1月のフィッシング詐欺、ETC利用照会サービス悪用がトップ - Amazonは大幅減
マイナビニュース2024年2月16日(金)12時13分
フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/01 フィッシング報告状況」において、2024年1月のフィッシング報告状況を発表した。
○1月のフィッシング被害の状況
2024年1月におけるフィッシング報告状況の注目される主な内容は次のとおり。
2024年1月は前月に引き続きETC利用照会サービスをかたるフィッシング詐欺の報告が最も多く、報告数全体の約18.0%となった。これに三井住友カード、Amazon、マイナポイント事務局、エポスカードをかたるフィッシング詐欺の報告が続き、これらを合わせると全体の約55.5%を占めている。1,000件以上の報告があったブランドは16ブランドあり、これらで全体の約91.3%を占めた
ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングは、前月に引き続き宅配便関連の不在通知やAppleをかたってフィッシングサイトへ誘導する文面の報告を多く受領した。スマートフォンへのスミッシングではマルウェアの配布につながる不正に注意することが望まれる。また、可能であればアンチウイルスソフトウェアの導入を推奨する
報告されたフィッシングサイトのURLは.comが70.2%ほどで最も多く、これに.cn(約10.6%)、.dev(約7.6%)、.ly(約3.1%)、.ru(約2.4%)、.id(約2.0%)が続いた。短縮URLやCloudflare Workersサブドメインの使い捨てURLの利用が増加したため、フィッシングサイトのURL件数は先月と比較して増加。これら使い捨てURLが約61.4%を占めた
調査用メールアドレスへ配信されたフィッシングメールのうち、39.9%ほどが実在するサービスのメールアドレスを使用した「なりすまし」であり、前月よりも減少傾向となっている
2024年1月はさまざまなクラウドサービスから大量のフィッシングメール配信が確認された。一般ユーザー向けのメールサービスを使用したフィッシングメールも確認されている。DNSの逆引き(PTRレコード)を設定していないIPアドレスからの配信が約65.0%を占め、前月よりも割合は増加している
2024年1月はフィッシング詐欺の報告件数が85,827件となり、前月から4,965件減少。報告件数は減少したがURL件数は増加しており、迷惑メールフィルターを回避したとみられる試みを多く確認した。Amazonをかたるフィッシングメールは前月と比較して約62.4%の減少となったが、代わりに報告の少なかったブランドの報告が増加している
○フィッシング詐欺対策
大量のフィッシングメールが届いている場合は、メールアドレス漏洩の可能性があるため「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」を参考に、フィッシング対策の強化されているメールサービスのメールアドレスに切り替えることが推奨されている。
フィッシングサイトに認証情報を入力してしまった場合、攻撃者が認証情報を使用して公式サイトへログインし、ショートメッセージサービス(SMS)から二要素認証(2FA: Two-Factor Authentication)の認証コードを窃取してアカウントを乗っ取るなど、不正利用される事案が確認されている。身に覚えがない決済や登録変更の通知が送られてきた場合は、フィッシングメールではないことを確認した上で公式サイトのサポートへ相談することが望まれている。
メールサービスを提供する通信事業者にはこれまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うことや、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討を求めている。また、送信ドメイン認証において正規メールと判別できるメール以外は注意するように利用者に啓発することも求めている。
フィッシング詐欺に使われているWebサイトは一見しただけでは判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザーに登録したブックマークなどからアクセスし、さらにURLの確認を行うことが望まれる。
○1月のフィッシング被害の状況
2024年1月におけるフィッシング報告状況の注目される主な内容は次のとおり。
2024年1月は前月に引き続きETC利用照会サービスをかたるフィッシング詐欺の報告が最も多く、報告数全体の約18.0%となった。これに三井住友カード、Amazon、マイナポイント事務局、エポスカードをかたるフィッシング詐欺の報告が続き、これらを合わせると全体の約55.5%を占めている。1,000件以上の報告があったブランドは16ブランドあり、これらで全体の約91.3%を占めた
