フィッシング対策協議会が発表した2026年3月のフィッシング報告状況によると、月間の報告件数は前月から大幅に増加し、12万2381件に達したことが分かった。
2月はボットネットの無力化などの影響により5万件台まで一時的に減少していたが、わずか1ヶ月で約6万5000件以上も報告が積み上がる形となっている。
特にフィッシングサイトのURL報告数は、前月比で約300%増という急増を見せている。
攻撃の対象となったブランドの傾向を見ると、全体の約20.9%を占めるAmazonが最多となり、次いでAppleが約10.5%、さらにマネックス証券、ANA(全日本空輸)、セゾンカードといった大手ブランドが続いた。
これら上位5ブランドだけで報告数全体の過半数を占めており、分野別ではECサイト関連が約38.3%、クレジットカード・信販関連が約25.2%に及ぶなど、生活に密着したサービスを装い金銭的価値の高い情報を狙う傾向が顕著となっている。
手口の巧妙化も進んでおり、送信元のメールアドレスを実在のサービスに見せかける「なりすまし」が全体の約半数を占めた。
偽サイトの作成においてはURLの大部分は共通のものを使い回し、末尾にある細かい管理用の文字列(パラメーター)だけを書き換えて大量に量産する手法が主流となっている。
これにより、攻撃者は効率的に多くの罠を仕掛けているとのこと。
また、GoogleドキュメントやSendGridといった信頼性の高い正規のクラウドサービスを悪用してユーザーを誘導するケースが増加しており、監視の網をかいくぐる工夫を凝らしている実態が浮き彫りとなった。
今回の急増の背景について同協議会は、2月に見られた一時的な沈静化からの「復調」であると分析している。
海外でのボットネット掃討作戦によって一時は攻撃の手が緩んだものの、攻撃者側は迅速にインフラを再構築し、米国やシンガポール経由のクラウドサービスへと拠点を移行させた。
特に中国発の攻撃が相対的に減少する一方で、米国経由の送信元IPアドレスが約5割を占めるなど、攻撃基盤が地理的に変動したことが報告件数の押し上げに影響したとみられる。
警察庁が公表する不正送金被害の約9割がフィッシングに起因している現状もあり、事態は深刻さを増している。
同協議会は、攻撃者がインフラの変化に即座に適応する高い能力を有していることを警戒し、企業に対してはDMARCの導入徹底やクラウドサービスの監視強化を、個人に対しては正規のアプリやブックマークを通じたサービス利用を心がけるよう強く呼びかけている。