フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | 月次報告書

～フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です～

報告

HOME > 報告書類 > 月次報告書 > 2024/01 フィッシング報告状況

月次報告書

2024/01 フィッシング報告状況

2024年02月14日

フィッシング報告件数

2024 年 1 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 4,965 件減少し、85,827 件となりました。

フィッシングサイトの URL 件数

2024 年 1 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 2,314 件増加し、19,486 件となりました。

フィッシングに悪用されたブランド件数

2024 年 1 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 6 件減少し、74 件となりました。

総評

2024 年 1 月のフィッシング報告件数は 85,827 件となり、2023 年 12 月と比較すると 4,965 件減少しました。
前月に引き続き ETC利用照会サービスをかたるフィッシングの報告が多く、報告数全体の約 18.0 % となりました。次いで報告が多かった三井住友カード、Amazon、マイナポイント事務局、エポスカードをかたるフィッシングの報告をあわせると、全体の約 55.5 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 16 ブランドとなり、これらを合わせると全体の約 91.3 % を占めました。

分野別では、報告数全体に対する割合はクレジット・信販系約 35.8 %、EC 系約 18.9 %、オンラインサービス系約 18.1 %、公共サービス系約 9.0 %、交通系約 4.8 %、金融系約 4.4 % となり、クレジット・信販系ブランドの割合が急増しました。また、金融系ブランドが増加傾向となりました。
フィッシングに悪用されたブランドは 74 ブランドとなりました。クレジット・信販系 16 ブランド、金融系 11 ブランド、通信事業者・メールサービス系 9 ブランド、配送系 6 ブランド、オンラインサービス系 5 ブランド、EC 系 4 ブランドとなりました。

SMS から誘導されるフィッシング (スミッシング) については、前月に引き続き、宅配便関連の不在通知を装う文面から Apple をかたるフィッシングサイトへ誘導するタイプの報告が多く、次いで金融系ブランド、電力会社をかたる文面が多く報告されました。 Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導されることが多いため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。

2024 年 1 月のフィッシングサイトの URL 件数は 19,486 件となり、2023 年 12 月と比較すると 2,314 件増加しました。
報告全体の URL（重複あり）の TLD 別では .com が約 70.2 %、次いで .cn 約 10.6 %、.dev 約 7.6 %、.ly 約 3.1 %、.ru 約 2.4 %、.id 約 2.0 % となり、前月よりさらに大量に .com ドメインがフィッシングに悪用されていました。フィッシングサイトの URL 件数（重複なし）の増加の要因は、短縮 URL や Cloudflare Workers で付与できるサブドメインを、フィッシングメールに記載する「使い捨て」リダイレクト用 URL として悪用するケースが急増したためであり、URL 件数の約 61.4 % を占めました。

ある調査用メールアドレス宛に 1 月に届いたフィッシングメールのうち、約 39.9 % がメール差出人に実在するサービスのメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールであり、12 月よりも減少傾向となりました。
送信ドメイン認証技術 DMARC のポリシーが reject（認証失敗したメールは受信拒否）または quarantine（認証失敗したメールを迷惑メールフォルダー等へ隔離）で、フィルタリング可能ななりすましフィッシングメールは約 33.6 %、DMARC ポリシーが none（認証失敗したメールも素通しして受信）または DMARC 対応していないドメインのなりすましフィッシングメールは約 6.3 % となりました。独自ドメインによる非なりすましメール配信は約 60.1 % と増加傾向にあり、そのうち DMARC に対応して認証成功 (dmarc=pass) したメールは約 56.7 % となり、送信ドメイン認証結果の有無による悪性判定を回避しようとする試みが急増しました。また、独自ドメインで SPF および DKIM を認証成功させるなりすまし送信メールが多く確認されました。このようなメールを排除するため、受信側でも DMARC による認証とポリシーに従ったメールの取り扱いに対応する必要性が高まっています。

