2026年6月1日、フィッシング対策協議会「技術・制度検討ワーキンググループ」が、国内および海外における最新のフィッシング詐欺の動向や被害状況、攻撃手法の変化などをまとめた「フィッシングレポート 2026」を公開 。
報告書によると、2025年における国内のフィッシング報告件数は過去最多を記録し、手口の多様化や巧妙化が一段と進んでいることをまとめた 。
フィッシング報告件数は過去最多の245万件、被害も甚大
同協議会が2025年の1年間(1月〜12月)に受領したフィッシングの報告件数は、前年(2024年)比で約1.43倍となる2,454,297件に達し、過去最多を更新 。
特に2025年3月には月間として過去最多の約25万件の報告が寄せられるなど、年間を通じて脅威が高止まりしている 。
悪用されたブランド数は229に及び、クレジットカード・信販系や金融系、オンラインサービスなどに加え、証券会社をかたる事例が急増した 。
証券口座を乗っ取って株価操縦を行う不正取引被害は、被害総額が約7,393億円規模(金融庁発表)という極めて莫大な金額に上り、社会的な大問題となっているとのこと。
また、警察庁の発表によると、2025年上半期におけるインターネットバンキングでの不正送金被害も約42億2,400万円に達している 。
音声と言葉巧みな心理誘導を組み合わせる「ボイスフィッシング」が台頭
レポートでは、新たな脅威として「ボイスフィッシング(ビッシング)」の増加を挙げ、その手口を詳しく解説している。
典型的なケースでは、攻撃者が銀行などを装って企業の代表電話に連絡を入れ、「インターネットバンキングの電子証明書の更新が必要」などの口実で担当者の個別メールアドレスを聞き出す。
その後、聞き出した名前宛てに個別のフィッシングメールやSMSを送信し、電話でリアルタイムに指示を与えながらフィッシングサイトへと誘導する 。
被害者は直接会話をすることで「実在の担当者」であると信じ込みやすく、緊急性を強調されることで冷静な判断を失い、ワンタイムパスワードやアカウント情報を入力・伝達してしまい、法人口座などから巨額の資産が不正送金される被害が発生している状況とされている。
進化する検知回避テクニックと送信ドメイン認証(DMARC)を巡る攻防
セキュリティフィルターをかいくぐるための攻撃者の技術も、巧妙に組み合わされてリピート利用されている 。
正規サービスの悪用:
Google翻訳のURLをリダイレクト元として利用し、セキュリティ製品のURLスキャンを回避する手口や、AWS(amazonaws.com)等の信頼性の高いドメインをURLに含めて不審性を低く見せる手法が確認された 。
文字列の細工と難読化:
Unicodeの特殊文字(太字・斜体)や日本語以外の文字コードの混在、HTML内へ大量の非表示文字列(ゴミ文字)を挿入することで、解析ツールのパターンマッチングを妨害する難読化が行われている 。
独自ドメイン(非なりすまし)へのシフト:
2025年前半はなりすましメールが横行したものの、総務省の要請等によるDMARC(送信ドメイン認証)の普及を受け、後半は攻撃者が対策を強化 。正規のDMARC認証を通過する「独自ドメイン」を取得して迷惑メールフィルターを回避しようとする試みが急増し、12月には報告の約75.3%を占めるに至った 。
スマートフォン普及に伴うSMS(スミッシング)の脅威
レポートに掲載された5,338名を対象とする消費者意識調査によると、全体の約65.5%がインターネット利用のメイン端末として「スマートフォン」が上がっており、若年層(10代・20代)ではその割合が圧倒的だったという 。
画面が小さくURLの全体像を確認しにくい点や、届いた通知から即座にアクセスしやすいスマホの利用環境が、SMSを用いたフィッシング詐欺(スミッシング)の被害に遭いやすい一因となっていると指摘された 。
同協議会は手口が多様化・高度化する現状を受け、利用者一人ひとりが「電話やメールであっても安易に信用しない」意識を持ち、記載された連絡先ではなく、公式アプリやブックマークした公式サイトから事実を確認する習慣を徹底するよう強く呼びかけている 。
また、事業者側に対しては、単にDMARCなどの送信ドメイン認証技術を導入するだけでなく、ブランド保護やユーザーへの視認性向上の観点から「BIMI(Brand Indicators for Message Identification)」などを活用した正規メールの差別化・安全性の証明が今や不可欠であると提言した 。