フィッシング報告件数

2022 年 10 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 23,899 件減少し、78,126 件となりました。

フィッシングサイトの URL 件数

2022 年 10 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 24,008 件減少し、29,604 件となりました。

フィッシングに悪用されたブランド件数

2022 年 10 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 5 件減少し、89 件となりました。

総評

2022 年 10 月のフィッシング報告件数は 78,126 件となり、2022 年 9 月と比較すると 23,899 件減少しました。
Amazon をかたるフィッシングの報告が報告数全体の約 20.9 %、えきねっとをかたるフィッシングの報告が約 20.4 %となり、次いで報告が多かったイオンカード、三井住友カード、国税庁、JCB をかたるフィッシングの報告をあわせると、全体の約 74.3 % を占めました。また、1,000 件以上の大量の報告を受領したブランドは 12 ブランドあり、これらで全体の約 89.8 % を占めました。
分野別では、クレジット・信販系は報告数全体の約 42.0 %、EC 系 約 23.0 %、交通系 約 20.4 %、省庁 約 6.5 %、ペイメント系 3.9 %、オンラインサービス系 約 2.0 % となりました。
フィッシングに悪用されたブランドは 89 ブランドでした。クレジット・信販系は 18 ブランド、ISP やホスティング事業者、メールサービスについては 12 ブランド、金融系は 12 ブランド、EC 系 10 ブランドとなりました。


SMS から誘導されるフィッシング (スミッシング) については、国税庁をかたる文面からクレジットカードやプリペイドカード情報を入力するフィッシングサイトへ誘導するタイプが、前月に引き続き多く報告されました。また宅配便関連の不在通知を装う文面から Apple をかたるフィッシングサイトへ誘導するタイプや、Amazon をかたる文面も報告が続いています。Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導されることが多いため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。

7 月から 9 月まで続いていた大量のドメインとサブドメインを組みあわせた URL を使用した攻撃が 10 月は激減したため、報告数ならびに URL数も減少しました。このタイプの報告数は全体の約 18.7 % でしたが、URL 数は約 46.0 % と多い状況が続いており、うち稼働を確認できた URL に割り当てられた IP アドレス数は 24 個でした。
また Google 翻訳の正規 URL や短縮 URL を経由して誘導されるフィッシングの報告も、前月に引き続き多く受領しています。このタイプは URL フィルターで警告が出ないことがあるため、注意が必要です。
報告された URL 全体の TLD 別では .top が約 65.1 % と急増し、次いで .ly 約 7.7 %、.org 約 6.0 %、.com 約 5.0 %、.cn 約 4.0 %、.icu 約 2.7 %、.shop 約 2.6 % となりました。

ある調査用メールアドレス宛に 10 月に届いたフィッシングメールのうち、約 87.5 % がメール差出人に実在するサービスのメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであり、多い状況が続いています。
送信ドメイン認証技術 SPF のみ使用した場合、SPF=fail で検知できたものは約 35.5 %、 SPF=softfail (受信側では素通し) は約 45.6 %、DMARC でのみ検出できるなりすましメールは約 8.4 %、独自ドメインが使われるなど、送信ドメイン認証で判別ができないフィッシングメールは約 10.5 % となりました。 前月に引き続き、SPF=softfail や DMARC ポリシーが p=none など、送信ドメイン認証で検証に失敗したフィッシングメールも受信者に配信する、という設定のまま運用し続けているブランド (ドメイン) は、なりすましメールによるフィッシングの標的となっています。 また SPF は DNS Lookup が 10 回という制限があり、メール配信にさまざまな外部サービスを使っている場合、SPF レコードに include 等を追加していった結果、この制限値を超えて SPF がエラーとなるケースがよく発生します。また include 先が無くなった場合にもエラーとなります。 SPF を設定している場合は正常に機能しているか、定期的にチェックサイトで確認したり、監視を行ってください。

調査用メールアドレスへ配信されたフィッシングメールの送信元 IP アドレスの調査では、CN の通信事業者からの大量配信が約 94.8 % となり、前月に引き続き CN からの配信が多い状況が続きました。

事業者のみなさまへ

メールサービスを提供している通信事業者は、DMARC 検証＋迷惑メールフィルターを利用者へ提供し、利用を促してください。
オンラインサービスを提供している事業者は最低限 SPF と DMARC でドメインを保護してください。DMARC p=none のモニタリングモードでは、受信側メールサービスはなりすましメールをフィルタリングできません。DMARC レポートを分析し、正規メールが DMARC 検証を pass していることを確認できたら、p=quarantine または reject に変更してください。pct パラメーターを 1 から 100 へ少しずつ増やしていくと、ゆるやかな適用が可能となります。
また、SPF や DKIM の検証を pass するなりすましフィッシングメールが増えています。対策としては DMARC に対応したり、正規メールを視認しやすくする対策が効果的です。正規メールを視認しやすくする技術およびサービスとしては Gmail や Apple iCloud メール (iOS16 で対応) で使える BIMI や Yahoo!メールブランドアイコン、ドコモメール公式アカウント等があります。ユーザー数が多いメールサービスで対応しており、一定の効果が期待できるため、これらの技術やサービスの利用も検討してください。また、すべての発信メールにメール本文の改ざんを防ぐ S/MIME で署名すると、本物メールの URL を差し替えられたフィッシングメール等を防ぐ効果が期待できます。
企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。なりすまし送信によるフィッシングやマルウェア攻撃への対策の一つとして、送受信ともに DMARC を有効にすることを検討してください。

利用者のみなさまへ

現時点で大量のフィッシングメールを受信している利用者は、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングサイト経由などで漏えいしてしまった携帯電話番号や個人情報をもとに、さまざまなサービスへログインしようとしたり、キャリア決済やキャッシュレス決済サービスを不正利用するケースが報告されています。 身に覚えがないタイミングで認証コード通知 SMS などが届いた時は、パスワード変更したり、決済サービスの使用履歴などを確認してください。
また、普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。

情報提供のお願い

フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。 【報告方法】はこちら

今月の緊急情報

  金融庁をかたるフィッシング (2022/10/04)
     https://www.antiphishing.jp/news/alert/fsa_20221004.html

  MyJCB をかたるフィッシング (2022/10/17)
     https://www.antiphishing.jp/news/alert/myjcb_20221017.html

  警察庁を装うフィッシング (2022/10/26)
     https://www.antiphishing.jp/news/alert/npa_20221026.html

  新生銀行をかたるフィッシング (2022/10/26)
     https://www.antiphishing.jp/news/alert/shinseibank_20221026.html

  じゃらんをかたるフィッシング (2022/10/28)
     https://www.antiphishing.jp/news/alert/jalan_20221028.html

参考情報

  Google 翻訳の正規 URL から誘導されるフィッシング (2022/08/09)
     https://www.antiphishing.jp/news/alert/googletranslate_20220809.html

  なりすまし送信メール対策について
     https://www.antiphishing.jp/enterprise/domain_authentication.html