フィッシング報告件数
2023 年 10 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 39,771 件増加し、156,804 件となりました。
2023 年 10 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 1,427 件減少し、13,507 件となりました。
2023 年 10 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 2 件減少し、78 件となりました。
2023 年 10 月のフィッシング報告件数は 156,804 件となり、2023 年 9 月と比較すると 39,771 件、約 34.0 % 増加しました。
メールサービスを提供している通信事業者は、DMARC ポリシーに従ったメールの配信を行うとともに、迷惑メール対策を強化し、ユーザーへ迷惑メールフィルターの利用を促してください。また、ウェブメールなどでは送信ドメイン認証の検証状況を利用者が認識できるよう、検証結果に基づいた警告表示等を検討してください。
大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしている事実を認識し、参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
セディナカードをかたるフィッシング (2023/10/16)
なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
フィッシングサイトの URL 件数
フィッシングに悪用されたブランド件数
総評
Amazon および ETC利用照会サービスをかたるフィッシングの報告が各 5 万件を超え、あわせて報告数全体の約 69.0 % となりました。次いで各 1 万件以上の報告を受領したマイナポイント事務局、三井住友カードをかたるフィッシングの報告をあわせると、全体の約 88.0 % を占めました。また、1,000 件以上の大量の報告を受領したブランドは 10 ブランドあり、これらで全体の約 95.1 % を占めました。
分野別では、報告数全体に対する割合は EC 系 約 38.2 %、オンラインサービス系 約 32.2 %、クレジット・信販系 約 13.1 %、公共サービス系 約 11.4 %、交通系 約 2.3 % となり、実報告数では前月と比較すると オンラインサービス系が約 260.1 % 増 (約 3.6 倍)、公共サービス系が約 282.3 % 増 (約 3.8 倍) と急増し、金融系が約 -76.5 % 減と大きく減少しました。
フィッシングに悪用されたブランドは 78 ブランドとなりました。クレジット・信販系 19 ブランド、金融系 12 ブランド、通信事業者・メールサービス系 9 ブランド、オンラインサービス系 7 ブランド、EC 系 4 ブランド、配送系 4 ブランド、決済サービス系 4 ブランドとなりました。
SMS から誘導されるフィッシング (スミッシング) については、金融系ブランドおよび Amazon をかたる文面の報告を多く受領しました。また宅配便関連の不在通知を装う文面から Apple をかたるフィッシングサイトへ誘導するタイプの報告も続いています。Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導されることが多いため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。
2023 年 10 月のフィッシングサイトの URL 件数は 13,507 件となり、2023 年 9 月と比較すると 1,427 件減少しました。
報告された URL 全体の TLD 別では .com が約 75.5 %、次いで .cn 約 5.9 %、.top 約 1.4 %、.sbs 約 1.3 %、.icu 約 1.3 %、.shop 約 1.3%、.cfd 約 1.2 % となり、大量の .com ドメイン、次いで .cn ドメインが多くフィッシングに悪用されました。正規サービスの URL を悪用してフィッシングメール内に記載し、リダイレクトで別の URL のフィッシングサイトへ誘導する手法が多く使われていた他、誘導元メール内の URL に飾り文字を使い、迷惑メールフィルターを回避しようとする試みが行われていました。
ある調査用メールアドレス宛に 10 月に届いたフィッシングメールのうち、約 65.5 % がメール差出人に実在するサービスのメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであり、多い状況が続いています。
送信ドメイン認証技術 DMARC のポリシーが reject(認証失敗したメールは受信拒否)または quarantine(認証失敗したメールを迷惑メールフォルダー等へ隔離) で、フィルタリング可能な なりすましフィッシングメールは約 20.0 %、DMARC ポリシーが none(認証失敗したメールも素通しして受信)または DMARC 対応していないドメインのなりすましフィッシングメールは約 44.3 % と増加しました。送信ドメイン認証では判別ができないフィッシングメールは約 35.7 % と増加傾向となりました。
7 月以降、一時減少したフィッシング報告は再び増加し 10 月は過去最高の報告数となりました。
前月に引き続き、10 月もマイナポイント事務局をかたるフィッシングに関する報告や相談を多く受領しました。申請締め切りを 10 月末(実際は 9 月末まで)と記載し、担当省庁のメールアドレスをなりすますケースもあり、信用して情報を入力してしまった、という報告が続いています。
全体の報告数が増加している要因の一つとして、amazon.co.jp や apple.com など、DMARC 検証を行うと検知・排除できる DMARC ポリシー reject/quarantine のドメインのなりすましメールが、DMARC 受信側対応を行っていない (DMARC ポリシーが reject や quarantine のメールを素通しする) メールサービス利用者へ大量に届いているという状況があります。
また、DMARC 未対応の大手通信事業者のドメインをかたるフィッシングメールが大量に配信され、被害ブランドの報告の半数以上を占める状況が続きました。メールサービス事業者は早期に DMARC 受信側対応および自サービスのドメインを DMARC で保護してください。
メールの大量配信は、不正メールだけではなく、正規の利用通知やメルマガなど、事業者から利用者に対しても行われます。
