フィッシング報告件数
2023 年 4 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 15,876 件増加し、92,932 件となりました。
2023 年 4 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 6,887 件増加し、21,230 件となりました。
2023 年 4 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 18 件減少し、92 件となりました。
2023 年 4 月のフィッシング報告件数は 92,932 件となり、2023 年 3 月と比較すると 15,876 件、約 20.6 % 増加しました。
メールサービスを提供している通信事業者は、DMARC ポリシーに従ったメールの配信を行うとともに、迷惑メールフィルターをユーザーへ提供し、利用を促してください。
大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしている事実を認識し、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。
【報告方法】はこちら
住信SBIネット銀行をかたるフィッシング (2023/04/03)
なりすまし送信メール対策についてフィッシングサイトの URL 件数
フィッシングに悪用されたブランド件数
総評
Amazon をかたるフィッシングの報告は報告数全体の約 30.6% となり、再び増加傾向となりました。次いで報告が多かった ファミペイ、えきねっと、Uber Eats、ETC利用照会サービスをかたるフィッシングの報告をあわせると、全体の約 64.2 % を占めました。また、1,000 件以上の大量の報告を受領したブランドは 15 ブランドあり、これらで全体の約 88.8 % を占めました。
分野別では、EC 系 約 32.2 %、クレジット・信販系 約 14.4 %、決済サービス系 約 14.2 %、金融系 11.5 %、交通系 約 8.1 %、デリバリーサービス系 約 7.1 % 、オンラインサービス系 約 6.6 %、モバイル系 約 2.4 % となり、決済サービス系が急増し、クレジット・信販系は減少傾向となりました。
フィッシングに悪用されたブランドは 92 ブランドでした。クレジット・信販系 21 ブランド、金融系 15 ブランド、通信事業者・メールサービス系 12 ブランド、EC 系 8 ブランド、官公庁系 6 ブランドとなり、各分野で増加傾向となりました。
SMS から誘導されるフィッシング (スミッシング) については、前月に引き続き宅配便関連の不在通知を装う文面から Apple をかたるフィッシングサイトへ誘導するタイプの報告を多く受領したほか、金融系ブランドをかたるものが急増しました。
また、日本年金機構や厚生労働省、国土交通省、総務省をかたり、保険料や税金をVプリカで支払うよう要求する画面へ誘導する SMS についても、多くの報告を受領しました。Amazon、モバイルキャリアをかたる文面の報告も続いています。
2023 年 4 月のフィッシングサイトの URL 件数は 21,230 件となり、2023 年 3 月と比較すると 6,887 件、約 48.0 % 増となり急増しました。先月に引き続き CDN 事業者のサービスを悪用したフィッシングサイトへの誘導が多く、約 19.2 % を占めました。
報告された URL 全体の TLD 別では .com が 26.3 %、次いで .top 約 19.6 %、.dev 約 19.3 %、.cn 約 9.1 %、.ly 約 4.9 % となりました。
ある調査用メールアドレス宛に 4 月に届いたフィッシングメールのうち、約 88.4 % がメール差出人に実在するサービスのメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであり、多い状況が続いています。
送信ドメイン認証技術 DMARC のポリシーが reject または quarantine で、フィルタリング可能な なりすましフィッシングメールは 40.6 %、DMARC ポリシーが none または DMARC 対応していないドメインのなりすましフィッシングメールは 47.8 %、独自ドメインが使われるなど、送信ドメイン認証では判別ができないフィッシングメールは約 11.6 % となりました。
調査用メールアドレスへ配信されたフィッシングメールの送信元 IP アドレスの調査では、全体の約 88.3 % が CN の通信事業者からの配信であり、うち、特定のクラウドサービスからの配信が約 62.4 % となりました。また国内通信事業者からのフィッシングメールは、約 2.8 % を占めました。
また、逆引き設定がされていない IP アドレスからの送信は約 96.5% を占めました。
4 月は再び Amazon が急増しましたが、すでに対応済の BIMI に加えて、4 月下旬に Yahoo! JAPAN メールおよびドコモ公式アカウントに対応し、正規メールの視認性が向上したため、今後は効果が期待できます。また、DMARC 未対応またはポリシーが none のドメインを使用したフィッシングメールの報告が非常に多い状況が続いています。これは DMARC 正式運用 (ポリシーが reject/quarantine) していないため、迷惑メールとしてフィルタリングされづらく、メールの着信率が高いためと考えられます。利用者への注意喚起メールの文面をコピーして、繰り返しフィッシングメールを送るなど、悪循環が発生しています。
また、契約更新や変更手続き、納税等の時期と重ったり、休暇などの移動シーズン前は、内容に思い当たることがあり、フィッシングであると気がつきにくい場合があるため、
利用者へメールを送信する場合は必ず DMARC で保護したドメインを使用し、ポリシーを reject にして正規メールのみが届くようにしてください。また「事業者のみなさまへ」を参考に、正規メールの視認性向上を検討してください。
フィッシング以外では、4 月はビットコインを要求する脅迫メール (セクストーションメール) の報告が多数、寄せらせました。その他、警察庁や日本銀行をかたり Android 用不正アプリのインストールへ誘導するメールも確認されています。Android スマートフォンの場合は、日頃から SMS やメールのリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。
事業者のみなさまへ
