フィッシング報告件数
2023 年 11 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 72,456 件 減少し、84,348 件となりました。
2023 年 11 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 2,829 件減少し、10,678 件となりました。
2023 年 11 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 5 件減少し、73 件となりました。
2023 年 11 月のフィッシング報告件数は 84,348 件となり、2023 年 10 月と比較すると 72,456 件、約 46.2 % と、大きく減少しました。
メールサービスを提供している通信事業者は、DMARC ポリシーに従ったメールの配信を行うとともに、迷惑メール対策を強化し、ユーザーへ迷惑メールフィルターの利用を促してください。また、ウェブメールなどでは送信ドメイン認証の検証状況を利用者が認識できるよう、検証結果に基づいた警告表示ならびに検証対象としたドメインの表示等を検討してください。
大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしている事実を認識し、参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。
【報告方法】はこちら
URL に特殊な IP アドレス表記を用いたフィッシング (2023/11/14)
なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
フィッシングサイトの URL 件数
フィッシングに悪用されたブランド件数
総評
前月に引き続き Amazon をかたるフィッシングの報告が多く、報告数全体の約 26.7 % となりました。次いで各 1 万件以上の報告を受領したETC利用照会サービス、マイナポイント事務局、三井住友カードをかたるフィッシングの報告をあわせると、全体の約 74.4 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 12 ブランドとなり、これらを合わせると全体の約 91.4 % を占めました。
分野別では、報告数全体に対する割合は EC 系 約 29.7 %、クレジット・信販系 約 23.8 %、オンラインサービス系 約 22.3 %、公共サービス系 約 13.1 %、交通系 約 3.4 % となり、EC 系の割合が減少し、クレジット・信販系およびオンラインサービス系の割合が増えました。全体報告数が大きく減少したにもかかわらず、クレジット・信販系については、前月とほぼ同数の報告を受領しています。
フィッシングに悪用されたブランドは 73 ブランドとなりました。クレジット・信販系 17 ブランド、通信事業者・メールサービス系 11 ブランド、金融系 8 ブランド、オンラインサービス系 5 ブランド、EC 系 5 ブランド、配送系 5 ブランド、決済サービス系 5 ブランドとなりました。
SMS から誘導されるフィッシング (スミッシング) については、金融系ブランドをかたる文面および宅配便関連の不在通知を装う文面から Apple をかたるフィッシングサイトへ誘導するタイプの報告を多く受領しました。
文面は日々変化しており、フィルターをすり抜けて届いているためか、前月より報告量が増えています。Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導されることが多いため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。
2023 年 11 月のフィッシングサイトの URL 件数は 10,678 件となり、2023 年 10 月と比較すると 2,829 件減少しました。
報告された URL 全体の TLD 別では .com が約 60.3 %、次いで .cn 約 12.7 %、.top 約 7.9 %、.cyou 約 3.0 %、.xyz 約 2.3 %、.dev 約 1.8%、.org 約 1.5 % となり、前月に引き続き、大量の .com ドメイン、次いで .cn ドメインが多くフィッシングに悪用されています。また、特殊な表記も含め、IPアドレスを直接記載していたのは 約 1.2 % となりました。
ある調査用メールアドレス宛に 11 月に届いたフィッシングメールのうち、約 41.4 % がメール差出人に実在するサービスのメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであり、前月よりも減少傾向となってはいるものの、報告全体の約4割を占めました。
送信ドメイン認証技術 DMARC のポリシーが reject(認証失敗したメールは受信拒否) または quarantine(認証失敗したメールを迷惑メールフォルダー等へ隔離) で、フィルタリング可能な なりすましフィッシングメールは約 16.6 %、DMARC ポリシーが none (認証失敗したメールも素通しして受信) または DMARC 対応していないドメインのなりすましフィッシングメールは約 24.9 % となり、DMARC 対応が広まるとともに、なりすましメールの割合が減ってきています。
また独自ドメインによるフィッシングメール配信は約 58.5 % と急増し、うち、DMARC に対応して認証成功 (dmarc=pass) したメールは約 25.4 % あり、送信ドメイン認証の有無による判定を回避しようとする試みが多くみられました。
前月に引き続き、海外のフィッシングメール配信インフラから、大量のフィッシングメール配信が確認されています。また、CN の一般契約回線と思われる IP アドレス帯からの配信が再び増加しました。逆引き (PTR レコード) 設定がされていない IP アドレスからの送信は約 75.0 % を占めました。このような傾向から、迷惑メール対策として、送信元 IP アドレスには PTR レコードの設定が必要、としている大手メールサービスもあります。
11 月は 10 月の過去最高の報告数から一転し、報告数が大きく減少しました。Amazon や ETC 利用照会サービスをかたるフィッシングの報告が各 3 万件以上減少したことが大きな要因となっていますが、報告数上位のブランドは先月と同じであり、特にマイナポイント事務局や ETC 利用照会サービスをかたるフィッシングについては、11 月も情報を入力してしまった等の相談を多く受領しました。
また、11 月は特殊な IP アドレス表記やさまざまなタイプの飾り文字を使い、フィッシングメール内の URL を検知されづらくしようとしたり、送信ドメイン認証の検証をパスするよう独自ドメインの設定を行って送信するなど、迷惑メールフィルター回避の試みが非常に多く確認されました。
メールの大量配信は、不正メールだけではなく、正規の利用通知やメルマガなど、事業者から利用者に対しても行われます。
不正メールを排除し、正規メールのみを確実に利用者に届けるため、大手メールサービスの Gmail では 2023 年 10 月 3 日「メール送信者のガイドライン」を公開しました。
