セキュリティ企業のRSAセキュリティは2009年1月27日、同社の観測データを基に、2008年中のフィッシング詐欺動向を発表した。それによると、同社が全世界で確認したフィッシング攻撃(フィッシング詐欺目的の偽サイト)は、過去最多の13万5426件だったという。

 同社によれば、フィッシング攻撃は年々増加しているという。2007年には、それまでの過去最多となる9万件ちょうどの攻撃を確認。そして2008年には、その数字を大きく上回り、過去最多を更新した。

 増加した理由の一つは、「Rock Phish」の暗躍。Rock Phishとは、“正体不明”のオンライン犯罪組織。RSAセキュリティでは、フィッシング詐欺の過半数は彼らによって行われているとして、以前から警告している。

 同社の観測によれば、Rock Phishはいくつかのボットネットをフィッシング詐欺のインフラとして利用。ボットネットに偽サイトを構築したり、ボットネットを使ってフィッシング目的の偽メール(フィッシングメール)を送信したりしている。

 2008年の月ごとの推移を見ると、2008年4月の1万5002件をピークに、同年8月まで右肩下がり(図1)。同社によれば、Rock Phishが攻撃用のインフラを整備していたためだという。この時期にRock Phishは、それまで使っていたボットネットを捨てて、新しいボットネットを構築。新しいボットネットの利用を開始した同年8月以降は、以前の水準に“回復”しつつある。

 フィッシングに名前をかたられた企業の国別ランキングでは、米国企業が最も多く、61%を占めた(図2)。次いで、英国(6%)、イタリア(5%)、スペイン(4%)の順。

 2008年中に確認されたフィッシングサイトが最も多かったのも米国(図3)。全体の60%を占めた。次いで、ドイツと韓国がそれぞれ全体の7%、英国、中国、フランスがそれぞれ5%だった。