ニュース

3月のフィッシング報告数は前月から約3万件の大幅増加、「えきねっと」などJRグループをかたる詐欺の手口に注意

フィッシング対策協議会が月次の報告状況を発表

  • 松永 侑貴惠

2022年4月14日 18:03

フィッシング報告件数(2021年4月~2022年3月)

 フィッシング対策協議会は、2022年3月のフィッシング報告状況を発表した。3月のフィッシング報告件数は8万2380件で、前月より3万3769件と大幅に増加した。

 フィッシングサイトのURL件数は9779件で、前月より2232件増加、悪用されたブランド件数は105件で、前月より18件増加した。

フィッシングサイトのURL件数(2021年4月~2022年3月)
フィッシングに悪用されたブランド件数(2021年4月~2022年3月)

JRグループをかたるフィッシングが急増し、報告数全体の約2割に

 報告数全体のうち、Amazonをかたるフィッシングが約21.5%を占め、次いで報告数が1万件以上となったメルカリ、えきねっとを加えた上位3ブランドで、全体の55.0%を占めた。これら以外では、特にJRグループ系ブランドをかたるフィッシングが急増し、全体の約21.1%を占めたという。

 フィッシングに悪用された105件のブランドのうち、クレジット・信販系が26件と、前月に引き続きクレジットカードブランドをかたるフィッシングが多数確認されたという。都市銀行やネット銀行など金融系ブランドは7件、ISPやホスティング事業者、メールサービスについては13件。

 このほか、モバイルキャリアをかたるフィッシングの報告が前月から約4.2倍に増加したとしている。

SMSのフィッシングは宅配便の不在通知やモバイルキャリアなど

 SMSから誘導されるフィッシングでは宅配便の不在通知、モバイルキャリア、Amazon、クレジットカードブランドをかたる文面のものが報告された。

 ドコモ、au、日本郵便(宅配便の不在通知)を装うSMSについては不正なアプリ(マルウェアなど)のインストールへ誘導されるケースが確認されており、Google Playプロテクトや正規のウイルス対策アプリなどで不正なアプリをインストールしていないか確認するよう呼び掛けている。

前月に引き続きEmotetや偽ショッピングサイトにも注意を呼び掛け

 フィッシング以外では、マルウェア「Emotet」の感染につながる添付ファイル付きメールの報告も確認されたとしている。不審なメールの添付ファイルは開かず、メールを削除するよう注意を呼び掛けている。

 加えて、偽ショッピングサイトに関する相談が増加しているとし、警察への相談と情報提供を呼び掛けている。

調査用アドレスに届いたフィッシングメールの6割近くが「なりすまし」

 同協議会の調査用メールアドレス宛に3月に届いたフィッシングメールのうち、約57.5%がメール差出人に正規のメールアドレス(ドメイン)を使用した「なりすまし」フィッシングメールだったという。

 なりすまし以外のフィッシングメールのほとんどはAmazonをかたるもので、それ以外のブランドについては、なりすましが続いているとしている。

 配信されたフィッシングメールの送信元IPアドレスの調査では、CN(中国)の通信事業者からの大量配信が約84.4%、次いで日本国内からの配信が約9.9%。なりすまし送信以外については、2月と同様に「.cn」ドメインや、ランダムに生成したと思われるドメインのメールアドレスが多く使われていたとしている。

事業者には正規メールを確認しやすくするサービスの利用を推奨

 3月のフィッシング報告状況の資料では、事業者向け、利用者のそれぞれに向けてフィッシング対策を挙げている。

 事業者向けには、次の対策を検討するよう促している。また、DMARCで検証済みの正規メールにブランドアイコンを表示するBIMI(Brand Indicators for Message Identification)導入の検討も推奨している。3月にはAmazonがBIMIに対応し、報告数が減少したという。

  • 最低限、SPFとDMARCでドメインを保護し、DMARCレポートで本物のメールが届いていることを確認したり、なりすまし送信を検知したりすること
  • メールサービスを提供している事業者は、DMARC検証+迷惑メールフィルターを利用者へ提供し、利用を促すこと

 利用者向けには、次の対策を実施するよう呼び掛けている。

  • 普段からログインを促すようなメールやSMSを受信した際は、正規のアプリやブックマークした正規のURLからサービスへログインして情報を確認すること
  • クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの入力を要求された場合は、入力先のウェブサイトが本物かを確認すること
  • 身に覚えがないタイミングで認証コード通知SMSなどが届いたときは、パスワードを変更したり、決済サービスの使用履歴を確認したりすること
  • 現時点で大量のフィッシングメールを受信している利用者は、メールアドレスが漏えいして広く出回っていると考え、今後の安全のためメールアドレスの変更や、DMARC検証と迷惑メールフィルターが利用できるメールサービスの利用を検討すること