フィッシング対策協議会は2026年6月1日、事業者向けおよび利用者向けの「フィッシング対策ガイドライン」を改訂し、2026年度版として公開した 。
2025年度に実施された項目構成の大幅な整理をベースとし、2026年度版では特定の技術や対策を単に推奨するだけでなく、「それらが必要とされる背景」や「想定される具体的なリスク」の記述を精査・更新しているのが特徴となっている。
近年のフィッシング攻撃の巧妙化や被害拡大を受け、生成AIへの対策や新しい認証技術の活用などを色濃く盛り込んでいる 。
同協議会によると、2025年度に寄せられたフィッシングの報告件数は月によって20万件を超える深刻な状況となった 。
3年前には月間100万件を下回る水準で推移していたことから、被害の裾野はこの数年で大きく拡大している 。
さらに、生成AIを活用した自然な文章表現や、ターゲットごとに最適化されたメッセージによる攻撃の巧妙化が顕著で、従来の「不自然な日本語や明らかな誤りを見抜く」という方法だけでは、もはや被害を防ぎきれない状況になっている 。
こうした手口の高度化に加え、足元では証券口座の乗っ取りによる高額被害も相次いでいることから、制度面でも重要な動きが進んでおり、2025年09月には総務省が「フィッシングメール対策の強化に関する要請」を公表 。
さらに同年10月には、日本証券業協会が「インターネット取引における不正アクセス等防止に向けたガイドライン」を改定した 。
フィッシング対策は個々の事業者の自主的な取り組みにとどまらず、業界横断的な枠組みの中で強化されつつある 。
情勢の変化を踏まえて事業者向けガイドラインでは特に重要な5項目が示されており、今回の改定では背景にあるリスクへの言及がより具体的になっている 。
送信ドメイン認証技術(DMARC/BIMI)の活用
なりすましメールの受信を拒否するDMARCポリシー「p=reject」の設定や、正規メールにブランドアイコンを表示するBIMIの導入により、利用者が視覚的に正規メールを識別しやすくする 。
なお、メールを一切送信しないドメインや、保有しているだけのパークドメインであっても、不正利用を防ぐために「reject」ポリシーで一貫して保護することが求められている 。
SMSの配信経路の見直し
不正なSMSとの判別を容易にするため、国内直接接続の配信や、全携帯キャリア共通の専用番号(0005)、あるいはRCS(Rich Communication Services)準拠サービスを利用し、発信者番号を事前に告知する 。
フィッシング耐性のある多要素認証の導入
パスキー(生体認証や端末による本人確認)などを活用し、リアルタイムで認証情報を盗み取る高度な中間者攻撃に対抗する 。
また、これらの認証が利用できない場合の「代替手段」についても、同様にフィッシング耐性を有する方式を採用することが適切とされた 。
自社ドメインの適切な管理・周知
ドメイン名を自社ブランドとして正しく認識し、利用者へ継続的に周知・管理する 。社内の複数部門がバラバラにドメインを取得・運用する体制を禁止し、社内ルールを確立することが重要 。
特に、管理が放置されて失効したドメインが第三者に再取得され、フィッシングサイトなどに悪用されるリスクへの強い留意が促されている 。
利用者への継続的な啓発
フィッシング手法の変化に応じ、トップページへのリンク掲載などを通じて最新の脅威について利用者に注意喚起を行う 。
また、事業者向けには上記のほか、フィッシング対応に必要な機能を備えた「組織体制の編制」や、利用者に「アクセス履歴参照機能を提供する」ことなども推奨要件として挙げられている。
一方、利用者向けガイドラインでは、国際的なサイバーセキュリティキャンペーン「STOP. THINK. CONNECT.」の心得をベースに、覚えやすく具体的な行動につながる「3つの基本行動」が新たに定められた 。
「技術で守る」
多要素認証やパスキー、迷惑メール・Webフィルター、ウイルス対策ソフトなどを積極的にオンにすることを促している 。
「入力に注意」
メールやSMSのリンク先でID・パスワードを直接入力せず、あらかじめ登録したブックマークや公式アプリからアクセスすることを推奨している 。
その際、似た文字列のドメインへ誤誘導する「タイポスクワッティング」の罠にかからないよう、一文字ずつの確認が必要とされており、また実践的な判別方法として「普段使えるはずのパスワードマネージャーによる自動入力が機能しない場合は、偽サイトを疑う」という観点も盛り込まれた 。
さらに、昨今はGoogle ChromeやSafari、Microsoft Edgeなど、ブラウザーやOSによって暗号化通信(https)の鍵マークの有無やURLの表示方法が異なるため、利用者は「自分が普段使っているブラウザーの正常な表示方法」をあらかじめ把握しておくよう呼びかけている 。
「迷ったら相談」
不審なメッセージの受信や被害に遭った際、家族や警察(サイバー犯罪相談窓口)、消費者ホットラインなどへ速やかに相談し、一人で抱え込まないことの重要性を説いている 。
フィッシング対策は技術的な措置だけでなく、組織としてのリスク認識、利用者の実践的な防犯意識を含む総合的な取り組みが求められており、また各事業者や利用者が最新のガイドラインを参考に、現状の対策を見つめ直して強化することが望まれる 。