1 月はさまざまなクラウドサービスから大量のフィッシングメール配信が確認されました。また、一般利用者向けメールサービスのアカウントからフィッシングメール配信を行うケースも見られました。逆引き (PTR レコード) 設定がされていない IP アドレスからの送信は約 65.0 % を占め、前月よりも設定率が上がっています。一般的に不正メールは送信元に逆引き設定がされていないケースが多いため、そのようなメールを受け取らない大手メールサービスもあります。

1 月はフィッシングメール配信が減少傾向となり、報告数は減少しましたが、URL 件数は増加し、迷惑メールフィルター回避とみられる試みが多くみられました。
ETC 利用照会サービス、Amazon をかたるフィッシングの報告は 1 月初旬は多かったものの減少傾向となり、特に Amazon に関しては前月と比較して約 62.4 % 減少しました。代わりに 1 月中旬以降、しばらく報告が少なかったブランドの報告が増えました。
また、SMS 認証コードを詐取するタイプのフィッシングでは、裏で本物サイトのアカウント情報を書き換えたり、SMS 認証コードを送る先を追加したり変更して、継続的に不正利用を行われたなどの報告を受けています。その他、フィッシングサイトから他のサービスの本人認証画面に誘導されるなど、詐取した情報の不正利用の手口が巧妙化しています。

フィッシング以外では、注文しても商品が届かない、または連絡が途絶えるなどのトラブルが発生する、悪質 EC サイトの報告が続いています。もし悪質 EC サイトを発見したり、被害にあった場合は、最寄りの警察署へご相談ください。
また、不審な仕事（アルバイト）に勧誘するメールやショートメッセージなどの報告が続いています。このような誘いに乗ると犯罪に巻き込まれる可能性があるため、いずれも最寄りの警察署へ相談、情報提供を行ってください。また、仮想通貨での支払いを要求する脅迫メール (セクストーションメール) の報告も続いています。このようなメールは過去に漏えいした情報をもとに送られているケースも確認されているため、長らくパスワードを変更していないサービスがある場合は、パスワード変更を行い、パスワードを使いまわししないよう、ご注意ください。

事業者のみなさまへ

メールサービスを提供している通信事業者は、DMARC ポリシーに従ったメールの配信を行うとともに、迷惑メール対策を強化してください。また、ウェブメールやメールアプリなどでは送信ドメイン認証の検証状況を利用者が認識できるよう、検証結果に基づいた警告表示ならびに検証対象としたドメインの表示を検討してください。
オンラインサービスを提供している事業者は、DMARC レポートで正規メールが利用者に届いていることを確認しながら、最終的にポリシーを quarantine または reject に変更してください。

また、送信ドメイン認証で正規メールであると判別できるメール以外は、注意するよう利用者に啓発してください。BIMI (Gmail、Apple iCloud メールおよび au メールアプリ等が対応)、 Yahoo!メールブランドアイコン、Yahoo!メールブランドカラー (送信ドメイン認証結果が正しいメールを色分けしメッセージを表示)、ドコモメール公式アカウント等へ対応すると、より利用者が正規メールを視認しやすくなります。参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、これらの技術やサービスへの対応を検討してください。

利用者への啓発については、サービスの専用アプリで注意喚起を行ったり、既存の啓発コンテンツや送信する正規メールでの案内を見直して、送信ドメイン認証で認証された正規メールと偽メールとの見え方の違いについて、十分に周知してください。利用者がその違いを知らなければ、効果はありません。また、フィッシングメールが届くということは、メールアドレス等の情報が、過去にどこかから漏えいしていることを意味します。漏えいしたデータは消すことができないため、フィッシングメールが届いている利用者には、メールアドレスを新たに作成して登録変更することを推奨し、その際にユーザーに正規メールにアイコンやマークが表示される、安全なメールサービスを利用することを啓発してください。安全ではないメールサービスを使い続けると、再び被害に遭う可能性があります。

企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。昨今、まったく関連がないブランドのフィッシングメールの差出人メールアドレスに企業のドメインが使われるケースが増えています。なりすまし送信によるドメインの不正利用やフィッシング、マルウェア攻撃への対策の一つとして、送受信ともに DMARC 正式運用 (ポリシーを reject または quarantine に設定し、受信時はポリシーに従ってメールを排除) に移行することを検討してください。

