QRコード付きメールが届いたら要注意、フィッシングの恐れ

フィッシング対策協議会(Council of Anti-Phishing Japan)は1月6日、「フィッシング対策協議会　Council of Anti-Phishing Japan｜報告書類｜月次報告書｜2022/12 フィッシング報告状況」において、2022年12月のフィッシング報告に関するデータおよび注意喚起などを公表した。

報告されている主な内容は次のとおり。

フィッシングサイトのURLをQRコードにしてメールを埋め込むフィッシングメールが増加した
スミッシングは国税庁を偽る文面のものの報告が多かったほか、宅配便不在通知からAppleを偽るフィッシングサイトへの誘導するもの、モバイルキャリアを偽る文面の報告が増加した
DMARC (Domain-based Message Authentication, Reporting, and Conformance)ポリシーをrejectまたはquarantineに変更したブランドはフィッシング報告が減った。DMARCに対応していない、または、DMARCポリシーがnoneのブランドはなりすましメールによるフィッシングの標的になっている
フィッシングメール送信元IPアドレス調査では、中国の通信事業者からの大量配信が約88.0%を占めている
2022年12月におけるフィッシング報告件数は65,474件だった(前月比較で4,730件減少)

フィッシングメールで悪用されていた上位ブランドは次のとおり。

Amazon (約51.7%)
イオンカード
ETC利用照会サービス
オリコ
えきねっと
国税庁

悪用されていたジャンルの上位は次のとおり。

EC系 (約54.2%)
クレジット・信販系 (約26.1%)
オンラインサービス系 (約6.5%)
交通系 (約5.6%)
省庁 (約3.6%)
金融系 (1.8%)

悪用されていたトップレベルドメイン(TLD: top-level domain)は次のとおり。

.ly (約25.0%)
.top (約22.4%)
.org (約16.1%)
.com (約13.1%)
.shop (約6.1%)
.cn (約6.0%)
.icu (約3.2%)

同協議会はこうしたフィッシング詐欺の被害に遭わないよう、次の対策を取ることを推奨している。

すでに大量のフィッシングメールを受信している場合、すでにそのメールアドレスが漏洩していることを認識するとともに、フィッシング対策機能が強化されているメールサービスのメールアドレスを取得し、登録されているメールアドレスを切り替えていくことを検討する
身に覚えのないタイミングで認証コード通知SMSが届いた場合には、パスワードを変更したり決済サービスの使用履歴を確認する
ログインを促すメールやSMSを受信した場合、正規のアプリやURLからサービスへログインを行い情報を確認するとともに、クレジットカード情報や個人情報、アカウント情報、ワンタイムパスワードの入力を求められた場合には一度立ち止まって内容をよく確認する
SMSのリンクからアプリのインストールは行わない
Google Playプロテクトや正規のウイルス対策アプリで不正なアプリがインストールされていないか確認を行う
メールのリンクから決済サービスの認証画面に誘導された場合には一度立ち止まり、いつもの決済方法と違う点がないかなど内容をよく確認する