~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

HOME > 報告書類 > 月次報告書 > 2022/08 フィッシング報告状況

月次報告書

2022/08 フィッシング報告状況

2022年09月05日

フィッシング報告件数

2022 年 8 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 12,975 件減少し、94,973 件となりました。

フィッシングサイトの URL 件数

2022 年 8 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 33 件増加し、49,221 件となりました。

フィッシングに悪用されたブランド件数

2022 年 8 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 1 件減少し、85 件となりました。

総評

2022 年 8 月のフィッシング報告件数は 94,973 件となり、2022 年 7 月と比較すると 12,975 件減少しました。
6 月に緊急情報を掲載した「クレジットカードの利用確認を装うフィッシング」の報告が引き続き多く、報告数全体の約 32.4 % となり、誘導元フィッシングメールが確認された 6 ブランドのうち、特に VISA、JCB をかたるメール文面が多く報告されました。 次いで報告が多かった Amazon、三井住友銀行、ETC 利用サービスをかたるフィッシングの報告をあわせると、全体の約 71.3 % を占めました。また、1,000 件以上の大量の報告を受領したブランドは 12 ブランドあり、これらで全体の約 86.8 % を占めました。
分野別では、クレジット・信販系は報告数全体の約 51.1 %、EC 系 約 17.8 %、金融系 約 16.1 %、オンラインサービス系 約 6.8 %、交通系 約 4.7 %、省庁 約 2.0 % となりました。
フィッシングに悪用されたブランドは 85 ブランドでした。クレジット・信販系は 19 ブランド、金融系ブランドは 13 ブランド、ISP やホスティング事業者、メールサービスについては 12 ブランド、EC 系 9 ブランドとなりました。

また、8 月は国税庁をかたるフィッシングの報告を多く受領しました。ショートメッセージ (SMS) またはフィッシングメールからクレジットカードやプリペイドカード情報を入力するサイトへ誘導していますが、Android スマートフォンを利用している場合は不正アプリ (マルウェア等) のインストールへ誘導されることがあるため、注意が必要です。 また、利用者には見慣れた本物のお知らせメールの文面をコピーして、差出人に国税庁のドメインのメールアドレスが使われたなりすまし送信メールも報告されています。 このようなフィッシングメールは利用者には見分けることは難しいため、迷惑メールフィルターを利用するとともに、フィルターをすり抜けた不正メールは迷惑メールフィルターの提供元 (メールサービス、セキュリティベンダー等) へも報告してください。

SMS から誘導されるフィッシングについては、宅配便関連の不在通知を装う文面から Apple をかたるフィッシングサイトへ誘導されるタイプや、モバイルキャリア、Amazon をかたる文面のものの報告が続いています。 また、Android スマートフォンの場合は不正アプリ (マルウェア等) のインストールへ誘導されることが多いため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。

フィッシング URL 数については、7 月とほぼ同数で多い状況が続いています。大量のドメインとサブドメインを組みあわせたパターンの URL が引き続き多く、フィッシングサイトの URL 件数全体の約 84.0 % を占めましたが、これらは同一の IP アドレスのフィッシングサイトへ誘導されることが多く、稼働を確認できた URL に割り当てられた IP アドレス数は 28 個でした。 また全体の TLD 別では .top 約 32.0 % 、.com 約 17.1 %、.icu 約 16.6 %、.cn 約 8.8 %、.shop 約 6.2 %、.rest 約 3.4 %、.group 約 3.3 %、.id 約 2.5%、.space 約 2.2 % となりました。

ある調査用メールアドレス宛に 8 月に届いたフィッシングメールのうち、約 53.9 % がメール差出人に正規のメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであり、今月もフィッシングメール全体の半数以上を占めています。
日本で普及している送信ドメイン認証技術 SPF のみ使用した場合、SPF=fail で検知できたものは約 8.5 %。SPF=softfail (受信側では素通し) は約 18.6 % となり、SPF 判定だけでは検知率が低い状況となっています、DMARC でのみ検出できるなりすましメールは約 33.0 % と増加、独自ドメインが使われるなど、送信ドメイン認証で判別ができないフィッシングメールは約 39.9 % となりました。 また DMARC ポリシーが p=none、つまり検証に失敗しても受信者に配信する、という設定のまま運用され続けているブランド (ドメイン) のなりすまし送信が続いており、DMARC の設定がないドメインに加え、DMARC ポリシーが弱いドメインも狙われていると考えられます。

調査用メールアドレスへ配信されたフィッシングメールの送信元 IP アドレスの調査では、CN の通信事業者からの大量配信が約 91.9 %、次いで日本国内からの配信は約 3.9 % となり、前月に引き続き CN からの配信が多い状況が続きました。


事業者のみなさまへ

メールサービスを提供している通信事業者は、DMARC 検証+迷惑メールフィルターを利用者へ提供し、利用を促してください。
オンラインサービスを提供している事業者は最低限 SPF と DMARC でドメインを保護してください。DMARC p=none のモニタリングモードでは、受信側メールサービスはなりすましメールをフィルタリングできません。DMARC p=none で運用している事業者は DMARC レポートをもとに、p=quarantine または reject に変更する準備をしてください。pct パラメーターを使うと、少しずつ適用が可能となります。 また、SPF や DKIM の検証を pass するなりすましフィッシングメールが増えています。対策としては DMARC に対応したり、正規メールを視認しやすくする対策が効果的です。正規メールを視認しやすくする技術およびサービスとしては BIMI や Yahoo!メールブランドアイコン、ドコモメール公式アカウント等があります。また、ドコモは 2022 年 8 月 23 日より DMARC/DKIM 検証にも対応しました。ユーザー数が多いメールサービスで対応しており、一定の効果が期待できるため、これらの技術やサービスの利用も検討してください。また、すべての発信メールにメール本文の改ざんを防ぐ S/MIME で署名すると、本物メールの URL を差し替えられたフィッシングメール等を防ぐ効果が期待できます。
企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。なりすまし送信によるフィッシングやマルウェア攻撃への対策の一つとして、送受信ともに DMARC を有効にすることを検討してください。


利用者のみなさまへ

現時点で大量のフィッシングメールを受信している利用者は、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングサイト経由などで漏えいしてしまった携帯電話番号や個人情報をもとに、さまざまなサービスへログインしようとしたり、キャリア決済やキャッシュレス決済サービスを不正利用するケースが報告されています。 身に覚えがないタイミングで認証コード通知 SMS などが届いた時は、パスワード変更したり、決済サービスの使用履歴などを確認してください。
また、普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、 入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。


情報提供のお願い

フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。 【報告方法】はこちら


今月の緊急情報

  経済産業省 資源エネルギー庁をかたるフィッシング (2022/08/09)
     https://www.antiphishing.jp/news/alert/meti_20220809.html

  Google 翻訳の正規 URL から誘導されるフィッシング (2022/08/09)
     https://www.antiphishing.jp/news/alert/googletranslate_20220809.html

  国税庁をかたるフィッシング (2022/08/15)
     https://www.antiphishing.jp/news/alert/nta_20220815.html

  国税庁をかたるフィッシング (2022/08/23)
     https://www.antiphishing.jp/news/alert/nta_20220823.html


参考情報

  クレジットカードの利用確認を装うフィッシング (2022/06/24)
     https://www.antiphishing.jp/news/alert/creditcard_20220624.html

  なりすまし送信メール対策について
     https://www.antiphishing.jp/enterprise/domain_authentication.html