不正メールを排除し、正規メールのみを確実に利用者に届けるため、大手メールサービスの Gmail が 2023 年 10 月に「メール送信者のガイドライン」を公開しており、特におおよそ 5,000 通 / 24 時間以上の大量配信を行う場合は一括送信者として、いくつかの要件をクリアする必要があります。今後の具体的なスケジュールについては、2024 年 2 月 1 日以降は、要件を満たさないメールの一部にエラーが返り始め、4 月から非準拠メールへの拒否を開始し拒否率を引き上げていく、としています。詳しくは「参考情報」を参照してください。
今後、スマートフォンのみを使う利用者が増えるに従い、スマートフォンに紐づいたメールアドレスを使う利用者は、増えることが予想されます。現在、Gmail にメールが届かない、または Apple iCloud メールやキャリアメールなどで迷惑メール扱いとなる事業者は、基本的なメールセキュリティ要件を満たしていない可能性があります。問題解決のため、最低限、メール送信に使っているドメインに DMARC (最初は p=none でも可) を設定してレポート受信を開始し、Gmail の Postmaster Tools で利用者に送ったメールが迷惑判定されていないかを確認してください。その結果、問題が見つかった場合は調査および改善を行うか、配信用メールサービスをより安全なサービスへ変更することも、検討してください。

送信ドメイン認証を運用中の注意事項としては、メール配信サービスを追加したり、ネットワーク設備を統廃合するうちに、DNS に登録されている送信ドメイン認証の設定値が無効となる場合があります。特に多いのは SPF のエラーであり、さまざまなプロモーションメール配信を行う部門を持つ大手事業者で発生しているケースがよく見られます。定期的にチェックサイトで確認したり、DMARC レポートで送信メールが正常に判定されているか等、監視を行ってください。
スミッシング対策としては、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号（共通ショートコード) 等を使うこと、正規メッセージにはURLは記載しないこと、認証コードのメッセージにその事由や警告を記載する等を検討し、啓発を行ってください。

利用者のみなさまへ

大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしている事実を認識し、参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングサイトに入力した情報を、犯罪者が裏で本物のサイトへ入力し、SMS 認証コード等も詐取して二要素認証を突破して、登録情報を変更したり、不正利用するケースが確認されています。身に覚えがない決済や登録変更の通知がきた場合は、送信ドメイン認証でアイコンが表示されている等、正規メールであるかを確認した上で、サービスのサポート窓口へ対応について相談してください。

普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。

情報提供のお願い

フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。【報告方法】はこちら

今月の緊急情報

  国税庁をかたるフィッシング (2024/01/11)
     https://www.antiphishing.jp/news/alert/etax_20240111.html

  Apple をかたるフィッシング (2024/01/22)
     https://www.antiphishing.jp/news/alert/apple_20240122.html

  メルカリをかたるフィッシング (2024/01/22)
     https://www.antiphishing.jp/news/alert/mercari_20240122.html

  りそな銀行をかたるフィッシング (2024/01/24)
     https://www.antiphishing.jp/news/alert/resona20240124.html

  ソニー銀行をかたるフィッシング (2024/01/29)
     https://www.antiphishing.jp/news/alert/sonybank_20240129.html

参考情報

  なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
     https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages

  Gmail : Email sender guidelines (2023 年 12 月に要件がアップデートされた)
     https://support.google.com/mail/answer/81126?hl=en

  Gmail : Email sender guidelines FAQ (2023 年 12 月に要件適用スケジュール等が追記)
     https://support.google.com/a/answer/14229414?hl=en

  Gmail : メール送信者のガイドライン (英語版のアップデートがすぐに反映されないため、英語版も参照してください)
     https://support.google.com/mail/answer/81126?hl=ja

  Gmail : Postmaster Tools を使ってみる
     https://support.google.com/mail/answer/9981691

  JPAAWG: Google & 米国Yahoo!の迷惑メール対策強化について (フィッシング対策協議会も後援)
     https://connpass.com/event/304457/

ニュース

報告書類

消費者の皆様へ

サービス事業者の皆様へ

フィッシング対策協議会について