国内フィッシング報告が過去最多 最近流行中の手口とは？：セキュリティニュースアラート

フィッシング対策協議会は2024年のフィッシング動向をまとめたレポートを公表した。報告件数は過去最多を記録しており、SMSなどを使った巧妙な攻撃手法が急増していることが分かった。取るべき対策とは。

[後藤大地，有限会社オングス]

　フィッシング対策協議会は2025年6月3日、「フィッシングレポート2025」を公開した。技術・制度検討ワーキンググループがとりまとめたこのレポートでは、2024年における国内外のフィッシングの動向や攻撃手法、被害状況、対策技術などが網羅されている。

調査で分かった最近の巧妙なフィッシング手口　対策はあるか？

　2024年にフィッシング対策協議会で受領したフィッシング報告件数は過去最多の約171万8千件となり、前年比で約1.44倍に増加した。報告件数は特に12月に急増し、1カ月当たりの報告数としても過去最多を記録している。フィッシングに使われたブランド数は177で、クレジットカード・信販系34ブランド、金融系31ブランド、オンラインサービス系20ブランド、通信事業者・メールサービス系19ブランド、仮想通貨系11ブランド、EC系9ブランド、その他53ブランドが確認されている。

　この他、フィッシング手法の多様化についてもまとめられている。

　調査によると、HTMLメールに制御コードを混入させるなどしてメールフィルターを回避する手口や、電子メールごとに異なるURL（ランダムサブドメイン名＋独自ドメイン名）による誘導、さらには本物に酷似した画面で利用者を欺く手法などが確認された。中でもQRコードを悪用したフィッシングが多く確認されており、Amazonや三井住友カードをかたる事例が報告されている。

　また、なりすましメールが多くの被害を引き起こしている。2024年5月以降、対象ブランドとは無関係な企業のドメイン名を装って送信されるケースが増加したことが確認されている。特に送信ドメイン認証技術「DMARC」のポリシーが「none」または「quarantine」に設定されているドメインが悪用された事例が多かったという。フィッシング対策として、DMARCポリシーを「reject」に設定するなど、送信元の信頼性を確保する必要性が強調されている。

　海外では、米国で設立されたフィッシング問題に関する国際組織であるAPWG（Anti-Phishing Working Group）の調査により、2024年上半期のフィッシング報告件数は前年同期とほぼ同水準であることが分かった。最も標的とされたのはソーシャルメディアプラットフォームであり、2024年第3四半期にはフィッシング攻撃全体の30.5％を占めた。SMSを利用したスミッシングも前四半期から22％以上増加している。

　SMSでのフィッシング詐欺についての意識調査によると、回答者の49.8％が「過去1年間にフィッシング詐欺と考えられるSMSを受信した」と回答し、前年比で増加傾向にあることが示された。宅配業者やECサイト、銀行、クレジットカード会社を装ったメッセージが多く、1件当たりの被害額が高額化している傾向が明らかになった。

　同レポートではDMARCに関するガイドラインやパスキーによるフィッシング耐性、ワンタイムパスワードおよびパスワードマネジャーの活用なども紹介している。

　フィッシング対策協議会は被害の抑止と正確な情報提供のため、引き続きレポートの改善や技術の普及を図る姿勢を示している。利用者に対してはフィッシング手口への理解を深め、最新の対策ガイドラインを活用するよう呼びかけている。