フィッシング報告件数
2024 年 5 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 36,923 件増加し、143,680 件となりました。
2024 年 5 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 1,774 件減少し、38,089 件となりました。
2024 年 5 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 1 件減少し、91 件となりました。
2024 年 5 月のフィッシング報告件数は 143,680 件となり、2024 年 4 月と比較すると 36,923 件、約 34.6 % 増加しました。
大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしていることを意味します。漏えいした情報は犯罪者間で売買され、消すことができません。参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。
【報告方法】はこちら
東京ガスをかたるフィッシング (2024/04/24)
Mastercard をかたるフィッシング (2024/04/24)
なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
フィッシングサイトの URL 件数
フィッシングに悪用されたブランド件数
総評
Amazon をかたるフィッシングの報告が急増し、報告数全体の約 31.3 % を占めました。次いで各 1 万件以上の報告を受領した東京電力、三井住友カード、イオンカード、エポスカードをかたるフィッシングの報告をあわせると、全体の約 73.6 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 16 ブランドとなり、これらを合わせると全体の約 94.0 % を占めました。
分野別では、報告数全体に対する割合はクレジット・信販系 約 39.9 %、EC 系 約 34.9 %、電力・ガス・水道系 約 12.8 %、金融系 約 3.6 %、官公庁 約 2.6 % となり、EC 系ブランドの割合が急増しました。また電気・ガス・水道系や金融系、官公庁をかたるフィッシング報告が増加し、それ以外の分野は概ね減少傾向となりました。
フィッシングに悪用されたブランドは 91 ブランドとなり、クレジット・信販系 21 ブランド、金融系 12 ブランド、通信事業者・メールサービス系 10 ブランド、配送系 7 ブランド、オンラインサービス系 6 ブランド、EC 系 5 ブランドとなりました。
SMS から誘導されるフィッシング (スミッシング) については、前月と同様の傾向となり、宅配便関連の不在通知を装う文面から Apple をかたるフィッシングサイトへ誘導するタイプの報告が最も多く、次いで電力会社、金融系、クレジットカード系をかたる文面の報告を多く受領しました。スミッシングへの対策については、「事業者のみなさまへ」「利用者のみなさまへ」を参考にしてください。
2024 年 5 月のフィッシングサイトの URL 件数は 38,089 件となり、2024 年 4 月と比較すると 1,774 件減少しました。
報告全体の URL(重複あり)の TLD 別では .com が約 55.4 %、次いで .cn 約 16.1 %、.dev 約 8.0 %、.ru 約 5.7 %、.net 約 3.1 %、.top 約 2.8% となり、前月と比較し .com ドメイン名および .cn ドメイン名の悪用が急増、前月は減少した .dev ドメイン名の悪用が再び増加しました。
重複なしの URL では .cn ドメイン名においてサブドメインにランダム文字列を使い、フィッシングメールに記載する「使い捨て」リダイレクト用 URL として使うケースが増加し、全体の約 31.5 %を占めました。またクラウドサービスで付与できるサブドメイン名や短縮 URL サービス、リダイレクト機能があるサービスの悪用も多い状況が続いています。
ある調査用メールアドレス宛に 5 月に届いたフィッシングメールのうち、約 53.4 % がメール差出人に実在するサービスのメールアドレス (ドメイン名) を使用した「なりすまし」フィッシングメールであり、昨年12月以降、減少傾向だった「なりすまし」送信が急増し、半数以上を占めました。
送信ドメイン認証技術 DMARC のポリシーが reject (認証失敗したメールは受信拒否) または quarantine (認証失敗したメールを迷惑メールフォルダー等へ隔離) で、フィルタリング可能な なりすましフィッシングメールは約 26.7 % と大きく増加しましたが、DMARC ポリシーが none (認証失敗したメールも素通しして受信) または DMARC 対応していないドメイン名のなりすましフィッシングメールも約 26.7 % と増加傾向となりました。
独自ドメイン名による非なりすましメール配信は約 46.6 % と減少傾向となりましたが、そのうち DMARC に対応して認証成功 (dmarc=pass) したメールは約 28.4 % と、
非なりすましメールの送信ドメイン認証への対応率が上がっています。現状、利用者への連絡手段としてメールを送信する事業者は DMARC への対応がほぼ必須となっているため、DMARC による送信元ドメイン名の認証結果は正規メールか否かの判断基準の一つとなっています。
逆引き (PTR レコード) 設定がされていない IP アドレスからの送信は約 86.8 % となり増加しました。特に大量配信される不正メールは送信元に逆引き設定がされていないケースが多いため、メールサービスを運用している場合は、そのようなメールを受け取らないことを検討してください。
5 月はフィッシングメールの大量配信および配信範囲の拡大により、報告数が激増しました。今までフィッシングメールを受け取ったことがなかったメールアドレスに最近フィッシングメールが何通も届くようになった、という報告を多数受領しており、新たな大量漏えいデータをもとに配信が開始された可能性があります。
EC サイトをかたるケースでは、認証情報や決済情報の確認、不正利用の通知など非常に多くの文面のフィッシングメールが報告されました。また 4 月に引き続き、電力会社をかたって未納料金支払いを求めたり、e-Tax (国税電子申告・納税システム) をかたるフィッシングの報告も多い状況となっています。
クレジットカードの利用都度通知や月額請求のお知らせ、不正利用やログイン試行による利用制限の通知と本人確認依頼、メルマガや注意喚起など、本物メールをコピーしたと思われる文面と画像を使ったフィッシングメールが増えており、送信ドメイン認証により正規メールにのみ表示されるロゴ、アイコン、マーク等や S/MIME による電子署名がなければ判別が困難になっています。
また、メール文面に非表示のゴミ文字列や正規の URL を混ぜたり、リダイレクト機能を持つ正規サービスの URL を悪用してフィッシングメールへ埋め込む URL として使用したり、Unicode 文字列で URL を記載するなど、検知を回避しようとする試みが続いています。
5 月もしばらく報告が少なかったブランドをかたるフィッシングメールが確認されています。そのようなブランドの各報告数は少ないものの、被害が発生したブランドはそれ以降、しばらく狙われ続ける傾向があるため、「事業者のみなさまへ」を参考に対策を進めてください。
フィッシング以外では、事業者からの正規メールをフィッシングとして報告されるケースが増えています。正規メール視認性向上に対応したメールサービス利用者向けに本物メールの見分け方を啓発してください。また EC サイトを装い、注文された商品が欠品している等で返金するため LINE の友達追加を行うよう誘導したり、不審な仕事 (アルバイト) の募集の報告も増えており、連絡をすると不審なアプリをインストールするよう誘導されたり、返金ではなく逆に送金してしまうなど、被害が発生する可能性があるため、十分にご注意ください。いずれも被害に遭った場合は、最寄りの警察署へ相談、情報提供を行ってください。
事業者のみなさまへ
メールサービスを提供している通信事業者は、DMARC ポリシーに従ったメールの配信を行うとともに、迷惑メール対策を強化してください。また、ウェブメールやメールアプリなどでは送信ドメイン認証の検証状況を利用者が認識できるよう、検証結果に基づいた警告表示ならびに検証対象としたドメインの表示を検討してください。
オンラインサービスを提供している事業者は、DMARC レポートで正規メールが利用者に届いていることを確認しながら、最終的にポリシーを quarantine または reject に変更し、なりすましメールが受信者に届かないようにしてください。
また、送信ドメイン認証で正規メールであると判別できるメールのみを読むよう、利用者に啓発してください。BIMI (Gmail、Apple iCloud メール および au メールアプリ等が対応)、 Yahoo!メールブランドアイコン、Yahoo!メールブランドカラー (送信ドメイン認証結果が正しいメールを色分けしメッセージを表示)、ドコモメール公式アカウント等へ対応すると、より利用者が正規メールを視認しやすくなります。届いた正規メールを信用するか否かも含め、判断は利用者自身が行う必要があります。利用者の判断を助け、ブランドイメージを守るため、参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、これらの技術やサービスへの対応を検討してください。
利用者への啓発については、サービスの専用アプリで注意喚起を行ったり、既存の啓発コンテンツや送信する正規メールでの案内を見直して、送信ドメイン認証で認証された正規メールと偽メールとの見え方の違いについて、十分に周知してください。利用者がその違いを知らなければ、効果はありません。また、フィッシングメールが届くということは、メールアドレス等の情報が、過去にどこかから漏えいしていることを意味します。漏えいしたデータは消すことができないため、フィッシングメールが届いている利用者には、メールアドレスを新たに作成して登録変更することを推奨し、その際にユーザーに正規メールにアイコンやマークが表示される、安全なメールサービスを利用することを啓発してください。安全ではないメールサービスを使い続けると、再び被害に遭う可能性があります。
企業においては、メールセキュリティ製品や大手クラウドメールサービスは DMARC が利用できます。まったく関連がないブランドのフィッシングメールの差出人メールアドレスに企業のドメインが使われるケースが続いています。なりすまし送信によるドメインの不正利用やフィッシング、マルウェア攻撃への対策の一つとして、送受信ともに DMARC 正式運用 (ポリシーを reject または quarantine に設定し、受信時はポリシーに従ってメールを排除) に移行することを検討してください。
送信ドメイン認証を運用中の注意事項としては、メール配信サービスを追加したり、ネットワーク設備を統廃合するうちに、DNS に登録されている送信ドメイン認証の設定値が無効となる場合があります。特に多いのは SPF のエラーであり、さまざまなプロモーションメール配信を行う部門を持つ大手事業者で発生しているケースがよく見られます。定期的にチェックサイトで確認したり、DMARC レポートで送信メールが正常に判定されているか等、監視を行ってください。
不正メールを排除し、正規メールのみを確実に利用者に届けるため、大手メールサービスの Gmail が 2023 年 10 月に「メール送信者のガイドライン」を公開しています。4 月からガイドライン未対応メールの受信拒否が開始されており、6 月以降、5,000通/日以上の一括送信者は DMARC 対応必須となり、ワンクリック登録解除への対応、迷惑メール率が高い場合に緩和策が利用できない等が予定されています。Email sender guidelines FAQ (英語版) に、メールの受信拒否の際に返るエラーコードについて追記されているので、Gmail にメールが届かない場合は参照してください。メール送信ログのエラーや DMARC レポート、Gmail の Postmaster Tools を確認し、問題が見つかった場合は調査および改善を行うか、配信用メールサービスをより安全なサービスへ変更することも、検討してください。
スミッシング対策としては、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号(共通ショートコード) 等を使うこと、正規メッセージにはURLは記載しないこと、認証コードのメッセージにその事由や警告を記載する等を検討し、利用者にはそれらを確認する等、啓発を行ってください。
利用者のみなさまへ
フィッシングサイトに入力した情報を、犯罪者が裏で本物のサイトへ入力し、SMS 認証コード等も詐取して二要素認証を突破して、登録情報を変更したり、不正利用するケースが確認されています。身に覚えがない決済や登録変更の通知がきた場合は、送信ドメイン認証でアイコンが表示されている等、正規メールであるかを確認した上で、サービスのサポート窓口へ対応について相談してください。
普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。
Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導されることが多いため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。
情報提供のお願い
今月の緊急情報
https://www.antiphishing.jp/news/alert/tokyogas_20240424.html
https://www.antiphishing.jp/news/alert/mastercard_20240424.html
参考情報
https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages
Gmail : Email sender guidelines (英語版)
https://support.google.com/mail/answer/81126?hl=en
Gmail : Email sender guidelines FAQ
https://support.google.com/a/answer/14229414?hl=en
Gmail : メール送信者のガイドライン (最新のアップデートが反映されていないため、英語版も参照してください)
https://support.google.com/mail/answer/81126?hl=ja
Gmail : Postmaster Tools を使ってみる
https://support.google.com/mail/answer/9981691
JPAAWG: Google & 米国Yahoo!の迷惑メール対策強化について
https://connpass.com/event/304457/