~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

HOME > 報告書類 > 月次報告書 > 2022/07 フィッシング報告状況

報告書類

2022/07 フィッシング報告状況

2022年08月03日

フィッシング報告件数

2022 年 7 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 19,698 件増加し、107,948 件となりました。

フィッシングサイトの URL 件数

2022 年 7 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 21,971 件増加し、49,188 件となりました。

フィッシングに悪用されたブランド件数

2022 年 7 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 14 件減少し、86 件となりました。

総評

2022 年 7 月のフィッシング報告件数は 107,948 件となり、2022 年 6 月と比較すると 19,698 件増加しました。
6 月に緊急情報を掲載した「クレジットカードの利用確認を装うフィッシング」の報告が報告数全体の約 47.6 % と非常に増えており、誘導元フィッシングメールが確認されている 8 ブランドのうち、特に VISA、マスターカード、JCB をかたるメール文面が多く報告されています。 次いで報告数が多い Amazon、三井住友カードをかたるフィッシングの報告をあわせると、全体の約 73.2 % を占めました。 また、1,000 件以上の大量の報告を受領したブランドは 15 ブランドあり、これらで全体の約 92.7 % を占めました。
分野別では、クレジット・信販系は報告数全体の約 67.6 %、EC系 約 17.0 %、オンラインサービス系 約 5.6 %、交通系 約 4.7 %、金融系 約 2.2 %、放送系 約 2.1 % となりました。
フィッシングに悪用されたブランドは 86 ブランドでした。クレジット・信販系は 25 ブランド、ISP やホスティング事業者、メールサービスについては 17 ブランド、金融系ブランドは 8 ブランドとなりました。

ショートメッセージ (SMS) から誘導されるフィッシングについては、宅配便関連の不在通知を装う文面から Apple をかたるフィッシングサイトへ誘導されるタイプや、モバイルキャリア、Amazon、Yahoo! JAPAN をかたる文面のものが報告されました。不正なアプリ (マルウェア等) のインストールへ誘導する SMS については、au (KDDI)、日本郵便 (宅配便関連の通知) を装うものの報告が続いています。Android スマートフォンを利用している場合は、日頃から Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。

フィッシング URL 数については、6 月と比較して約 1.8 倍と急増しました。特に「クレジットカードの利用確認を装うフィッシング」関連の URL は大量のドメインとサブドメインを組みあわせており、フィッシングサイトの URL 件数全体の約 79.8 % を占めました。URL は違っても同一の IP アドレスのフィッシングサイトへ誘導されることが多く、稼働を確認できた URL に割り当てられた IP アドレス数は URL 数の 1 % 以下でした。 また TLD 別では .co 約 41.6 %、.top 約 27.7 %、.cn 約 9.4 %、.tt 約 4.9 %、 .shop 約 3.1 %、.xyz 約 3.1 %、.com 約 2.2 % となりました。

フィッシング以外では、ビットコインを要求する脅迫メール (セクストーションメール) の報告が続いています。このようなメールは過去に漏えいした情報をもとに送られているケースも確認されているため、長らくパスワードを変更していないサービスがある場合は、パスワード変更を行い、パスワードを使いまわししないよう、ご注意ください。

ある調査用メールアドレス宛に 7 月に届いたフィッシングメールのうち、約 62.0 % がメール差出人に正規のメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールで、前月に引き続き多い状況が続いています。
日本で普及している送信ドメイン認証技術 SPF のみ使用した場合、SPF=fail で検出できたものは約 6.6 % となり、前月よりも検出率が大幅に下がっています。SPF=softfail (受信側では素通し) は約 30.7 % で前月よりも増加し、SPF のポリシーが弱いドメインが狙われています、DMARC でのみ検出できるなりすましメールは約 30.1 % と増加、送信ドメイン認証で判別ができない独自ドメインで送られるフィッシングメールは約 32.6 % と増加しました。 また DMARC ポリシーが none、つまり検証に失敗しても受信者に配信する、という設定のまま運用され続けているブランド (ドメイン) のなりすまし送信が続いており、DMARC の効果が発揮できない状態が狙われていると考えられます。

