フィッシング対策協議会は6月3日、技術・制度検討ワーキンググループがフィッシングの被害状況やフィッシングの攻撃技術・手法などについてとりまとめた 「フィッシングレポート 2025」 を公開した。
同レポートによると、同会が2024年1月から12月までに受領したフィッシング報告件数は過去最多の1,718,036 件となり、2023 年から約1.44倍となっている。12月は報告件数が23万件を超え、月ベースでも過去最多件数となっている。同会では、フィッシングメールの配信量が増えているとともに、フィッシング詐欺の認知度向上もあり、報告数が増えていると推測している。
2024年にフィッシングでかたられたブランド数は177件で、悪用された分野としては、クレジットカード・信販系が34ブランド、金融系が31ブランド、オンラインサービス系が20ブランド、通信事業者・メールサービス系が19ブランド、仮想通貨系が11ブランド、EC系が9ブランド、その他が53ブランドで発生している。クレジットカード情報の詐取が目的のフィッシングが引き続き多く、利用者が多いブランドが狙われる傾向は変わっていないという。
また同会では、ワーキンググループ活動やプロジェクトを通じてフィッシング対策を推進しており、詐欺サイト対処机上演習タスクフォースでは、活動の成果物として「詐欺サイト対処プレイブック」を公開している。
詐欺サイト対処プレイブック
https://deadpan-pony-98b.notion.site/91eb5d6d40f449eebf9f1290f08fa993?v=2f0a346b55774702a53cfa6f6af4e9b7
同レポートではトピックとして、迷惑メール対策推進協議会が2024年7月に公開した「送信ドメイン認証技術 DMARC 導入ガイドライン」について取り上げている。同ガイドラインは、できる限り多くの正しく送信されたメールが、受信側でも正しく送信ドメイン認証技術によって認証できるために設定すべきこと、考慮すべき事柄をまとめている。
送信ドメイン認証技術 DMARC 導入ガイドライン
https://www.dekyo.or.jp/soudan/data/anti_spam/dmarc_guideline.pdf
同じくトピックとして、「パスワードを使わない認証方式」として注目を集めている「パスキー(Passkeys)」についても取り上げている。従来のフィッシング攻撃では、ユーザーにパスワードや認証情報を入力させ、それを盗み取る手口が主流であったが、パスキーではユーザーが文字列を入力する場面自体が存在せず、端末内に保存された秘密鍵を使用して署名を行う仕組みになっているため、そもそも盗まれるべきパスワードが存在しない状態を作り出しており、フィッシング攻撃の成立可能性を大幅に低下させていると解説している。
