フィッシング報告件数
2023 年 9 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 17,448 件増加し、117,033 件となりました。
2023 年 9 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 5,462 件減少し、14,934 件となりました。
2023 年 9 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 11 件減少し、80 件となりました。
2023 年 9 月のフィッシング報告件数は 117,033 件となり、2023 年 8 月と比較すると 17,448 件、約 14.9 % 増加しました。
本物のメール文面をコピーし、正規ドメインでなりすまし送信を行うフィッシングメールも多く、受信者には非常に判断が難しい状況となっています。
大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしている事実を認識し、参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
ETC 利用照会サービスをかたるフィッシング (2023/09/04)
なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
フィッシングサイトの URL 件数
フィッシングに悪用されたブランド件数
総評
前月に引き続き Amazon をかたるフィッシングの報告が増加しており、報告数全体の約 40.8 % となりました。次いで報告数が多かった ETC利用照会サービス、三井住友カード、Apple、マイナポイント事務局をかたるフィッシングの報告をあわせると、全体の約 71.3 % を占めました。また、1,000 件以上の大量の報告を受領したブランドは 17 ブランドあり、これらで全体の約 93.8 % を占めました。
分野別では、報告数全体に対する割合は EC 系 約 46.2 %、クレジット・信販系 約 21.3 %、オンラインサービス系 約 12.0 %、金融系 約 7.2 %、公共サービス系 約 4.0 %、交通系 約 3.1 % となり、実報告数では前月と比較すると EC 系が 25.8 % 急増し、金融系が -37.9% と大きく減少しました。
フィッシングに悪用されたブランドは 80 ブランドとなり、全体的に減少しました。クレジット・信販系 17 ブランド、通信事業者・メールサービス系 13 ブランド、金融系 11 ブランド、配送系 6 ブランド、EC 系 5 ブランド、オンラインサービス系 5 ブランドとなりました。
SMS から誘導されるフィッシング (スミッシング) については、金融系ブランドおよび Amazon をかたる文面の報告を多く受領しました。また宅配便関連の不在通知を装う文面から Apple をかたるフィッシングサイトへ誘導するタイプの報告も続いています。Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導されることが多いため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。
2023 年 9 月のフィッシングサイトの URL 件数は 14,934 件となり、2023 年 8 月と比較すると 5,462 件減少しました。
報告された URL 全体の TLD 別では .com が約 53.3 %、次いで .cn 約 14.7 %、.cc 約 5.5 %、.xyz 約 4.5 %、.top 約 3.4 %、.shop 約 2.6 %、.cfd 約 2.3 %、.jp 約 1.7 %、.buzz 約 1.6 % となり、主に .com ドメイン、.cn ドメインが多くフィッシングに悪用されました。フィッシングメール内の URL からリダイレクトで別の URL のフィッシングサイトへ誘導する手法が多く使われており、かたる対象のブランドを変更していても、誘導元(メール内の)URL は同一 IP アドレスを長く使い回すケースも確認されました。
ある調査用メールアドレス宛に 9 月に届いたフィッシングメールのうち、約 72.2 % がメール差出人に実在するサービスのメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであり、多い状況が続いています。
送信ドメイン認証技術 DMARC のポリシーが reject または quarantine で、フィルタリング可能な なりすましフィッシングメールは 32.5 %、DMARC ポリシーが none または DMARC 対応していないドメインのなりすましフィッシングメールは 39.7 % と増加しました。送信ドメイン認証では判別ができないフィッシングメールは約 27.8 % となり、増加傾向となりました。迷惑メールフィルターを回避するため、独自ドメインで DMARC を正しく設定して送信しているケースが増えています。
調査用メールアドレスへ配信されたフィッシングメールの送信元 IP アドレスの調査では、全体の約 86.1 % が CN の通信事業者からの配信でした。
新たに構築されたと思われるクラウド系メール配信インフラから、大量のなりすましフィッシングメールが配信されてることを確認しています。一般契約回線と思われる IP アドレスからのフィッシングメール配信は減少しました。また、逆引き (PTR レコード) 設定がされていない IP アドレスからの送信は約 94.1 % を占めました。このような傾向から、迷惑メール対策として、送信元 IP アドレスには PTR レコードの設定が必要、としている大手メールサービスもあります。
前月に引き続き、DMARC 受信側対応を行っていない (DMARC ポリシーが reject や quarantine のメールを素通しする) メールサービス(通信事業者)の利用者からの報告の割合が増えています。あるメールサービス利用者からは quarantine で運用中のドメインのなりすましフィッシングメールの報告を大量に受領し、週次報告数では約 19.6 %、約 2 割近くに達した期間もありました。他のメールサービスには、同件名、同内容のフィッシングメールでも、なりすましせずに送っているため、意図的にそのようなメールサービスを狙った可能性が考えられます。利用者を守るため、メールサービス事業者は早期に DMARC 受信側対応を行うことを検討してください。
9 月はマイナポイント事務局をかたるフィッシングに関する報告や相談を多く受領しました。9 月末がマイナポイント受け取り申請の申し込み期限だったことから、つい情報を入力してしまった、という報告も少なくありませんでした。また、新製品の発売にあわせて Apple をかたるフィッシング報告が、シルバーウィーク前後に ETC 利用照会サービスのフィッシング報告が増加しました。
