物の) サイトかあるかどうか、また詐欺事例等がないかを確認するようにしてください。

フィッシングか否かの判断に迷うメールや不審なメールを受け取った場合は、各サービス事業者の問合せ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。 【報告方法】はこちら

参考情報

  三井住友銀行をかたるフィッシング (2021/07/05)
    https://www.antiphishing.jp/news/alert/smbcbank_20210705.html

  三井住友カードをかたるフィッシング (2021/07/05)
    https://www.antiphishing.jp/news/alert/smbccard_20210705.html

  VISA カードをかたるフィッシング (2021/07/06)
    https://www.antiphishing.jp/news/alert/visa_20210706.html

  JAL カードをかたるフィッシング (2021/07/15)
    https://www.antiphishing.jp/news/alert/jalcard_20210715.html

  NTT ドコモをかたるフィッシング (2021/07/26)
    https://www.antiphishing.jp/news/alert/nttdocomo_20210726.html

  楽天カードをかたるフィッシング (2021/07/27)
    https://www.antiphishing.jp/news/alert/rakutencard_20210727.html