フィッシング対策協議会は2月6日、2023年1月の「フィッシング報告状況」を公開した。1月に協議会へ寄せられた海外を含むフィッシング報告件数は、38,269件と前月より27,205件(約41.6%)減少している。大きく減少しているように見えるが、2020年前半の件数には及ばない。
悪用されたブランドはAmazonが最も多く、約44.6%を占めた。以下、ETC利用照会サービス、セゾンカード、PayPayカードと続き、この4ブランドが報告数全体の67.6%を占めた。分野別では、EC系(約47.1%)とクレジット・信販系(約36.5%)が大半を占めた。悪用されたブランドは76ブランドとなっている。
フィッシングサイトのURL件数は7,704件となり、前月の6,106件から約44.2%減少している。短縮URLやDDNSサービスのドメインのURLは約42.1%と、多い状況が続いている。スミッシングは、宅配便関連の不在通知を装う文面からAppleをかたるフィッシングサイトへ誘導するタイプと、モバイルキャリアを騙る文面の報告が増えた。
1月に、ある調査用メールアドレス宛に届いたフィッシングメールのうち、約82.2%が実在するサービスのメールアドレス(ドメイン)をメールの差出人に使用した「なりすまし」フィッシングメールであった。
同協議会では、送信ドメイン認証技術「DMARC」採用を引き続き提案しているが、DMARCにより排除(ポリシーがrejectまたはquarantine)できるなりすましフィッシングメールは62.9%、DMARCポリシーがnoneまたはDMARC非対応のドメインのなりすましフィッシングメールは33.7%、独自ドメインが使われるなど、送信ドメイン認証で判別ができないフィッシングメールは約3.4%であった。
同協議会では、通信事業者向けにDMARC検証と迷惑メールフィルターを利用者へ提供し、利用をうながすよう求めている。またオンラインサービスを提供している事業者に対しては、最低限SPFとDMARCでドメインを保護するよう求めている。
現在、Gmail、Yahoo!メール、Outlook、ドコモ、Apple iCloudメールなどの大手メールサービスは送信側のDMARCポリシーにによりなりすましメールを排除しており、そのカバー率は一般的な消費者の約7割以上になる。
DMARCポリシーをquarantineまたはrejectで運用すると、なりすましメールが届かなくなるため、被害抑制に効果がある。なお、DMARCポリシーがnoneのままでは、なりすましメールをフィルタリングできない。
DMARCレポートを分析し、正規メールが正しく検証されていることを確認しながら、ポリシーをquarantineまたはrejectに変更していくことが重要。pctパラメーターを1から100へ少しずつ増やしていくことで、ゆるやかな適用が可能になるとしている。
