フィッシング報告件数
2022 年 1 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 12,544 件減少し、50,615 件となりました。
2022 年 1 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 554 件増加し、8,025 件となりました。
2022 年 1 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 9 件増加し、86 件となりました。
2022 年 1 月のフィッシング報告件数は 50,615 件となり、2021 年 12 月と比較すると 12,544 件減少しました。
フィッシングサイトの URL 件数
フィッシングに悪用されたブランド件数
総評
Amazon をかたるフィッシングは報告数全体の約 33.8 % を占めており、次いで報告数が多かった メルカリ、JCB、三井住友カードをかたるフィッシングの報告も含めた上位 4 ブランドで、報告数全体の約 67.6 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 10 ブランドあり、これら上位 10 ブランドでは全体の約 82.9 % を占めました。
フィッシングに悪用されたブランドは 86 ブランドでした。クレジット・信販系は 24 ブランドとなり、前月に引き続きクレジットカードブランドをかたるフィッシングが多く、都市銀行やネット銀行など金融系ブランドは 5 ブランドでした。
ISP やホスティング事業者、メールサービスについては 11 ブランドで、詐取されたアカウント情報は不正なメール配信等に使われている可能性があります。また、キャッシュレス決済サービスをかたるフィッシングの報告が増えた他、フードデリバリーサービスかたるフィッシング報告を受領しました。
ショートメッセージ (SMS) から誘導されるフィッシングについては、前月に引き続き、Amazon、au、ドコモをかたる文面のものが多く報告された他、クレジットカードブランドをかたる文面のものも報告を受領しました。
SMS はメールと比較すると、本物と誤認したり、ついアクセスしてしまう傾向があるため、注意が必要です。また、au、ドコモ、日本郵便 (宅配便の不在通知) を装う SMS については不正なアプリ (マルウェア等) のインストールへ誘導されるケースが確認されています。Android スマートフォンを利用している場合は、日頃から Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。
また、フィッシングサイト経由などで漏えいしてしまった携帯電話番号や個人情報をもとに、さまざまなサービスへログインしようとしたり、キャリア決済やキャッシュレス決済サービスを不正利用するケースが報告されています。身に覚えがないタイミングで認証コード通知 SMS などが届いた時は、パスワード変更したり、決済サービスの使用履歴などを確認してください。また、SMS で受信した認証コードを入力する際は、一度立ち止まり、その入力先サイトが本物かどうか、本当に必要な手続きなのかどうかを確認してください。
フィッシング以外では、景品プレゼントやイベントへの応募登録の名目で LINE アカウントへ連絡するよう誘導するメールや、不審なアルバイト募集メールの報告が多く寄せられました。連絡を行うと迷惑メールが増えたり、犯罪に巻き込まれる可能性があるため、このような迷惑メールは無視して削除してください。
1 月も送信元メールアドレスに正規サービスのドメインを使用した「なりすまし」送信メールの報告を多数、受領しました。
ある調査用メールアドレス宛に 1 月に届いたフィッシングメールのうち、約 76.2 % がメール差出人に正規のメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールでした。現在、日本で普及している送信ドメイン認証技術 SPF のみ使用した場合、SPF=hardfail で検出できたものは約 30.2 %、SPF=softfail (受信側では素通し) が約 34.9 %、SPFで検証できないものは約 24.6 % でした。また DMARC を使用しないと検出できないなりすましメールは 12.7 % でした。送信元 IP アドレスの調査では、前月に引き続き CN の通信事業者からの大量配信が多く、調査用メールアドレスへの配信では約 87.3 %、次いで日本国内からの配信は約 6.4 % を占めました。
なりすまし送信以外のフィッシングメールについては、約 30.0 % が差出人に .cn ドメインのメールアドレスを使用していました。
メール文面に違和感のない見破ることが困難なフィッシングメールでも、送信元メールアドレスと DMARC の検証結果の確認、あわせて迷惑メールフィルターを使用することで、検出ができるものが多いことを確認しています。また、DMARC で検証できた本物のメールにブランドアイコンを表示する BIMI は視覚的に判断しやすいため、対応する事業者も出てきています。事業者は最低限 SPF と DMARC でドメインを保護して、DMARC レポートで本物のメールが届いていることを確認したり、なりすまし送信を検知することを検討してください。
また、フィッシング報告の多くは、受信時に送信ドメイン認証 DMARC の検証を行っていない国内 ISP 及びモバイルキャリアのメールサービスの利用者から寄せられています。メールサービスを提供している事業者は、DMARC 検証+迷惑メールフィルターを利用者へ提供し、利用を促してください。
現時点で大量のフィッシングメールを受信している利用者は、メールアドレスが漏えいして広く出回っていると考え、今後の安全のためメールアドレスを変更したり、DMARC 検証と迷惑メールフィルターが利用できるメールサービスを使用することを検討してください。
企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。なりすまし送信によるフィッシングやマルウェア攻撃への対策の一つとして、送受信ともに DMARC を有効にすることを検討してください。
普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認するよう、心がけてください。またクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、もし、入力した情報が裏で即時に不正利用された場合には、何が起こるかを考え、似たようなフィッシングや詐欺事例がないかを確認するようにしてください。 特に初めて利用するサイトの場合は、運営者情報や問い合わせ先なども確認し、実在する組織の場合は他に (本物の) サイトかあるかどうか、また詐欺事例等がないかを確認するようにしてください。
フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。
【報告方法】はこちら
参考情報
LINE Pay をかたるフィッシング (2022/01/11)
https://www.antiphishing.jp/news/alert/line_pay_20220111.html
三菱HCキャピタルカードをかたるフィッシング (2022/01/11)
https://www.antiphishing.jp/news/alert/mitsubishi_hc_capital_20220111.html
プロミスをかたるフィッシング (2022/01/12)
https://www.antiphishing.jp/news/alert/promise_20220112.html
Uber Eats をかたるフィッシング (2022/01/28)
https://www.antiphishing.jp/news/alert/uber_eats_20220128.html