ショートメッセージサービス(SMS: Short Message Service)から誘導するスミッシングは、前月に引き続き宅配便関連の不在通知やAppleをかたってフィッシングサイトへ誘導する文面の報告を多く受領した。スマートフォンへのスミッシングではマルウェアの配布につながる不正に注意することが望まれる。また、可能であればアンチウイルスソフトウェアの導入を推奨する
報告されたフィッシングサイトのURLは.comが70.2%ほどで最も多く、これに.cn(約10.6%)、.dev(約7.6%)、.ly(約3.1%)、.ru(約2.4%)、.id(約2.0%)が続いた。短縮URLやCloudflare Workersサブドメインの使い捨てURLの利用が増加したため、フィッシングサイトのURL件数は先月と比較して増加。これら使い捨てURLが約61.4%を占めた
調査用メールアドレスへ配信されたフィッシングメールのうち、39.9%ほどが実在するサービスのメールアドレスを使用した「なりすまし」であり、前月よりも減少傾向となっている
2024年1月はさまざまなクラウドサービスから大量のフィッシングメール配信が確認された。一般ユーザー向けのメールサービスを使用したフィッシングメールも確認されている。DNSの逆引き(PTRレコード)を設定していないIPアドレスからの配信が約65.0%を占め、前月よりも割合は増加している
2024年1月はフィッシング詐欺の報告件数が85,827件となり、前月から4,965件減少。報告件数は減少したがURL件数は増加しており、迷惑メールフィルターを回避したとみられる試みを多く確認した。Amazonをかたるフィッシングメールは前月と比較して約62.4%の減少となったが、代わりに報告の少なかったブランドの報告が増加している
○フィッシング詐欺対策
大量のフィッシングメールが届いている場合は、メールアドレス漏洩の可能性があるため「フィッシング対策協議会 Council of Anti-Phishing Japan | サービス事業者の皆様へ | なりすまし送信メール対策について」を参考に、フィッシング対策の強化されているメールサービスのメールアドレスに切り替えることが推奨されている。
フィッシングサイトに認証情報を入力してしまった場合、攻撃者が認証情報を使用して公式サイトへログインし、ショートメッセージサービス(SMS)から二要素認証(2FA: Two-Factor Authentication)の認証コードを窃取してアカウントを乗っ取るなど、不正利用される事案が確認されている。身に覚えがない決済や登録変更の通知が送られてきた場合は、フィッシングメールではないことを確認した上で公式サイトのサポートへ相談することが望まれている。
メールサービスを提供する通信事業者にはこれまでと同様に、DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーに従ってメールの配信を行うことや、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能追加の検討を求めている。また、送信ドメイン認証において正規メールと判別できるメール以外は注意するように利用者に啓発することも求めている。
フィッシング詐欺に使われているWebサイトは一見しただけでは判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザーに登録したブックマークなどからアクセスし、さらにURLの確認を行うことが望まれる。
「フィッシング」をもっと詳しく
「フィッシング」のニュース
-
『THEフィッシング』狙うは高級魚ベニアコウ 水深1000メートル深海に潜む“幻の魚”5月8日13時36分
-
Docker Hubのリポジトリ280万件以上がフィッシング攻撃に悪用、注意を5月3日15時23分
-
「水辺へ誘う、冒険心溢れるウエアリングを提案」HELLY HANSEN “Paddle Out To the Water”- 5月上旬ローンチ -5月2日15時16分
-
中国フィッシング組織暗躍 統制強化で海外に拠点か5月2日3時41分
-
【THEフィッシング】手軽で簡単!!東京湾バチコンアジング5月1日14時46分
-
Microsoftアカウントの窃取に気付かない、巧妙なフィッシング詐欺に注意4月29日9時5分
-
釣りあげた魚のカウンターアタック! 平和なフィッシングで発生した思わぬ珍事件に「魚さん、グッジョブ!」【米】4月26日15時5分
-
新生活シーズン、個人情報を狙う「フィッシング詐欺」に注意4月25日19時46分
-
「支払い方法に問題があります」Mastercardかたったメール フィッシング対策協議会が注意喚起4月25日18時22分
-
Mastercardを偽るフィッシング確認、注意を4月25日9時32分