フィッシング報告件数

2023 年 1 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 27,205 件減少し、38,269 件となりました。

フィッシングサイトの URL 件数

2023 年 1 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 6,106 件減少し、7,704 件となりました。

フィッシングに悪用されたブランド件数

2023 年 1 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 2 件減少し、76 件となりました。

総評

2023 年 1 月のフィッシング報告件数は 38,269 件となり、2022 年 12 月と比較すると 27,205 件、約 41.6 % 減少しました。
Amazon をかたるフィッシングの報告が前月に多く、報告数全体の約 44.6 % を占めました。次いで報告が多かった ETC 利用照会サービス、セゾンカード、PayPay カードをかたるフィッシングの報告をあわせると、全体の約 67.6 % を占めました。また、1,000 件以上の大量の報告を受領したブランドは 7 ブランドあり、これらで全体の約 79.1 % を占めました。

分野別では、EC 系は報告数全体の約 47.1 %、クレジット・信販系 約 36.5 %、オンラインサービス系 約 8.7 %、 交通系 約 2.0 %、運送系 約 1.1 %、通信事業者・メールサービス系 約 1.1 %、省庁 約 1.0 %、金融系 1.0 %となりました。
フィッシングに悪用されたブランドは 76 ブランドでした。クレジット・信販系 19 ブランド、通信事業者・メールサービス系 12 ブランド、金融系 10 ブランド、EC 系 7 ブランドとなりました。

SMS から誘導されるフィッシング (スミッシング) については、宅配便関連の不在通知を装う文面から Apple をかたるフィッシングサイトへ誘導するタイプと、モバイルキャリアをかたる文面の報告が増えました。その他、国税庁、Amazon をかたる SMS 文面も少数ですが報告されました。Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導されることが多いため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。

2023 年 1 月のフィッシングサイトの URL 件数は 7,704 件となり、2022 年 12 月と比較すると 6,106 件、約 44.2 % 減少しました。短縮 URL や DDNS サービスのドメインの URL は、約 42.1 % となり、前月に引き続き多い状況が続いています。また、フィッシングサイトの URL への誘導に悪用されている Google 翻訳の正規 URL も報告が続いています。
報告された URL 全体の TLD 別では短縮 URL によく使われる .ly が 約 36.6 % と増加し、次いで .com 約 25.8 %、shop 約 10.3 %、.cn 約 6.6 %、.org 約 5.7 %、 .top 約 5.5 % となりました。

また、フィッシングサイトの URL を QR コードにしてメールに埋め込んだフィッシングメールの報告が増加し、1,000 件以上の報告を受領しました。いつもと違い、QR コードからサービスへのアクセスを促すメールが来た場合は不正なメールの可能性が高いので注意してください。その他には、フィッシングメールからキャッシュレス決済の正規サービスへ誘導し、送金させる手口の報告も多く受領しました。メール内のリンクから決済サービスの認証画面に誘導された場合は、一度立ち止まり、いつもの決済方法と違う点がないか等、内容をよく確認してください。

ある調査用メールアドレス宛に 1 月に届いたフィッシングメールのうち、約 82.2 % がメール差出人に実在するサービスのメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであり、多い状況が続いています。
送信ドメイン認証技術 DMARC により排除 (ポリシーが reject または quarantine) できるなりすましフィッシングメールは 62.9 %、DMARC ポリシーが none または DMARC 対応していないドメインのなりすましフィッシングメールは 33.7 %、独自ドメインが使われるなど、送信ドメイン認証で判別ができないフィッシングメールは約 3.4 % となりました。
また、調査用メールアドレスへ配信されたフィッシングメールの送信元 IP アドレスの調査では、CN の通信事業者からの大量配信が約 75.9 % となり、前月に引き続き CN からの配信が多く、US の大手クラウドサービスや国内ホスティング事業者からのフィッシングメール配信も増えました。

フィッシング報告が急増した 2020 年以降は、毎年、旧正月の前後は報告が減る傾向があります。しかし過去の事例では、翌月は報告が増加する傾向にあるため、引き続き注意が必要です。また、ここ数か月は DMARC 正式運用 (DMARC ポリシーを none から reject または quarantine に変更) に移行したブランドが増えており、フィッシングメールが届きづらくなるため、これらのブランドのフィッシング報告数が減る傾向にありました。しかし DMARC 正式運用中でも、EC 系は報告が減らない傾向にあります。これらの報告は、受信時に DMARC ポリシーに従ってメールをフィルターしていないサービスの利用者から来ています。 以下の「利用者のみなさまへ」も参考に自サービスの登録者へ注意や対応を促してください。

