~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

HOME > 報告書類 > 月次報告書 > 2021/09 フィッシング報告状況

報告書類

2021/09 フィッシング報告状況

2021年10月05日

フィッシング報告件数

2021 年 9 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 3,224 件減少し、49,953 件となりました。

フィッシングサイトの URL 件数

2021 年 9 月のフィッシングサイトの URL 件数 (重複無し) は、前月より 2,388 件減少し、6,636 件となりました。

フィッシングに悪用されたブランド件数

2021 年 9 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 13 件減少し、76 件となりました。

総評

2021 年 9 月のフィッシング報告件数は 49,953 件となり、8 月と比較すると 3,224 件減少しました。
Amazon をかたるフィッシングは報告数全体の約 30.6% を占めており、前月より割合が増えています。次いで ETC 利用照会サービス、イオンカード、三井住友カード、コロナワクチンナビ (厚生労働省) をかたるフィッシングの報告も含めた上位 5 ブランドで、報告数全体の約 64.0% を占めました。また 1,000 件以上の大量の報告を受領したブランドは 10 ブランドあり、これら上位 10 ブランドでは全体の約 81.6% を占めました。

フィッシングに悪用されたブランドは 76 ブランドでした。クレジット・信販系は 21 ブランドとなり、前月に引き続きクレジットカードブランドをかたるフィッシングが多く、都市銀行やネット銀行など金融系ブランドは 5 ブランドと減りました。
ISP やホスティング事業者については 8 ブランドで、メールアカウントや管理アカウントの認証情報 (ID/パスワード) の詐取が目的と思われるフィッシングの報告数は前月より増えています。また、モバイルキャリアをかたるフィッシング報告も増えました。その他では、ETC 利用照会サービス、コロナワクチンナビ (厚生労働省) を模した偽サイトへ誘導するフィッシングの報告を非常に多く受領しました。

ショートメッセージ (SMS) から誘導されるフィッシングについては、Amazon、ドコモをかたる文面のものが多く報告されています。SMS はメールと比較すると、本物と誤認したり、ついアクセスしてしまう傾向があるため、注意が必要です。 宅配業者の不在通知を装った SMS についても多くの報告を受領しており、不正なアプリ (マルウェア等) のインストールへ誘導されたり、Apple やドコモなどのフィッシングサイトへ誘導されるケースが確認されています。Android スマートフォンを利用している場合は、日頃から Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。

フィッシング以外では、前月に引き続きビットコインを要求する脅迫メール (セクストーションメール) の報告も多数、寄せらせました。このようなメールは過去に漏洩した情報を元に送られているケースも確認されているため、長らくパスワードを変更していないサービスがある場合は、パスワード変更を行い、パスワードを使いまわししないよう、ご注意ください。

ある調査用メールアドレス宛に 9 月に届いたフィッシングメールのうち、約 87.4 % がメール差出人に正規のメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールでした。現在、日本で普及している送信ドメイン認証技術 SPF のみ使用した場合 SPF=fail で検出できたものは約 29.2 %、SPF=softfail (受信側では素通し) が約 38.5%、SPF=pass または none で検出できないものは約 32.2 %でした。また、送信元 IP アドレスの調査では、前月に引き続き CN の事業者からの大量配信が多く、調査用メールアドレスへの配信では約 94.4 % を占めました。

メール文面に違和感のない見破ることが困難なフィッシングメールでも、送信元メールアドレスと DMARC の検証結果の確認、併せて迷惑メールフィルタを使用することで、検出ができるものが多いことを確認しています。事業者は送信元メールアドレス (ドメイン) を利用者へ掲示するとともに、ドメイン=ブランドであることを認識し、最低限 SPF と DMARC でドメインを保護して、DMARC レポートでなりすまし送信を検知することを検討してください。また、利用者は DMARC 検証と迷惑メールフィルタが利用できるメールサービスを使用することを検討してください。

普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認するよう、心がけてください。またクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、もし、入力した情報が裏で即時に不正利用された場合には、何が起こるかを考え、似たようなフィッシングや詐欺事例がないかを確認するようにしてください。 特に初めて利用するサイトの場合は、運営者情報や問い合わせ先なども確認し、実在する組織の場合は他に (本物の) サイトかあるかどうか、また詐欺事例等がないかを確認するようにしてください。

フィッシングか否かの判断に迷うメールや不審なメールを受け取った場合は、各サービス事業者の問合せ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。 【報告方法】はこちら



参考情報


  ETC 利用照会サービスをかたるフィッシング (2021/09/07)
     https://www.antiphishing.jp/news/alert/etc_20210907.html

  ノジマをかたるフィッシング (2021/09/08)
     https://www.antiphishing.jp/news/alert/nojima_20210908.html

  VJA グループ (Vpass) をかたるフィッシング (2021/09/08)
     https://www.antiphishing.jp/news/alert/vjavpass_20210908.html

  ヨドバシカメラをかたるフィッシング (2021/09/09)
     https://www.antiphishing.jp/news/alert/yodobashi_20210909.html

  イオンカードをかたるフィッシング (2021/09/10)
     https://www.antiphishing.jp/news/alert/aeoncard_20210910.html

  NTT ドコモをかたるフィッシング (2021/09/14)
     https://www.antiphishing.jp/news/alert/nttdocomo_20210914.html

  厚生労働省をかたるフィッシング (2021/09/15)
     https://www.antiphishing.jp/news/alert/mhlw_20210915.html

  ソフトバンクをかたるフィッシング (2021/09/24)
     https://www.antiphishing.jp/news/alert/softbank_20210924.html

  au PAY をかたるフィッシング (2021/09/28)
     https://www.antiphishing.jp/news/alert/aupay_20210928.html

  アメリカン・エキスプレス・カードをかたるフィッシング (2021/09/30)
     https://www.antiphishing.jp/news/alert/american_express_20210930.html