不正メールを排除し、正規メールのみを確実に利用者に届けるため、大手メールサービスの Gmail では 2023年10月3日「メール送信者のガイドライン」を公開しました。Gmail アカウント宛てにメールを送信する場合は DMARC (p=none で可) が必要な他、5,000通/日以上の大量配信を行う場合は DKIM 署名が必須、DMARC アライメントの一致、Postmaster Tools で利用者に迷惑メールとして報告される率を 0.3 %以下に維持する、マーケティングメールはワンクリックでの登録解除に対応等、ごく「基本的なメールセキュリティ要件」が記載されており、2024年2月1日以降、これらの要件が適用される、としています。
Gmail アカウントの利用者へメール送信を行う DMARC 未対応の事業者は、最低限、メール送信に使っているドメインに DMARC (最初は p=none でも可) を設定してレポート受信を開始し、Gmail の Postmaster Tools で利用者に送ったメールが迷惑判定されていないかを確認し、問題がある場合は改善してください。
フィッシング以外では、クレジットカード情報を不正利用された、所在地や社名等に自社の情報が使われている、フリマや EC サイト等に掲載した商品の写真を無断で利用されている等、悪質 EC サイトの報告が多い状況が続いています。初めて購入を行う EC サイトでは、先に問い合わせ先へ確認するなど、十分にご注意ください。その他では不審な仕事(アルバイト)に勧誘、誘導するメールや、金品が当選等したという内容で詐欺へ誘導するメールやショートメッセージなどの報告が続いています。このような誘いに乗ると犯罪に巻き込まれる可能性があるため、いずれも最寄りの警察署へ相談、情報提供を行ってください。
事業者のみなさまへ
オンラインサービスを提供している事業者は DMARC でドメインを保護してください。DMARC レポートを分析し、正規メールが DMARC 検証を pass して利用者に届いていることを確認しながら最終的に DMARC ポリシーを quarantine または reject に変更することで、効果が発揮されます。また、メール配信に使っていないドメインがある場合は、不正に利用されないよう、明示的に reject ポリシーを設定しておくことが重要です。
なりすましではない、独自ドメインで送られるフィッシングメールへの対策としては、まずは正規メールの送信ドメイン認証を正しく設定し、送信ドメイン認証で正規メールであると判別できるメール以外は、注意するよう利用者に啓発してください。送信ドメイン認証の検証結果を使った正規メールを視認しやすくする技術としては BIMI (Gmail、Apple iCloud メール (iOS16 で対応) および au メールアプリ (2023年10 月対応開始) 等が対応)、 Yahoo!メールブランドアイコン、Yahoo!メールブランドカラー (送信ドメイン認証結果が正しいメールを色分けしメッセージを表示)、ドコモメール公式アカウント等があります。参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、これらの技術やサービスの利用を検討してください。
利用者への啓発については、サービスの専用アプリで注意喚起を行ったり、既存の啓発コンテンツや送信する正規メールでの注意喚起を見直して、送信ドメイン認証で認証された正規メールと偽メールとの見え方の違いについて、十分に周知してください。また、フィッシングメールが届くということは、メールアドレス等の情報が、過去にどこかから漏えいしていることを意味します。漏えいしたデータは消すことができないため、フィッシングメールが届いている利用者には、メールアドレスを新たに作成して登録変更することを推奨し、その際にユーザーに正規メールにアイコンやマークが表示される、安全なメールサービスを利用することを啓発してください。安全ではないメールサービスを使い続けると、再び被害に遭う可能性があります。
企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。昨今、まったく関連がないブランドのフィッシングメールの差出人メールアドレスに企業のドメインが使われるケースが増えています。なりすまし送信によるドメインの不正利用やフィッシング、マルウェア攻撃への対策の一つとして、送受信ともに DMARC 正式運用 (ポリシーを reject または quarantine に設定し、受信時はポリシーに従ってメールを排除) に移行することを検討してください。
送信ドメイン認証を運用中の注意事項としては、メール配信サービスを追加したり、ネットワーク設備を統廃合するうちに、DNS に登録されている送信ドメイン認証の設定値が無効となる場合があります。特に多いのは SPF のエラーであり、さまざまなプロモーションメール配信を行う部門を持つ大手事業者で発生しているケースがよく見られます。定期的にチェックサイトで確認したり、DMARC レポートで送信メールが正常に判定されているか等、監視を行ってください。
スミッシング対策としては、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号(共通ショートコード) 等を使うこと、正規メッセージにはURLは記載しないこと、認証コードのメッセージにその事由や警告を記載する等を検討し、啓発を行ってください。
利用者のみなさまへ
フィッシングサイト経由などで漏えいしてしまった携帯電話番号や個人情報をもとに、さまざまなサービスへログインしようとしたり、キャリア決済やキャッシュレス決済サービスを不正利用するケースが報告されています。身に覚えがないタイミングで認証コード通知 SMS などが届いた時は、パスワード変更したり、決済サービスの使用履歴などを確認してください。
また、普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。
今月の緊急情報
https://www.antiphishing.jp/news/alert/cedyna_20231016.html
URL に飾り文字などが含まれたフィッシング (2023/10/17)
https://www.antiphishing.jp/news/alert/decourl_20231017.html
MyJCB をかたるフィッシング (2023/10/23)
https://www.antiphishing.jp/news/alert/myjcb_20231023.html
三菱UFJ銀行をかたるフィッシング (2023/10/30)
https://www.antiphishing.jp/news/alert/mufgbank_20231030.html
参考情報
https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages
Gmail : メール送信者のガイドライン
https://support.google.com/mail/answer/81126
Gmail : Postmaster Tools を使ってみる
https://support.google.com/mail/answer/9981691