オンラインサービスを提供している事業者は DMARC でドメインを保護してください。Gmail、Yahoo! メール、Outlook、ドコモ、Apple iCloud メールなど、大手メールサービスは送信側の DMARC ポリシーに従ってなりすましメールを排除しており、一般的な消費者の約 7 割以上がカバーされていると考えられます。正規ドメインをかたって送られるなりすましフィッシングメールは、一般消費者には本物と区別ができないため被害が発生しやすくなります。DMARC ポリシーが none のモニタリングモードでは、受信側でフィルタリングされず、効果がありません。DMARC レポートを分析し、正規メールが DMARC 検証を pass していることを確認しながら、ポリシーを quarantine または reject に変更してください。また、メール配信に使っていないドメインがある場合は、不正に利用されないよう、明示的に reject ポリシーを設定しておくことが重要です。
なりすましではない、独自ドメインで送られるフィッシングメールへの対策としては、正規メールを視認しやすくする対策が効果的です。そのような技術およびサービスとしては Gmail や Apple iCloud メール (iOS16 で対応) で使える BIMI や Yahoo!メールブランドアイコン、ドコモメール公式アカウント等があります。これらのメールサービスのユーザーは多く、正規メールがひとめでわかるため、一定の効果が期待できます。また S/MIME で電子署名をすることも有効です。これらの技術やサービスの利用を検討し、すでに対応済みの場合は、ユーザーに正規メールにこれらのアイコンやマークがついていることを周知して、安全なメールサービスを利用することを啓発してください。
企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。なりすまし送信によるフィッシングやマルウェア攻撃への対策の一つとして、送受信ともに DMARC 正式運用 (ポリシーを reject または quarantine に設定し、受信時はポリシーに従ってメールを排除) に移行することを検討してください。
送信ドメイン認証を運用中の注意事項としては、メール配信サービスを追加したり、ネットワーク設備を統廃合するうちに、いつのまにか DNS に登録されている設定値が不適切になっているなど、正常に機能していないケースが時々見られます。特に多いのは SPF のエラーです。SPF は DNS Lookup が 10 回という制限があり、メール配信にさまざまな外部サービスを使っている場合、SPF レコードに include 等を追加していった結果、この制限値を超えて SPF がエラーとなるケースがよく発生します。また include 先が無くなった場合にもエラーとなります。 SPF を設定している場合は正常に機能しているか、DNS への登録値が適切であるか、定期的にチェックサイトで確認したり、監視を行ってください。
利用者のみなさまへ
フィッシングサイト経由などで漏えいしてしまった携帯電話番号や個人情報をもとに、さまざまなサービスへログインしようとしたり、キャリア決済やキャッシュレス決済サービスを不正利用するケースが報告されています。身に覚えがないタイミングで認証コード通知 SMS などが届いた時は、パスワード変更したり、決済サービスの使用履歴などを確認してください。
また、普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。
情報提供のお願い
今月の緊急情報
https://www.antiphishing.jp/news/alert/netbk_20230403.html
厚生労働省をかたるフィッシング (2023/04/03)
https://www.antiphishing.jp/news/alert/mhlw_20230403.html
ETC 利用照会サービスをかたるフィッシング (2023/04/04)
https://www.antiphishing.jp/news/alert/etc_p_20230404.html
関税等お支払いサイト (F-REGI 公金支払い) を装うフィッシング (2023/04/05)
https://www.antiphishing.jp/news/alert/freg_20230405.html
総務省をかたるフィッシング (2023/04/05)
https://www.antiphishing.jp/news/alert/mic_20230405.html
三菱UFJ信託銀行をかたるフィッシング (2023/04/05)
https://www.antiphishing.jp/news/alert/mutb_20230405.html
Uber Eats をかたるフィッシング (2023/04/06)
https://www.antiphishing.jp/news/alert/ubereats_20230406.html
セブン銀行をかたるフィッシング (2023/04/07)
https://www.antiphishing.jp/news/alert/sevenbank_20230407.html
NTTグループカードをかたるフィッシング (2023/04/10)
https://www.antiphishing.jp/news/alert/mylink_20230410.html
三井住友信託銀行をかたるフィッシング (2023/04/10)
https://www.antiphishing.jp/news/alert/smtb_20230410.html
アコムをかたるフィッシング (2023/04/11)
https://www.antiphishing.jp/news/alert/acom_20230411.html
FamiPay をかたるフィッシング (2023/04/21)
https://www.antiphishing.jp/news/alert/famipay_20230421.html
auじぶん銀行をかたるフィッシング (2023/04/24)
https://www.antiphishing.jp/news/alert/aujibunbank_20230424.html
国土交通省をかたるフィッシング (2023/04/25)
https://www.antiphishing.jp/news/alert/mlit_20230425.html
参考情報
https://www.antiphishing.jp/enterprise/domain_authentication.html