フィッシング対策協議会(Council of Anti-Phishing Japan)は6月3日、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|協議会WG報告書|資料公開: フィッシングレポート 2025 の掲載について」において、2024年のフィッシング被害とその動向およびワーキンググループの活動について取りまとめたフィッシングレポートを公開した。
-
フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|協議会WG報告書|資料公開: フィッシングレポート 2025 の掲載について
2024年のフィッシング被害とその動向
フィッシングレポートでは警察庁の発表資料、米国で設立された国際組織「APWG(Anti-Phishing Working Group)」の調査報告、フィッシング対策協議会が受領したフィッシング報告について掲載している。その概要は次のとおり。
- 警察庁への2024年上半期のフィッシング報告件数は前年同期比で約10万件増加。不正送金被害総額は減少したが高水準を維持した。下半期は前年同期比で大幅に増加。キャッシュレス決済サービス、クレジットカード会社のほか、消費者金融、交通系サービス等のなりすましが報告された
- APWGの調査報告では、2024年上半期のフィッシング報告件数は前年同期比でほぼ横ばい、下半期は微増となっている。最も頻繁に攻撃されたセクターはソーシャルメディアプラットフォームで、2024年第3四半期にはフィッシング攻撃全体の約3割を占めた
- フィッシング対策協議会が受領した2024年のフィッシング報告件数は、過去最多の1,718,036件となり、前年比で約1.44倍になった。特に12月の報告件数が多く23万件を超え、月単位でも過去最多を記録した
- フィッシング対策協議会のフィッシング詐欺の分析では、2024年のなりすまし対象となったブランドは合計177。内訳はクレジットカード・信販系34、金融系31、オンラインサービス系20、通信事業者・メールサービス系19、仮想通貨系11、EC系9、その他53
- クレジットカード情報の窃取を目的としたフィッシング詐欺が多く、利用者の多いブランドを標的とする傾向が続いている。8月からは労金、信金、JA(農協)および消費者金融をかたるフィッシング報告が増加した
- メールフィルターやセキュリティ機能の回避、フィッシングサイトに誘導するさまざまな手法を確認した。文字間に非表示の制御コードを混ぜ、正常なテキスト表示を維持しながらフィルターを回避する試みが多く確認されている
- 2024年5月ごろから、なりすましブランドとは無関係な事業者のドメイン名を装う大量のフィッシングメールが確認された。特にDMARC (Domain-based Message Authentication, Reporting, and Conformance)ポリシーが「none」に設定されているドメイン名の悪用事例が多く見られた。ドメイン名の信頼性を保つために、ポリシーを「reject」に設定することが望まれる
各ワーキンググループの活動
フィッシング対策協議会では複数のワーキンググループが活動しており、レポートの中で2024年度の活動報告が行われている。その中でも技術・制度検討ワーキンググループは、2024年度に確認されたフィッシング動向や新しい対策技術等を踏まえたガイドラインの改訂を伝えている。各ガイドラインは本レポート公開と同時に、次のWebサイトから公開されている。
今回公開されたフィッシングレポートではフィッシング被害や活動報告の他に、ドメイン名廃止のリスクと注意事項、DMARC導入ガイドラインの公開、パスワードに関するガイドライン、パスワードマネージャー利用の考察、進化したワンタイムパスワード(絵文字使用)、パスキーの仕組みと推奨する理由などを解説している。
多くは企業のITおよびセキュリティ担当者に向けた情報だが、パスワードやパスキー関連の情報については一般のインターネットユーザーにも一読することが推奨される内容となっている。進化を続けるサイバー攻撃について理解を深め、自身のセキュリティ対策に活用するためにも多くのユーザーに閲覧することが望まれている。
Windows 11、更新プログラムで一部起動不能に - 緊急修正パッチ配信
