フィッシング対策協議会は、フィッシングに関する2021年11月の月次報告を発表しています。情シス担当者として、フィッシングを「防ぐ」ためにも、どのような状況にあるのか知っておくことも必要でしょう。今回はフィッシング協議会の2021年11月の報告書から気になったところを紹介します。

 

フィッシング詐欺、その現状

フィッシング対策協議会に送られてくるフィッシング報告件数は、前月10月の48,740件からわずかに減少し、48,461件であった。2021年8月には過去最高となる53,177件まで急増し、その後の動向が注目されていたものの、9月に減少が始まってから、10月、11月と微減傾向が続いている。

フィッシング報告件数

＜出典：フィッシング対策協議会＞

その一方で、フィッシングサイトのURL件数（重複なし）は、10月から157件増加し7,575件に、またフィッシングに悪用されたブランド件数（海外含む）も、10月から5件増加し82件と、報告件数の減少とは反比例して増加傾向が続いている。

フィッシングサイトの URL 件数

＜出典：フィッシング対策協議会＞

一概には言えないが、だまされる側にも”だまされない知恵”がついてきたことで全体数が下がり、その為にだます側はより巧妙化しているということなのかもしれない。

 

Amazonや楽天だけでない、そのブランド

Amazonをかたるフィッシングは有名ですが、報告数でも全体の約28.5%を占めており、Amazonからの通知は念を入れて注意する必要がある。
Amazonに次いではメルカリ、三井住友カード、楽天、ETC利用照会サービスをかたるフィッシングの報告もあり、これらの上位5ブランドで報告数全体の約67.7%を占めている。
また1,000 件以上の大量の報告があったブランドは9ブランドあり、これら上位9ブランドで全体の約79.2%を占めており、特に注意すべきである。

フィッシングに悪用されたブランド件数

＜出典：フィッシング対策協議会＞

フィッシングに悪用されたブランドは82ブランドあった。クレジット・信販系は23ブランドとなり、前月に引き続きクレジットカードブランドをかたるフィッシングが多く、都市銀行やネット銀行など金融系ブランドは5ブランドであった。
ISP やホスティング事業者、メールサービスについては11ブランドで、メールアカウントや管理アカウントの認証情報 (ID/パスワード) の詐取が目的と思われるフィッシングの報告数は前月に引き続き増えており、不正なメール配信に使われている可能性がある。
また、モバイルキャリアをかたりフィッシングサイトへ誘導する SMS （スミッシング）の報告が増えていることは注意したい。
その他、新規ブランドとして保険会社や電子マネーサービスをかたるフィッシングの報告もあった。

 

誤解を招きやすいSMS

ショートメッセージ (SMS) から誘導されるフィッシングについては、Amazon、auをかたる文面のものが多く報告されている。
SMS はメールと比較すると、本物と誤認したり、普段からキャンペーンやプラン改定など様々な通知が届くこともあり、ついアクセスしてしまう傾向がある。
また、au、ドコモ、日本郵便をかたるSMSについては不正なアプリ (マルウェア等) のインストールへ誘導されるケースが確認されている。
Androidスマートフォンを利用している場合では、日頃からGoogle Playプロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認しておく必要がある。

フィッシング以外では、ビットコインを要求する脅迫メール (セクストーションメール) の報告が多数あったという。
メールは過去に漏えいした情報をもとに送られているケースも確認されているため、長らくパスワードを変更していないサービスがある場合は、パスワード変更を行い、パスワードの使いまわしがないよう、注意が必要である。

その他、不審なアルバイト募集メールの報告も前月に引き続き多く寄せられているようであるが、このような迷惑メールは無視して削除するに限る。
（思い出してください、『君子危うきに近寄らず』です）

 

どうやってフィッシング詐欺を見破るのか

11月も送信元メールアドレスに正規サービスのドメインを使用した「なりすまし」送信メールの報告が多数あった。
調査用メールアドレス宛に11月に届いたフィッシングメールのうち、約89.0%はメール差出人に正規のメールアドレス (ドメイン) を使用した「なりすまし」フィッシングメールだった。
現在、日本で普及している送信ドメイン認証技術”SPF”のみ使用した場合、SPF=hardfailで検出できたものは約36.7%、SPF=softfail (受信側では素通し) が約26.6%、SPF=none または permerror (設定ミス) で検出できないものは約7.3%であった。
また”DMARC”を使用しないと検出できないなりすましメールは約16.5%存在していた。
送信元IPアドレスの調査では、前月に引き続き”CN”の事業者からの大量配信が多く、調査用メールアドレスへの配信では約81.7%、次いで日本国内からの配信は約5.5% を占めていた。

メール文面に違和感のない見破ることが困難なフィッシングメールでも、送信元メールアドレスとDMARCの検証結果の確認、あわせて迷惑メールフィルターを使用することで、検出ができるものが多いことが確認されている。

サービス提供事業者であれば、送信元メールアドレス (ドメイン) を利用者へ掲示するとともに、ドメイン=ブランドであることを認識し、最低限SPFとDMARCでドメインを保護し、DMARCレポートでなりすまし送信を検知することの検討が必要であろう。

また、フィッシング報告の多くは、受信時に送信ドメイン認証DMARCの検証を行っていない国内ISP及びモバイルキャリアのメールサービスの利用者から寄せられている。
DMARC検証＋迷惑メールフィルターを提供しているメールサービスの利用者からの報告は少ないため、大量の「なりすまし」メールを排除できていると考えられる。
メールサービスを提供している事業者は、DMARC検証＋迷惑メールフィルターを利用者へ提供することの検討が必要であろう。
よって、現時点で大量のフィッシングメールを受信している利用者は、DMARC検証と迷惑メールフィルターが利用できるメールサービスを使用することを検討すべきである。

企業においては、メールセキュリティ製品や大手クラウドメールサービスでDMARCが利用できる。なりすましメールによるフィッシングやマルウェア攻撃への対策の一つとして DMARCを有効にすることを情シスとしては考えていくべきであろう。

普段からログインを促すようなメールやSMSを受信した際は、まずは正規のアプリやブックマークした正規のURLからサービスへログインして情報を確認することから始めてください。これはフィッシング対策としてのルーティン化することをおススメします。これが身についているだけでもかなりの被害が防げるはずです。
また、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、まずは疑うことから始めましょう。
特に初めて利用するサイトの場合は、運営者情報や問い合わせ先なども確認し、実在する組織の場合は他に (本物の) サイトかあるかどうか、また詐欺事例等がないかを確認するなどできる限り、リスクとならない準備をすることが必要である。

 

フィッシングか否かの判断に迷うメールや不審なメールを受け取った場合は、各サービス事業者の問合せ窓口やフィッシング対策協議会 (info@antiphishing.jp) に確認するのも一つの方法であるので覚えておきたい。

---

本記事は、フィッシング対策協議会様の月次報告書の内容を元に作成しております。
ソース：https://www.antiphishing.jp/report/monthly/202111.html