ニュース
ワクチンや特別定額給付金に便乗した詐欺に注意、フィッシング対策協議会が8月の報告状況まとめを発表
8月の報告数は前月から大幅増の5万件超に
2021年9月16日 18:33
フィッシング対策協議会が2021年8月のフィッシング報告状況を発表。8月の報告数は5万3177件に上り、前月の3万4787件から大幅に増加したことが分かった。フィッシングサイトのURL件数は、9024件(前月から916件増加)、フィッシング詐欺に悪用されたブランドは89件(前月から15件増加)だった。
ブランド数が増えAmazonをかたる詐欺の割合が減少、コロナワクチンナビなど公的機関をかたる詐欺も
フィッシング詐欺が偽装するブランドでは、Amazonの割合が前月までと同様に最も高い。ただし、報告全体における割合は減少傾向だという。6月は35.8%、7月は33.1%だったのに対し、8月は24.8%だった。
Amazonのほか三井住友カード、エポスカード、イオンカード、PayPay銀行が偽装対象の上位5ブランドとなり、報告数全体の約65.8%を占めた。1000件以上の大量の報告があったブランドは、前月の6件に対して8月は11件に増加したという。
三井住友カード、エポスカード、イオンカード、PayPay銀行をかたるフィッシングの事例としては、直近で以下の記事を紹介している。
報告されたブランドの数自体が89件と増えているが、これらを業種別に見ると、クレジット・信販系が23件と多い。また、都市銀行やネット銀行など金融系ブランドは9件だった。ISPやホスティング事業者は16件で、メールアカウントや管理アカウントの認証情報の詐取を目的としたものが増えているとしている。
そのほか、ねんきんネット(日本年金機構)、特別定額給付金申請サイト(総務省)、コロナワクチンナビ(厚生労働省)を模した偽サイトへ誘導するフィッシングの報告が寄せられたという。
ねんきんネットなどをかたるフィッシングの事例としては、直近で以下の記事を紹介している。
Amazonや宅配業者をかたるSMSに注意
ショートメッセージ(SMS)から誘導されるフィッシングについては、Amazon をかたる文面のものが引き続き多く報告された。そのほか、宅配業者の不在通知を装うものも多く報告されており、マルウェアなど不正なアプリのインストールへの誘導や、Apple、LINE、ドコモ、宅配業者などを装ったフィッシングサイトへ誘導されるケースが確認されているという。
SMSから誘導されて不正なアプリをインストールしてしまうと、その端末の連絡先のデータが悪用され、連絡先に登録された人たちにフィッシングのSMSを送信してしまうことがある。そのため、SMSの送り主もフィッシング被害者である可能性が高いため、返信したり電話をかけたりしないよう、注意や配慮が必要だとしている。
無料サービスを装って有料サービスに登録させられる事例も
フィッシング以外では、無料のスポーツ動画配信サービスを装うサイトなどから、登録と称してクレジットカード情報などの入力を促すサイトへ誘導し、意図しない有料サービスへ登録させられるケースが報告されているという。同協議会では、真偽を確認せず安易に情報を入力しないようにと注意を呼び掛けている。
また、ビットコインを要求する脅迫メール(セクストーションメール)の報告も寄せられたという。このようなメールは過去に漏えいした情報をもとに送られているケースも確認されているため、同協議会では、長らくパスワードを変更していないサービスがある場合はパスワードを変更し、使い回しをしないようにとしている。
セクストーションメールに関しては、独立行政法人情報処理推進機構(IPA)による手口解説動画を直近で紹介している。
SPFとDMARCを組み合わせて「なりすまし」の防止を
報告数上位のブランドは大量のフィッシングメールが配信されており、ある調査用メールアドレス宛てに届いた大量発信系フィッシングメールの約90.7%が、正規のメールアドレスやドメイン名を使用したなりすましメールだったという、同協議会では、送信ドメイン認証技術としてSPFだけでは不十分であるとし、DMARCも導入し、正規の送信元から送信されたものかどうかを受信側で検証できる手段を提供することが重要だとしている。
また、8月は特に「.cn」ドメインの事業者からの大量配信が多く、調査用メールアドレス宛てに届いたメールの約91.2%を占めたとしている。
以下の記事でDMARCに関連する内容を取り上げている。
このほか同協会では、ログインを促す不審なメールやSMSを受信した場合の対策として、正規のアプリやブックマークした正規のURLからウェブサイトへアクセスするよう呼び掛けている。また、要求された情報を入力する前に一度立ち止まり、似たようなフィッシング詐欺事例がないか確認するようにとしている。
特に初めて利用するウェブサイトの場合は、運営者情報や問い合わせ先なども確認し、実在する組織の場合はほかに本物のウェブサイトがあるかどうか、また、詐欺事例等がないかを確認してほしいという。
8月にはこのほかに、ローソン銀行をかたるフィッシング詐欺の記事も公開している。