事業者のみなさまへ

フィッシングメールの報告の多くは、受信時に DMARC ポリシーに従ってメールをフィルターしていないサービスの利用者から来ています。 メールサービスを提供している通信事業者は、DMARC 検証＋迷惑メールフィルターを利用者へ提供し、利用を促してください。
オンラインサービスを提供している事業者は最低限 SPF と DMARC でドメインを保護してください。Gmail、Yahoo! メール、Outlook、ドコモ、Apple iCloud メールなど、大手メールサービスはすでに送信側の DMARC ポリシーに従ってなりすましメールを排除しており、一般的な消費者の約 7 割以上がカバーされていると考えられます。なりすましメールは一般消費者には本物と区別ができないため被害が発生しやすく、DMARC ポリシーを quarantine または reject で運用すると、なりすましメールが届かなくなるので、被害抑制に効果があります。なお、DMARC ポリシーが none のモニタリングモードでは、受信側メールサービスはなりすましメールをフィルタリングできません。DMARC レポートを分析し、正規メールが DMARC 検証を pass していることを確認しながら、ポリシーを quarantine または reject に変更してください。pct パラメーターを 1 から 100 へ少しずつ増やしていくと、ゆるやかな適用が可能となります。

なりすましではない、独自ドメインで送られるフィッシングメールへの対策としては、正規メールを視認しやすくする対策が効果的です。正規メールを視認しやすくする技術およびサービスとしては Gmail や Apple iCloud メール (iOS16 で対応) で使える BIMI や Yahoo!メールブランドアイコン、ドコモメール公式アカウント等があります。ユーザー数が多いメールサービスで対応しており、一定の効果が期待できるため、これらの技術やサービスの利用も検討してください。

企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。なりすまし送信によるフィッシングやマルウェア攻撃への対策の一つとして、送受信ともに DMARC 正式運用 (ポリシーを reject または quarantine に設定し、受信時はポリシーに従ってメールを排除) に移行することを検討してください。

送信ドメイン認証を運用中の注意事項としては、メール配信サービスを追加したり、ネットワーク設備を統廃合するうちに、いつのまにか DNS に登録されている設定値が不適切になっているなど、正常に機能していないケースが時々見られます。特に多いのは SPF のエラーです。SPF は DNS Lookup が 10 回という制限があり、メール配信にさまざまな外部サービスを使っている場合、SPF レコードに include 等を追加していった結果、この制限値を超えて SPF がエラーとなるケースがよく発生します。また include 先が無くなった場合にもエラーとなります。 SPF を設定している場合は正常に機能しているか、DNS への登録値が適切であるか、定期的にチェックサイトで確認したり、監視を行ってください。

利用者のみなさまへ

大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしている事実を認識し、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングサイト経由などで漏えいしてしまった携帯電話番号や個人情報をもとに、さまざまなサービスへログインしようとしたり、キャリア決済やキャッシュレス決済サービスを不正利用するケースが報告されています。身に覚えがないタイミングで認証コード通知 SMS などが届いた時は、パスワード変更したり、決済サービスの使用履歴などを確認してください。

また、普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。

情報提供のお願い

フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。 【報告方法】はこちら

今月の緊急情報

  OCN をかたるフィッシング (2023/01/04)
     https://www.antiphishing.jp/news/alert/ocn_20230104.html

  PayPay カードをかたるフィッシング (2023/01/04)
     https://www.antiphishing.jp/news/alert/paypay_20230104.html

  Amazon をかたるフィッシング (2023/01/05)
     https://www.antiphishing.jp/news/alert/amazonQR_20230105.html

  さくらインターネットをかたるフィッシング (2023/01/16)
     https://www.antiphishing.jp/news/alert/sakurainternet_20230116.html

  静岡銀行をかたるフィッシング (2023/01/23)
     https://www.antiphishing.jp/news/alert/shizuokabank_20230123.html

  セゾンNetアンサーをかたるフィッシング (2023/01/23)
     https://www.antiphishing.jp/news/alert/saisoncard_20230123.html

  千葉銀行をかたるフィッシング (2023/01/24)
     https://www.antiphishing.jp/news/alert/chibabank_20230124.html

参考情報

  なりすまし送信メール対策について
     https://www.antiphishing.jp/enterprise/domain_authentication.html