2021年12月のフィッシング報告件数、前月から1.4万件増加して6.3万超に | TECH+ マイナビニュース マイナビ
2021年1月から2021年12月までにフィッシング対策協議会に寄せられたフィッシング報告件数の推移 引用:フィッシング対策協議会
報告によると、フィッシングに悪用されたブランドのトップは全体の約27.4%を占めたAmazonで、前月までと同様に他のブランドを大きく引き離している。2位以降は、メルカリ、三井住友カード、ETC利用照会サービス、JCBと続いており、この上位5ブランドで全体の約74.0%、1000件以上の報告を受けた上位12ブランドで全体の約88.4%を占めていたという。
フィッシングに悪用されたブランドは全部で77ブランドあり、これまでと同様にクレジットカードや銀行のブランドをかたるフィッシングが多数を占めたとのことだ。また、メールアカウントや管理アカウントの認証情報(IDやパスワード)の窃取が目的と思われるフィッシングが多いことに加えて、モバイルキャリアを偽ってフィッシングサイトへ誘導するSMSの報告が11月と比較すると約3倍に増えたことも指摘されている。加えて、保険会社をかたるフィッシング報告が多数寄せられたことや、水道局を騙るフィッシング報告も受けたという。
ここ数カ月のレポートでは、送信元メールアドレスに正規サービスのドメインを使用した「なりすまし」フィッシングメールが多いことが指摘されてきたが、12月も同様に多数の報告を受領したとのこと。現在日本でおもに導入されているフィッシング対策は送信元を判断基準に使うSPF(Sender Policy Framework)だが、これだけでは対策として不十分であるため、より強固ななりすまし対策を実現するDMARC(Domain-based Message Authentication, Reporting, and Conformance)と呼ばれる認証プロトコルに対応した対策を導入することが推奨されている。
利用者側としては、普段使っているサービスを利用する際は、メールのリンクをクリックするのではなく正規のアプリやブックマークした正規のURLからサービスにログインするなど、日頃から十分に注意した行動を取る必要がある。特にクレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワードなどの入力が求められるような場合は、入力する前にフィッシングでないかどうかをもう一度確認するように、フィッシング対策協議会では呼びかけている。
フィッシング詐欺に使われているWebサイトは正式なWebサイトの内容をコピーして作成されたものと見られ、一見しただけで判別することが難しいため注意が必要。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスするなどの操作を行い、確認を行うことが望まれる。