Gmail アカウント宛てにメールを送信する場合は DMARC (p=none で可) と TLS 接続が必要な他、5,000 通/日以上の大量配信を行う場合は DKIM 署名が必須、DMARC アライメントの一致、Postmaster Tools で利用者に迷惑メールとして報告される率を 0.1 %以下に維持する、マーケティングメールはワンクリックでの登録解除に対応等、ごく「基本的なメールセキュリティ要件」が記載されており、2024 年 2 月 1 日以降、これらの要件が適用される、としています。
これらの要件は 2023 年 12 月に一部追加、変更があり、今後も変わる可能性があるため、参考情報の「Gmail : Email sender guidelines」を参照してください。
現在、利用者にメール環境を提供している ISP も含め、メール送信を行う事業者は、対応に向けて動いています。各事業者においては最低限、メール送信に使っているドメインに DMARC (最初は p=none でも可) を設定してレポート受信を開始し、Gmail の Postmaster Tools で利用者に送ったメールが迷惑判定されていないかを確認し、問題がある場合は改善してください。
フィッシング以外では、金品等が当選したという内容で詐欺へ誘導したり、不審な仕事(アルバイト) に勧誘するメールやショートメッセージなどの報告が続いています。このような誘いに乗ると犯罪に巻き込まれる可能性があるため、いずれも最寄りの警察署へ相談、情報提供を行ってください。また、ビットコイン等、仮想通貨での支払いを要求する脅迫メール (セクストーションメール) の報告が増えました。このようなメールは過去に漏えいした情報をもとに送られているケースも確認されているため、長らくパスワードを変更していないサービスがある場合は、パスワード変更を行い、パスワードを使いまわししないよう、ご注意ください。
事業者のみなさまへ
オンラインサービスを提供している事業者は DMARC でドメインを保護してください。DMARC レポートを分析し、正規メールが DMARC 検証を pass して利用者に届いていることを確認しながら最終的に DMARC ポリシーを quarantine または reject に変更することで、効果が発揮されます。また、メール配信に使っていないドメインがある場合は、不正に利用されないよう、明示的に reject ポリシーを設定しておくことが重要です。
なりすましではない、独自ドメインで送られるフィッシングメールへの対策としては、まずは正規メールの送信ドメイン認証を正しく設定し、送信ドメイン認証で正規メールであると判別できるメール以外は、注意するよう利用者に啓発してください。送信ドメイン認証の検証結果を使った正規メールを視認しやすくする技術としては BIMI (Gmail、Apple iCloud メール および au メールアプリ等が対応)、 Yahoo!メールブランドアイコン、Yahoo!メールブランドカラー (送信ドメイン認証結果が正しいメールを色分けしメッセージを表示)、ドコモメール公式アカウント等があります。参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、これらの技術やサービスの利用を検討してください。
利用者への啓発については、サービスの専用アプリで注意喚起を行ったり、既存の啓発コンテンツや送信する正規メールでの注意喚起を見直して、送信ドメイン認証で認証された正規メールと偽メールとの見え方の違いについて、十分に周知してください。利用者がその違いを知らなければ、効果はありません。また、フィッシングメールが届くということは、メールアドレス等の情報が、過去にどこかから漏えいしていることを意味します。漏えいしたデータは消すことができないため、フィッシングメールが届いている利用者には、メールアドレスを新たに作成して登録変更することを推奨し、その際にユーザーに正規メールにアイコンやマークが表示される、安全なメールサービスを利用することを啓発してください。安全ではないメールサービスを使い続けると、再び被害に遭う可能性があります。
企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。昨今、まったく関連がないブランドのフィッシングメールの差出人メールアドレスに企業のドメインが使われるケースが増えています。なりすまし送信によるドメインの不正利用やフィッシング、マルウェア攻撃への対策の一つとして、送受信ともに DMARC 正式運用 (ポリシーを reject または quarantine に設定し、受信時はポリシーに従ってメールを排除) に移行することを検討してください。
送信ドメイン認証を運用中の注意事項としては、メール配信サービスを追加したり、ネットワーク設備を統廃合するうちに、DNS に登録されている送信ドメイン認証の設定値が無効となる場合があります。特に多いのは SPF のエラーであり、さまざまなプロモーションメール配信を行う部門を持つ大手事業者で発生しているケースがよく見られます。定期的にチェックサイトで確認したり、DMARC レポートで送信メールが正常に判定されているか等、監視を行ってください。
スミッシング対策としては、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号(共通ショートコード) 等を使うこと、正規メッセージにはURLは記載しないこと、認証コードのメッセージにその事由や警告を記載する等を検討し、啓発を行ってください。
利用者のみなさまへ
フィッシングサイトに入力した情報を、犯罪者が裏で本物のサイトへ入力し、SMS 認証コード等も詐取して二要素認証を突破して、登録情報を変更したり、不正利用するケースが確認されています。身に覚えがない決済や登録変更の通知がきた場合は、送信ドメイン認証でアイコンが表示されている等、正規メールであるかを確認した上で、サービスのサポート窓口へ対応について相談してください。
普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。
情報提供のお願い
今月の緊急情報
https://www.antiphishing.jp/news/alert/ipurl_20231114.html
参考情報
https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages
Gmail : Email sender guidelines (2023年12月に要件がアップデートされている)
https://support.google.com/mail/answer/81126?hl=en
Gmail : メール送信者のガイドライン (上記の日本語版だが、英語版でのアップデートがすぐに反映されていない)
https://support.google.com/mail/answer/81126?hl=ja
Gmail : Postmaster Tools を使ってみる
https://support.google.com/mail/answer/9981691