フィッシング報告件数、141,223件と高水準を維持　Amazon、PayPayなどかたるケース多数

フィッシング対策協議会が2025年2月のフィッシングに関する月次報告書を公開した。
報告によると、フィッシング報告件数は141,223件と高水準を維持しており、前月比で5,054件増加している。
一方で、フィッシングサイトのURL件数は22,518件と大幅に減少（前月比21,016件減）しており、攻撃手法の変化が見られる。

悪用されるブランドにはAmazonが全体の約28.3%を占め、PayPayが13.8%と続き、Apple、オリコ、NHKを合わせると、全体の約55.5%を占めている。
また、EC系が約35.2%、クレジット・信販系が約29.1%、決済系が約14.5%と、これらの分野がフィッシング攻撃の主要なターゲットとなっている。
攻撃手法の動向として、メール差出人に実在するサービスのメールアドレス（ドメイン名）を使用する「なりすまし」フィッシングメールが全体の約69.0%と急増していることが挙げられている。
また、ランダムなサブドメインを付加した「使い捨て」URLの利用が減少し、同じホスト名で異なるパラメータを付加する使い回しパターンが増加しているとのこと。
さらに、Google翻訳のURLをリダイレクト元として悪用するケースが急増し、URL件数の約29.4%を占めていた。

一方で、SMSフィッシング（スミッシング）による影響も挙げられており、クレジットカード系および銀行系ブランドをかたる文面、宅配便の不在通知を装う文面の報告が継続している。

レポート内では、送信ドメイン認証技術であるDMARCの重要性を強調しており、DMARCポリシーがreject（認証失敗したメールは受信拒否）またはquarantine（認証失敗したメールを迷惑メールフォルダー等へ隔離）に設定されている場合、フィルタリング可能ななりすましフィッシングメールが増加傾向にあるという。
フィッシング対策協議会は、事業者および利用者に向けて以下の対策を推奨している。

事業者:
・DMARCポリシーに従ったメール配信を行い、迷惑メール対策を強化。
・パスキーなどID/パスワード以外の認証方法も追加するなどの認証強化を検討。
・SMS認証併用の際にはスミッシング対策を徹底。

利用者:
・フィッシング対策機能が強化されているメールサービスへの切り替えを検討。
・身に覚えがない決済や登録変更の通知がきた場合は、正規メールであるかを確認。
・パスワードマネージャーの利用を検討。
・クレジットカード情報や携帯電話番号、認証コード等の入力を要求された場合は、本当に必要な手続きなのかを確認。

【参考記事】
https://www.antiphishing.jp/