調査用メールアドレスへ配信されたフィッシングメールの送信元 IP アドレスの調査では、CN の通信事業者からの大量配信が約 92.1 %、次いで日本国内からの配信は約 4.7 % となり、前月に引き続き CN からの配信が多い状況が続きましたが、国内ホスティングサービスからの配信も前月より増えています。


事業者のみなさまへ

メール文面に違和感のない見破ることが困難なフィッシングメールでも、送信元メールアドレスと DMARC の検証結果の確認、あわせて迷惑メールフィルターを使用することで、検出ができるものが多いことを確認しています。 メールサービスを提供している通信事業者は、DMARC 検証+迷惑メールフィルターを利用者へ提供し、利用を促してください。
オンラインサービスを提供している事業者は最低限 SPF と DMARC でドメインを保護して、DMARC レポートで本物のメールが届いていることを確認したり、なりすまし送信を検知することを検討してください。また p=none のモニタリングモードでは、なりすましメールは受信側で素通しされるため、 長らく p=none で DMARC を運用している組織は、p=quarantine または reject に変更する準備をしてください。pct パラメーターを使うと、少しずつ適用が可能となります。 また、独自ドメインのメールアドレスを使い、送信ドメイン認証 SPF/DKIM/DMARC に対応したフィッシングメールが確認されています。これらは迷惑メールフィルターをすり抜ける可能性があるため、正規メールを視認しやすくする対策が効果的です。正規メールを視認しやすくする技術およびサービスとしては BIMI や Yahoo!メールブランドアイコン、ドコモメール公式アカウント等があります。ユーザー数が多いメールサービスで対応しており、一定の効果が期待できるため、これらの技術やサービスの利用も検討してください。
企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。なりすまし送信によるフィッシングやマルウェア攻撃への対策の一つとして、送受信ともに DMARC を有効にすることを検討してください。


利用者のみなさまへ

現時点で大量のフィッシングメールを受信している利用者は、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングサイト経由などで漏えいしてしまった携帯電話番号や個人情報をもとに、さまざまなサービスへログインしようとしたり、キャリア決済やキャッシュレス決済サービスを不正利用するケースが報告されています。 身に覚えがないタイミングで認証コード通知 SMS などが届いた時は、パスワード変更したり、決済サービスの使用履歴などを確認してください。
また、普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、 入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。


情報提供のお願い

フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。 【報告方法】はこちら


今月の緊急情報

  DMM をかたるフィッシング (2022/07/05)
     https://www.antiphishing.jp/news/alert/dmm_20220705.html

  日本郵便をかたるフィッシング (2022/07/06)
     https://www.antiphishing.jp/news/alert/japanpost_20220706.html

  セゾンNetアンサーをかたるフィッシング (2022/07/07)
     https://www.antiphishing.jp/news/alert/saison_20220707.html

  PayPay銀行をかたるフィッシング (2022/07/14)
     https://www.antiphishing.jp/news/alert/paypaybank_20220714.html

  ETC 利用照会サービスかたるフィッシング (2022/07/14)
     https://www.antiphishing.jp/news/alert/etc_20220714.html

  えきねっとをかたるフィッシング (2022/07/29)
     https://www.antiphishing.jp/news/alert/ekinet_20220729.html

  JR西日本をかたるフィッシング (2022/07/29)
     https://www.antiphishing.jp/news/alert/westjr_20220729.html


参考情報

  クレジットカードの利用確認を装うフィッシング (2022/06/24)
     https://www.antiphishing.jp/news/alert/creditcard_20220624.html

  なりすまし送信メール対策について
     https://www.antiphishing.jp/enterprise/domain_authentication.html