フィッシング対策協議会は5月9日、2023年4月の「フィッシング報告状況」を公開した。4月に協議会へ寄せられた海外を含むフィッシング報告件数は、92,932件と前月より15,876件(約20.6%)増加した。1月の38,269件から、毎月約1万件以上増加している。
悪用されたブランドはAmazonが最も多く、約30.6%を占めた。以下、ファミペイ、えきねっと、Uber Eats、ETC利用照会サービスと続き、この5ブランドが報告数全体の64.2%を占めた。フィッシングに悪用されたブランドは92ブランドと、各分野で増加している。
分野別では、EC系(約32.2%)クレジット・信販系(約14.4%)、決済サービス系(約14.2%)、金融系(11.5%)、交通系(約8.1%)、デリバリーサービス系(約7.1%)、オンラインサービス系(約6.6%)、モバイル系(約2.4%)となり、決済サービス系が急増した。一方で、クレジット・信販系は減少傾向となっている。
フィッシングサイトのURL件数は21,230件となり、前月の6,887件から約48.0%増加した。DNS事業者のサービスを悪用したフィッシングサイトへの誘導が引き続き多く、約19.5%を占めた。
スミッシングは、宅配便関連の不在通知を装う文面からAppleをかたるフィッシングサイトへ誘導するタイプと、金融系ブランドを騙る文面の報告が増えた。Vプリカでの支払いを要求する画面へ誘導するSMSも多かった。
4月に、ある調査用メールアドレス宛に届いたフィッシングメールのうち、約82.4%が実在するサービスのメールアドレス(ドメイン)をメールの差出人に使用した「なりすまし」フィッシングメールであった。
同協議会では、送信ドメイン認証技術「DMARC」採用を引き続き提案しているが、DMARCにより排除(ポリシーがrejectまたはquarantine)できるなりすましフィッシングメールは40.6%、DMARCポリシーがnoneまたはDMARC非対応のドメインのなりすましフィッシングメールは47.8%、独自ドメインが使われるなど、送信ドメイン認証で判別ができないフィッシングメールは約11.6%であった。
4月は再びAmazonを騙るフィッシングメールが急増しているが、AmazonはすでにBIMIに対応していることに加え、Yahoo! JAPANメールおよびドコモメール公式アカウントのブランドアイコンやマーク表示にも対応した。これにより今後は効果が期待できるとしている。
一方で、DMARC未対応またはポリシーがnoneのドメインを使用したフィッシングメールの報告が非常に多い状況が続いている。noneのままではなりすましメールを迷惑メールとしてフィルタリングされづらく、こうしたメールの着信率が高いためとしている。
DMARC未対応またはポリシーがnoneの状況では、利用者への注意喚起メールの文面をコピーして、繰り返しフィッシングメールを送るなど、悪循環が発生している。また、契約更新や変更手続き、納税等の時期と重ったり、休暇などの移動シーズン前は、内容に思い当たることがあるため、フィッシングであると気がつきにくい場合もある。
同協議会では、DMARCを導入することに加え、ポリシーをquarantineまたはrejectで運用するよう呼びかけている。具体的には、「フィッシング報告状況」の「事業者のみなさまへ」の部分に記載している。