また一般企業から、自社のドメインをかたったなりすましメールが送られた、または着信した、という相談が増えています。フィッシングでかたられるブランドや、組織の規模や知名度に関係なく、ただなりすまし送信メールを送るためにドメインが不正利用されるケースが多く確認されています。「事業者のみなさまへ」を参考に、対策を始めてください。
フィッシング以外では、Apple から身に覚えのない注文確認のメールが届いた、という報告を受領しています。不正に注文が行われた可能性があるため、そのようなメールを受け取った際は、最寄りの警察署へ相談、情報提供してください。
その他では、前月に引き続き、商品が送られてこない、連絡が途絶えた、クレジットカード情報を不正利用された、所在地や社名等に自社の情報が使われている、フリマや EC サイト等に掲載した商品の写真を無断で利用されている等、悪質 EC サイトの報告が多い状況が続いています。初めて購入を行う EC サイトでは、先に問い合わせ先へ確認するなど、十分にご注意ください。その他では不審な仕事(アルバイト)に勧誘、誘導するメールや、金品が当選等したという内容で詐欺へ誘導するメールやショートメッセージなどの報告が続いています。このような誘いに乗ると犯罪に巻き込まれる可能性があるため、いずれも最寄りの警察署へ相談、情報提供してください。
事業者のみなさまへ
メールサービスを提供している通信事業者は、DMARC ポリシーに従ったメールの配信を行うとともに、迷惑メール対策を強化し、ユーザーへ迷惑メールフィルターの利用を促してください。また、ウェブメールなどでは送信ドメイン認証の検証状況を利用者が認識できるよう、検証結果に基づいた警告表示等を検討してください。
オンラインサービスを提供している事業者は、利用通知やメールマガジンも含め、利用者へ正規メールを読んでもらうために、必ず DMARC でメール送信用ドメインを保護してください。モニタリングモードで DMARC レポートを分析を開始し、正規メールが DMARC 検証を pass して利用者に届いていることを確認しながら、DMARC ポリシーを quarantine または reject に変更することで効果が発揮されます。また、メール配信に使っていないドメインがある場合は、不正に利用されないよう、明示的に reject ポリシーを設定しておくことが重要です。
また、送信ドメイン認証の検証結果を使って、正規メールにマークやアイコンを表示し、視認しやすくする方法は、わかりやすいため、非常に有効です。現在、利用可能なサービスとしては Gmail や Apple iCloud メール (iOS16 で対応) および au メールアプリ (2023年10月以降) などで対応している BIMI、 Yahoo!メールブランドアイコン、Yahoo!メールブランドカラー (送信ドメイン認証結果が正しいメールを色分けしメッセージを表示)、ドコモメール公式アカウント等があります。参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、これらの技術やサービスの利用を検討したり、すでに対応済みの場合は、既存の啓発コンテンツを見直して、送信ドメイン認証で認証された正規メールと偽メールとの見え方の違いについて、十分に周知してください。
また、フィッシングメールが届くということは、メールアドレス等の情報が、過去にどこかから漏えいしていることを意味します。漏えいしたデータは消すことができないため、フィッシングメールが届いている利用者には、メールアドレスを新たに作成して登録変更することを推奨してください。
企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。昨今、まったく関連がないブランドのフィッシングメールの差出人メールアドレスに企業のドメインが使われるケースが増えています。なりすまし送信によるドメインの不正利用やフィッシング、マルウェア攻撃への対策の一つとして、送受信ともに DMARC 正式運用 (ポリシーを reject または quarantine に設定し、受信時はポリシーに従ってメールを排除) に移行することを検討してください。
送信ドメイン認証を運用中の注意事項としては、メール配信サービスを追加したり、ネットワーク設備を統廃合するうちに、DNS に登録されている送信ドメイン認証の設定値が無効となる場合があります。特に多いのは SPF のエラーであり、さまざまなプロモーションメール配信を行う部門を持つ大手事業者で発生しているケースがよく見られます。定期的にチェックサイトで確認したり、DMARC レポートで送信メールが正常に判定されているか等、監視を行ってください。
スミッシング対策としては、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号(共通ショートコード) 等を使うこと、正規メッセージにはURLは記載しないこと、認証コードのメッセージにその事由や警告を記載する等を検討し、啓発を行ってください。
利用者のみなさまへ
フィッシングサイト経由などで漏えいしてしまった携帯電話番号や個人情報をもとに、さまざまなサービスへログインしようとしたり、キャリア決済やキャッシュレス決済サービスを不正利用するケースが報告されています。身に覚えがないタイミングで認証コード通知 SMS などが届いた時は、パスワード変更したり、決済サービスの使用履歴などを確認してください。
また、普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。
今月の緊急情報
https://www.antiphishing.jp/news/alert/ETC_20230904.html
日本生命をかたるフィッシング (2023/09/11)
https://www.antiphishing.jp/news/alert/nissay_20230911.html
マイナポイント事務局をかたるフィッシング (2023/09/11)
https://www.antiphishing.jp/news/alert/myna_20230911.html
So-net をかたるフィッシング (2023/09/13)
https://www.antiphishing.jp/news/alert/sonet_20230913.html
ソフトバンクをかたるフィッシング (2023/09/13)
https://www.antiphishing.jp/news/alert/softbank_20230913.html
参考情報
https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages