~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

HOME > 報告書類 > 月次報告書 > 2024/09 フィッシング報告状況

月次報告書

2024/09 フィッシング報告状況

2024年10月18日

フィッシング報告件数

2024 年 9 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 18,346 件減少し、148,210 件となりました。

フィッシングサイトの URL 件数

2024 年 9 月のフィッシングサイトの URL 件数 (重複なし) は、前月より 36,249 件減少し、49,519 件となりました。

フィッシングに悪用されたブランド件数

2024 年 9 月のフィッシングに悪用されたブランド件数 (海外含む) は、前月より 11 件増加し、79 件となりました。

総評

2024 年 9 月のフィッシング報告件数は 148,210 件となり、2024 年 8 月と比較すると 18,346 件減少となりました。

Amazon をかたるフィッシングは前月より 2 割近く増加し、報告数全体の約 29.1 % を占めました。次いで各 1 万件以上の大量の報告を受領した 東京電力、JCB、ヤマト運輸、JAバンクをかたるフィッシングの報告をあわせると、全体の約 64.8 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 16 ブランドとなり、これらを合わせると全体の約 94.4 % を占めました。

分野別では、報告数全体に対する割合は、クレジット・信販系 約 32.8 %、EC 系 約 30.1 %、電力・ガス・水道系 約 10.2 %、金融系 約 9.8 %、配送系 約 9.5 %となり、前月と比較すると EC 系、金融系が増加、クレジット・信販系、電力・ガス・水道系、配送系は減少傾向となりました。
フィッシングに悪用されたブランドは 79 ブランドとなり、クレジット・信販系 18 ブランド、金融系 14 ブランド、通信事業者・メールサービス系 9 ブランド、オンラインサービス系 7 ブランド、EC 系 5 ブランド、暗号資産系 5 ブランド、配送系 4 ブランド、決済サービス系 4 ブランドとなり、クレジット・信販系、金融系のブランドが増加しました。

SMS から誘導されるフィッシング (スミッシング) については、東京電力および金融機関をかたる文面の報告を多く受領しました。Google メッセージの RCS チャットで送信されたフィッシングメッセージの報告も少数ですが受領しています。スミッシングへの対策については、「事業者のみなさまへ」「利用者のみなさまへ」を参考にしてください。

2024 年 9 月のフィッシングサイトの URL 件数は 49,519 件となり、2024 年 8 月と比較すると大きく 36,249 件の減少となりました。同一とみなされる URL からの誘導が増え、URL 数が減少しています。
報告全体の URL(重複あり)の TLD 別では .com 約 46.9 %、次いで .cn が約 28.5 %、.xyz 約 5.4 %、.top 約 3.5 %、.sbs 約 3.0 % となり、.com ドメイン名および .cn ドメイン名の悪用が多い状況が続いています。 ドメイン名にランダム文字列のサブドメインを付加してフィッシングメールに記載する「使い捨て」リダイレクト用 URL として使うケースが多く確認されており、報告全体の URL の約 24.6 %、重複なしの URL 件数の約 68.2 % を占めました。 報告回数が 1,000 回以上のドメイン名を含む URL が報告全体のなかで占める割合は 約 9.7 % と大きく減少し、報告回数 10 回以下は 約 19.2 %、 20 回以下は 約 29.5 % と、ドメイン名の再利用回数が減少傾向となっており、URL フィルター以外の対策が必要と考えられます。
また、クラウドサービスや CDN サービスで付与できるサービス標準のドメイン名や、短縮 URL やリダイレクト機能があるサービスを不正利用するケースが増加傾向となりました。

9 月は報告数および URL 件数は減少傾向となりましたが、いくつかの事業者がドメイン名をなりすまされて、さまざまなブランドのフィッシングメールの大量配信が行われる状況が続きました。7 月からなりすまし大量送信の被害を受けていたある事業者は、ドメイン名の DMARC ポリシーを none から quarantine に変更しましたが、なりすまし送信が減ることはなく、9 月に reject へ変更したことで、それ以降、なりすまし送信メールの報告が減少傾向となりました。しかし代わりにポリシーが none の他の事業者のドメイン名をなりすまして送信するようになり、報告が増加傾向となりました。
日本語や内容が不自然だったり、ブランドが混ざっていて不審とすぐ判断できるメールも多く、また、メール文面が本物らしくとも大量配信により、同じような内容のメールが毎日何通も届くため、逆に不審であると判断できるケースも多いと考えられます。しかし本物の月額利用や利用都度の通知、キャンペーンメールやメールマガジンをコピーし、リンクを差し替えたフィッシングメールは受信者側も見慣れており、違和感に気付きにくいため、送信ドメイン認証により正規メールにのみ表示されるブランドロゴ、アイコン、マーク等や S/MIME による電子署名等などがなければ判別が困難になっています。
また迷惑メールフィルターや解析ツール等の検知を回避する目的で、メール文面に非表示のゴミ文字列や正規の URL を混ぜたり、Unicode 文字列で URL を記載したり、URL の BASIC 認証情報 (フィッシングサイトアクセス時には不要となる) 部分やサブドメイン名部分にランダム文字列を記載するなどの試行も続いています。特定のメールサービス利用者から特定のフィッシングメール報告が一時的に増えるケースもみられ、迷惑メールフィルター機能や、DMARC 受信側検証、送信元の IP アドレスとドメイン名の検証の有無で、より着信しやすいよう送信方法を変えて送っている可能性が考えられます。

フィッシング以外では、ランダム文字列を記載したメール、大雨災害への支援を求める不審なメール、ポイントや現金の当選通知、ブランド模造品の販売サイトへの誘導、仮想通貨での支払いを要求する脅迫メール (セクストーションメール) の報告が多く寄せられました。このようなメールから誘導されたサイトで詐欺被害に遭った場合は、最寄りの警察署へ相談、情報提供を行ってください。


事業者のみなさまへ

DMARC ポリシーが quarantine/reject のドメイン名をかたるフィッシングメールが大量に利用者へ届いています。メールサービスを提供している通信事業者は、DMARC ポリシーに従ったメールの配信を行い、迷惑メール対策を強化してください。 また、ウェブメールやメールアプリなどでは送信ドメイン認証の検証状況を利用者が認識できるよう、検証結果に基づいた警告表示ならびに検証対象としたドメインの表示を検討してください。
オンラインサービスを提供している事業者は、DMARC レポートで正規メールが利用者に届いていることを確認しながら、最終的にポリシーを reject に変更し、なりすましメールが受信者に届かないようにしてください。 quarantine では迷惑メールとして届くため、受信者は正規メールも迷惑メールとして認識するようになり、ブランドへの信頼度が次第に低下します。

送信ドメイン認証を運用中の注意事項としては、メール配信サービスを追加したり、ネットワーク設備を統廃合するうちに、DNS に登録されている送信ドメイン認証の設定値が無効となる場合があります。 特に多いのは SPF のエラーであり、さまざまなプロモーションメール配信を行う部門を持つ大手事業者で発生しているケースがよく見られます。定期的にチェックサイトで確認したり、DMARC レポートで送信メールが正常に判定されているか等、監視を行ってください。

不正メールを排除し、正規メールのみを確実に利用者に届けるため、大手メールサービスの Gmail が 2023 年 10 月に「メール送信者のガイドライン」を公開しており、6 月以降、5,000 通/日以上の一括送信者は DMARC 対応必須となっています。DMARC ポリシーは none でも可ですが、この場合、なりすましメールが利用者に届き、申告される迷惑メール率が下がらない可能性があります。メール送信ログのエラーや DMARC レポート、Gmail の Postmaster Tools を確認し、問題が見つかった場合は調査および改善を行い、正規メールの到達性を維持するために最終的にポリシーを reject にすることを検討してください。
またモバイル大手のドコモでは 10 月以降 DMARC 未対応メールには警告表示を行う、と発表しています。これは送信数の多少に関わらず、すべての送信者が対象となるため、いま一度、自組織から送る正規メールの DMARC が設定不備によりエラーとなっていないか確認してください。日本政府も 6 月の犯罪対策閣僚会議において詐欺対策としての DMARC への対応促進を発表しており、今後、DMARC 正式運用はメールセキュリティにおける基本的な要件となると考えられます。DMARC 未対応、対応未計画の送信者は、DMARC ポリシー none のモニタリングモードでの DMARC 対応を開始し、quarantine/reject へのポリシー強化を検討してください。

スミッシング対策としては、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号(共通ショートコード) 等を使うこと、正規メッセージには URL は記載しないこと、認証コードのメッセージにその事由や警告を記載する等を検討し、利用者にはそれらを確認するよう、啓発を行ってください。


利用者のみなさまへ

大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしていることを意味します。漏えいした情報は犯罪者間で売買され、消すことができません。参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングサイトに入力した情報を、犯罪者が裏で本物のサイトへ入力し、SMS 認証コード等も詐取して二要素認証を突破して、登録情報を変更したり、不正利用するケースが確認されています。身に覚えがない決済や登録変更の通知がきた場合は、送信ドメイン認証でアイコンが表示されている等、正規メールであるかを確認した上で、サービスのサポート窓口へ対応について相談してください。

普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。

Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導される可能性があるため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。


情報提供のお願い

フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。 【報告方法】はこちら


今月の緊急情報

  農業協同組合 (JAバンク) をかたるフィッシング (2024/09/02)
     https://www.antiphishing.jp/news/alert/jabank_20240902.html


参考情報

  NTTドコモ: ドコモメールにフィッシング詐欺対策を目的とした 「なりすましメールの警告表示機能」を導入
~フィッシング詐欺の可能性がある不審なメール開封時に警告を表示~
     https://www.docomo.ne.jp/binary/pdf/info/news_release/topics_240522_00.pdf

  政府会議: 令和6年6月18日 第39回 犯罪対策閣僚会議 国民を詐欺から守るための総合対策
     https://www.kantei.go.jp/jp/singi/hanzai/dai39/39gijisidai.html

  なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
     https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages

  Gmail : Email sender guidelines (英語版)
     https://support.google.com/mail/answer/81126?hl=en

  Gmail : Email sender guidelines FAQ (英語版)
     https://support.google.com/a/answer/14229414?hl=en

  Gmail : メール送信者のガイドライン (最新のアップデートが反映されていないため、英語版も参照してください)
     https://support.google.com/mail/answer/81126?hl=ja

  Gmail : Postmaster Tools で送信メールを監視する
     https://support.google.com/a/topic/6259779?hl=ja

  JPAAWG: Google & 米国Yahoo!の迷惑メール対策強化について
     https://connpass.com/event/304457/