フィッシング報告件数
2021 年 8 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 18,390 件増加し、53,177 件となりました。
フィッシングサイトの URL 件数
2021 年 8 月のフィッシングサイトの URL 件数 (重複無し) は、前月より 916 件増加し、9,024 件となりました。
フィッシングに悪用されたブランド件数
2021 年 8 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 15 件増加し、89 件となりました。
2021 年 8 月のフィッシング報告件数は 53,177 件となり、7 月と比較すると 18,390 件増加しました。
総評
Amazon をかたるフィッシングは報告数全体の約 24.8% を占めており、前月より更に割合が減っています。次いで三井住友カード、エポスカード、イオンカード、PayPay 銀行をかたるフィッシングの報告も含めた上位 5 ブランドで、報告数全体の約 65.8% を占めました。また 1,000 件以上の大量の報告を受領したブランドは、7 月は 6 ブランドでしたが、 8 月は 11 ブランドあり、これら上位ブランドの多くは前月より報告数が増加傾向となりました。
フィッシングに悪用されたブランドは 89 ブランドと増えました。クレジット・信販系は 23 ブランドとなり、前月に引き続きクレジットカードブランドをかたるフィッシングが多く、都市銀行やネット銀行など金融系ブランドは 9 ブランドと増えました。
ISP やホスティング事業者については 16 ブランドとなっており、メールアカウントや管理アカウントの認証情報 (ID/パスワード) の詐取が目的と思われるフィッシングの報告が増えています。その他では、ねんきんネット(日本年金機構)、特別定額給付金申請サイト(総務省)、コロナワクチンナビ(厚生労働省)を模した偽サイトへ誘導するフィッシングの報告が寄せられました。
ショートメッセージ (SMS) から誘導されるフィッシングについては、Amazon をかたる文面のものが引き続き多く報告されています。SMS はメールと比較すると、本物と誤認したり、ついアクセスしてしまう傾向があるため、注意が必要です。 宅配業者の不在通知を装った SMS についても多くの報告を受領しており、不正なアプリ (マルウェア等) のインストールへ誘導されたり、Apple や LINE、ドコモなどのフィッシングサイトへ誘導されるケースが確認されています。この SMS の送信元の電話番号は、同様の SMS から不正なアプリ (マルウェア等) のインストールを行ってしまった被害者のものである可能性が高いため、返信したり電話をかけないよう、注意や配慮が必要です。
フィッシング以外では、前月に引き続き、無料のスポーツ動画配信サービスを装うサイト等から、登録と称してクレジットカード情報などの入力を促すサイトへ誘導し、意図しない有料サービスへ登録させられるケースが報告されています。真偽を確認せず、安易に情報を入力しないよう、ご注意ください。
その他、前月に引き続きビットコインを要求する脅迫メール (セクストーションメール) の報告も多数、寄せらせました。このようなメールは過去に漏洩した情報を元に送られているケースも確認されているため、長らくパスワードを変更していないサービスがある場合は、パスワード変更を行い、パスワードを使いまわししないよう、ご注意ください。
報告数上位のブランドは、毎日大量のフィッシングメールを配信されており、ある調査用メールアドレス宛に届いたこれらの大量配信系フィッシングメールのうち、約 90.7 % がメール差出人に正規のメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールでした。差出人メールアドレスが正規のドメインであるため、受信者が正規メールか否か判別することが難しく、現在、日本で普及している送信ドメイン認証技術 SPF だけでは不十分なため、SPF に加えて DMARC を導入し、正規の送信元から送られたか否かを受信側で検証できる手段を提供することが重要です。また 8 月は特に CN の事業者からの大量配信が多く、調査用メールアドレスへの配信では約 91.2 % を占めました。
メール文面に違和感のない見破ることが困難なフィッシングメールでも、送信元メールアドレスと DMARC の検証結果の確認、併せて迷惑メールフィルタを使用することで判別ができるものが多いことを確認しています。事業者は送信元メールアドレス (ドメイン) を利用者へ掲示するとともに、そのドメインは最低限、SPF と DMARC で保護することが重要です。また、利用者は DMARC 検証と迷惑メールフィルタが利用できるメールサービスを使用することを検討してください。
普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認するよう、心がけてください。またクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、もし、入力した情報が裏で即時に不正利用された場合には、何が起こるかを考え、似たようなフィッシングや詐欺事例がないかを確認するようにしてください。 特に初めて利用するサイトの場合は、運営者情報や問い合わせ先なども確認し、実在する組織の場合は他に (本物の) サイトかあるかどうか、また詐欺事例等がないかを確認するようにしてください。
フィッシングか否かの判断に迷うメールや不審なメールを受け取った場合は、各サービス事業者の問合せ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。
【報告方法】はこちら
参考情報
日本年金機構をかたるフィッシング (2021/08/02)
https://www.antiphishing.jp/news/alert/nenkinnet_20210802.html
ニッセン・クレジットサービスをかたるフィッシング (2021/08/02)
https://www.antiphishing.jp/news/alert/nissencredit_20210802.html
大丸松坂屋カードをかたるフィッシング (2021/08/03)
https://www.antiphishing.jp/news/alert/jfrcard_20210803.html
アメリカン・エキスプレス・カードをかたるフィッシング (2021/08/04)
https://www.antiphishing.jp/news/alert/americanexpress_20210804.html
ジャックスをかたるフィッシング (2021/08/05)
https://www.antiphishing.jp/news/alert/jaccs_20210805.html
ローソン銀行をかたるフィッシング (2021/08/13)
https://www.antiphishing.jp/news/alert/lawsonbank_20210813.html
厚生労働省をかたるフィッシング (2021/08/13)
https://www.antiphishing.jp/news/alert/mhlw_20210813.html
特別定額給付金に関する通知を装うフィッシング (2021/08/24)
https://www.antiphishing.jp/news/alert/kyufukin_20210824.html
厚生労働省をかたるフィッシング (2021/08/30)
https://www.antiphishing.jp/news/alert/mhlw_20210830.html