フィッシング報告件数
2021 年 11 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 279 件減少し、48,461 件となりました。
2021 年 11 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 157 件増加し、7,575 件となりました。
2021 年 11 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 5 件増加し、82 件となりました。
2021 年 11 月のフィッシング報告件数は 48,462 件となり、10 月と比較すると 279 件減少しました。
フィッシングサイトの URL 件数
フィッシングに悪用されたブランド件数
総評
Amazon をかたるフィッシングは報告数全体の約 28.5 % を占めており、次いで メルカリ、三井住友カード、楽天、ETC 利用照会サービスをかたるフィッシングの報告も含めた上位 5 ブランドで、報告数全体の約 67.7 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 9 ブランドあり、これら上位 9 ブランドで全体の約 79.2 % を占めました。
フィッシングに悪用されたブランドは 82 ブランドでした。クレジット・信販系は 23 ブランドとなり、前月に引き続きクレジットカードブランドをかたるフィッシングが多く、都市銀行やネット銀行など金融系ブランドは 5 ブランドでした。
ISP やホスティング事業者、メールサービスについては 11 ブランドで、メールアカウントや管理アカウントの認証情報 (ID/パスワード) の詐取が目的と思われるフィッシングの報告数は前月に引き続き増えており、不正なメール配信に使われている可能性があります。また、モバイルキャリアをかたりフィッシングサイトへ誘導する SMS (スミッシング)の報告が増えました。その他、新規ブランドとして保険会社や電子マネーサービスをかたるフィッシングの報告がありました。
ショートメッセージ (SMS) から誘導されるフィッシングについては、Amazon、au をかたる文面のものが多く報告されています。SMS はメールと比較すると、本物と誤認したり、ついアクセスしてしまう傾向があるため、注意が必要です。また、au、ドコモ、日本郵便をかたる SMS については不正なアプリ (マルウェア等) のインストールへ誘導されるケースが確認されています。Android スマートフォンを利用している場合は、日頃から Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。
フィッシング以外では、前月に引き続きビットコインを要求する脅迫メール (セクストーションメール) の報告が多数、寄せられました。メールは過去に漏えいした情報をもとに送られているケースも確認されているため、長らくパスワードを変更していないサービスがある場合は、パスワード変更を行い、パスワードを使いまわししないよう、ご注意ください。また不審なアルバイト募集メールの報告も前月に引き続き多く寄せられていますが、このような迷惑メールは無視して削除してください。
11 月も送信元メールアドレスに正規サービスのドメインを使用した「なりすまし」送信メールの報告を多数、受領しました。
ある調査用メールアドレス宛に 11 月に届いたフィッシングメールのうち、約 89.0 % がメール差出人に正規のメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールでした。現在、日本で普及している送信ドメイン認証技術 SPF のみ使用した場合、SPF=hardfail で検出できたものは約 36.7 %、SPF=softfail (受信側では素通し) が約 26.6 %、SPF=none または permerror (設定ミス) で検出できないものは約 7.3 %でした。また DMARC を使用しないと検出できないなりすましメールは約 16.5% でした。
送信元 IP アドレスの調査では、前月に引き続き CN の事業者からの大量配信が多く、調査用メールアドレスへの配信では約 81.7 %、次いで日本国内からの配信は約 5.5 % を占めました。
メール文面に違和感のない見破ることが困難なフィッシングメールでも、送信元メールアドレスと DMARC の検証結果の確認、あわせて迷惑メールフィルターを使用することで、検出ができるものが多いことを確認しています。
サービス提供事業者は送信元メールアドレス (ドメイン) を利用者へ掲示するとともに、ドメイン=ブランドであることを認識し、最低限 SPF と DMARC でドメインを保護して、DMARC レポートでなりすまし送信を検知することを検討してください。
また、フィッシング報告の多くは、受信時に送信ドメイン認証 DMARC の検証を行っていない国内 ISP 及びモバイルキャリアのメールサービスの利用者から寄せられています。DMARC 検証+迷惑メールフィルターを提供しているメールサービスの利用者からの報告は少ないため、大量の「なりすまし」メールを排除できていると考えられます。
メールサービスを提供している事業者は、DMARC 検証+迷惑メールフィルターを利用者へ提供することを検討してください。現時点で大量のフィッシングメールを受信している利用者は、DMARC 検証と迷惑メールフィルターが利用できるメールサービスを使用することを検討してください。
企業においては、メールセキュリティ製品や大手クラウドメールサービスで DMARC が利用できます。なりすましメールによるフィッシングやマルウェア攻撃への対策の一つとして DMARC を有効にすることを検討してください。
普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認するよう、心がけてください。またクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、もし、入力した情報が裏で即時に不正利用された場合には、何が起こるかを考え、似たようなフィッシングや詐欺事例がないかを確認するようにしてください。 特に初めて利用するサイトの場合は、運営者情報や問い合わせ先なども確認し、実在する組織の場合は他に (本物の) サイトかあるかどうか、また詐欺事例等がないかを確認するようにしてください。
フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。
【報告方法】はこちら
参考情報
UCS カードをかたるフィッシング (2021/11/04)
https://www.antiphishing.jp/news/alert/ucscard_20211104.html
三井住友銀行をかたるフィッシング (2021/11/10)
https://www.antiphishing.jp/news/alert/smbc_20211110.html
三菱 UFJ 銀行をかたるフィッシング (2021/11/10)
https://www.antiphishing.jp/news/alert/mufg_20211110.html
明治安田生命をかたるフィッシング (2021/11/12)
https://www.antiphishing.jp/news/alert/meijiyasuda_20211112.html
DMM をかたるフィッシング (2021/11/17)
https://www.antiphishing.jp/news/alert/dmm_20211117.html
Mastercard をかたるフィッシング (2021/11/18)
https://www.antiphishing.jp/news/alert/mastercard_20211118.html
au および KDDI をかたるフィッシング (2021/11/26)
https://www.antiphishing.jp/news/alert/au_kddi_20211126.html
Joshin web をかたるフィッシング (2021/11/30)
https://www.antiphishing.jp/news/alert/joshin_web_20211130.html