2月はイオンカード偽るフィッシング急増、Amazonと三井住友カードも続く
2024年3月17日(日)16時24分 マイナビニュース
フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/02 フィッシング報告状況」において、2024年2月のフィッシング報告状況を発表した。
○2024年2月フィッシング報告状況のポイント
2024年2月におけるフィッシング報告状況において注目されるポイントは次のとおり。
2024年2月はイオンカードをかたるフィッシング詐欺の報告が急増し、報告数全体のうち最多の約25.7%となった。これにAmazon、三井住友カード、セゾンカード、マスターカードをかたるフィッシング詐欺の報告が続き、これらをあわせると全体の約61.3%を占めている。1,000件以上の報告があったブランドは13ブランドあり、これらで全体の約84.3%を占めた
ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、前月に引き続き宅配便関連の不在通知やAppleをかたってフィッシングサイトへ誘導する文面の報告を多く受領した。他にもモバイルキャリアをかたる文面の報告も増加している
報告されたフィッシングサイトのURLは.comが38.5%ほどで最も多く、これに.dev(約22.1%)、.cn(約11.6%)、.ru(約7.5%)、.ly(約6.7%)、.top(約3.8%)、.id(約3.1%)が続いた。1月と比較して.comの割合が減少し、.devの悪用が急増している。短縮URLやCloudflare Workersサブドメインの使い捨てURLの利用は先月に引き続き多い傾向にある
調査用メールアドレスへ配信されたフィッシングメールのうち、22.8%ほどが実在するサービスのメールアドレスを使用した「なりすまし」であり、前月よりも大きく減少傾向となっている
2024年2月はフィッシング詐欺の報告件数が55,502件となり、前月から30,325件減少。フィッシング詐欺の報告件数は減少したが、フィッシングサイトのURL件数は増加している
例年、旧正月前後の月は報告が減少する傾向にある。しかしながら、その翌月は増加する傾向にあるため注意が必要
○フィッシング詐欺対策
大量のフィッシングメールが届いている場合は、メールアドレス漏洩の可能性があるため「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」を参考に、フィッシング対策の強化されているメールサービスのメールアドレスに切り替えることが推奨されている。
フィッシングサイトに認証情報を入力してしまった場合、攻撃者が認証情報を使用して公式サイトへログインし、SMSから二要素認証(2FA: Two-Factor Authentication)の認証コードを窃取してアカウントを乗っ取るなど、不正利用される事案が確認されている。身に覚えがない決済や登録変更の通知が送られてきた場合は、フィッシングメールではないことを確認した上で公式サイトのサポートへ相談することが望まれている。
メールサービスを提供する通信事業者には、これまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うこと、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討が求められている。また、送信ドメイン認証において正規メールと判別できるメール以外は注意するように利用者に啓発することも求めている。
フィッシング詐欺に使われているWebサイトは一見しただけでは判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザーに登録したブックマークなどからアクセスし、さらにURLの確認を行うことが望まれる。
フィッシング対策協議会は、フィッシングサイトやフィッシングメールを発見した際には同協議会まで報告して欲しいと呼びかけている(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告」)。
○2024年2月フィッシング報告状況のポイント
2024年2月におけるフィッシング報告状況において注目されるポイントは次のとおり。
2024年2月はイオンカードをかたるフィッシング詐欺の報告が急増し、報告数全体のうち最多の約25.7%となった。これにAmazon、三井住友カード、セゾンカード、マスターカードをかたるフィッシング詐欺の報告が続き、これらをあわせると全体の約61.3%を占めている。1,000件以上の報告があったブランドは13ブランドあり、これらで全体の約84.3%を占めた
ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングでは、前月に引き続き宅配便関連の不在通知やAppleをかたってフィッシングサイトへ誘導する文面の報告を多く受領した。他にもモバイルキャリアをかたる文面の報告も増加している
報告されたフィッシングサイトのURLは.comが38.5%ほどで最も多く、これに.dev(約22.1%)、.cn(約11.6%)、.ru(約7.5%)、.ly(約6.7%)、.top(約3.8%)、.id(約3.1%)が続いた。1月と比較して.comの割合が減少し、.devの悪用が急増している。短縮URLやCloudflare Workersサブドメインの使い捨てURLの利用は先月に引き続き多い傾向にある
調査用メールアドレスへ配信されたフィッシングメールのうち、22.8%ほどが実在するサービスのメールアドレスを使用した「なりすまし」であり、前月よりも大きく減少傾向となっている
2024年2月はフィッシング詐欺の報告件数が55,502件となり、前月から30,325件減少。フィッシング詐欺の報告件数は減少したが、フィッシングサイトのURL件数は増加している
例年、旧正月前後の月は報告が減少する傾向にある。しかしながら、その翌月は増加する傾向にあるため注意が必要
○フィッシング詐欺対策
大量のフィッシングメールが届いている場合は、メールアドレス漏洩の可能性があるため「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」を参考に、フィッシング対策の強化されているメールサービスのメールアドレスに切り替えることが推奨されている。
フィッシングサイトに認証情報を入力してしまった場合、攻撃者が認証情報を使用して公式サイトへログインし、SMSから二要素認証(2FA: Two-Factor Authentication)の認証コードを窃取してアカウントを乗っ取るなど、不正利用される事案が確認されている。身に覚えがない決済や登録変更の通知が送られてきた場合は、フィッシングメールではないことを確認した上で公式サイトのサポートへ相談することが望まれている。
メールサービスを提供する通信事業者には、これまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うこと、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討が求められている。また、送信ドメイン認証において正規メールと判別できるメール以外は注意するように利用者に啓発することも求めている。
フィッシング詐欺に使われているWebサイトは一見しただけでは判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザーに登録したブックマークなどからアクセスし、さらにURLの確認を行うことが望まれる。
フィッシング対策協議会は、フィッシングサイトやフィッシングメールを発見した際には同協議会まで報告して欲しいと呼びかけている(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告」)。
関連記事(外部サイト)
