フィッシング報告件数 4月は10万件迫る ~ DMARCで排除できるなりすましメールは40.6% | ScanNetSecurity
2024.03.29(金)

フィッシング報告件数 4月は10万件迫る ~ DMARCで排除できるなりすましメールは40.6%

フィッシング対策協議会は、2023年4月の「フィッシング報告状況」を公開した。

脆弱性と脅威 脅威動向
2023年4月のフィッシング報告件数
2023年4月のフィッシング報告件数 全 4 枚 拡大写真

 フィッシング対策協議会は5月9日、2023年4月の「フィッシング報告状況」を公開した。4月に協議会へ寄せられた海外を含むフィッシング報告件数は、92,932件と前月より15,876件(約20.6%)増加した。1月の38,269件から、毎月約1万件以上増加している。

 悪用されたブランドはAmazonが最も多く、約30.6%を占めた。以下、ファミペイ、えきねっと、Uber Eats、ETC利用照会サービスと続き、この5ブランドが報告数全体の64.2%を占めた。フィッシングに悪用されたブランドは92ブランドと、各分野で増加している。

 分野別では、EC系(約32.2%)クレジット・信販系(約14.4%)、決済サービス系(約14.2%)、金融系(11.5%)、交通系(約8.1%)、デリバリーサービス系(約7.1%)、オンラインサービス系(約6.6%)、モバイル系(約2.4%)となり、決済サービス系が急増した。一方で、クレジット・信販系は減少傾向となっている。

 フィッシングサイトのURL件数は21,230件となり、前月の6,887件から約48.0%増加した。DNS事業者のサービスを悪用したフィッシングサイトへの誘導が引き続き多く、約19.5%を占めた。

 スミッシングは、宅配便関連の不在通知を装う文面からAppleをかたるフィッシングサイトへ誘導するタイプと、金融系ブランドを騙る文面の報告が増えた。Vプリカでの支払いを要求する画面へ誘導するSMSも多かった。

 4月に、ある調査用メールアドレス宛に届いたフィッシングメールのうち、約82.4%が実在するサービスのメールアドレス(ドメイン)をメールの差出人に使用した「なりすまし」フィッシングメールであった。

 同協議会では、送信ドメイン認証技術「DMARC」採用を引き続き提案しているが、DMARCにより排除(ポリシーがrejectまたはquarantine)できるなりすましフィッシングメールは40.6%、DMARCポリシーがnoneまたはDMARC非対応のドメインのなりすましフィッシングメールは47.8%、独自ドメインが使われるなど、送信ドメイン認証で判別ができないフィッシングメールは約11.6%であった。

 4月は再びAmazonを騙るフィッシングメールが急増しているが、AmazonはすでにBIMIに対応していることに加え、Yahoo! JAPANメールおよびドコモメール公式アカウントのブランドアイコンやマーク表示にも対応した。これにより今後は効果が期待できるとしている。

 一方で、DMARC未対応またはポリシーがnoneのドメインを使用したフィッシングメールの報告が非常に多い状況が続いている。noneのままではなりすましメールを迷惑メールとしてフィルタリングされづらく、こうしたメールの着信率が高いためとしている。

 DMARC未対応またはポリシーがnoneの状況では、利用者への注意喚起メールの文面をコピーして、繰り返しフィッシングメールを送るなど、悪循環が発生している。また、契約更新や変更手続き、納税等の時期と重ったり、休暇などの移動シーズン前は、内容に思い当たることがあるため、フィッシングであると気がつきにくい場合もある。

 同協議会では、DMARCを導入することに加え、ポリシーをquarantineまたはrejectで運用するよう呼びかけている。具体的には、「フィッシング報告状況」の「事業者のみなさまへ」の部分に記載している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る