フィッシング対策協議会(Council of Anti-Phishing Japan)は、2026年6月のフィッシング報告状況をまとめた月次報告書を公表した。6月のフィッシングメールの報告件数は7万2370件で、前月から5万3691件減少した。一方、フィッシングサイトのURL件数は4万2241件で、前月より1329件増加。悪用されたブランド件数は98件で、前月から14件減少した。
報告件数の推移とブランド別傾向
報告件数は2月に急減した後、4月にかけて増加していたが、5月以降は再び減少傾向にある。6月のフィッシングメールの報告件数は7万2370件だった(引用:Malwarebytes)。ブランド別では、Amazonをかたる事例が約24.0%で最も多く、次いでVISAが約11.8%だった。このほかApple、三井住友カード、ドコモをかたる事例が多く、上位5ブランドで全体の約55.0%を占めた。
分野別内訳と国内ISP悪用の急増
分野別では、EC関連が約42.7%で最も多く、クレジット・信販関連が約27.4%、オンラインサービス関連が約6.4%と続いた。前月と比較すると、EC関連の報告件数と割合が増加した一方、クレジット・信販関連は報告件数、割合ともに大きく減少した。全体の報告件数が減少する一方で、6月は国内ISPのメールアカウントを不正利用したとみられるフィッシングメールの急増が確認された。また、政府機関(.go.jp)や国内サービス(.jp)になりすましたフィッシングメールも多数確認されている。
送信元の変化とクラウドサービス悪用
送信元にも変化がみられる。これまで9割以上を占めていた逆引き(PTRレコード)設定のないIPアドレスからの送信は約32.8%まで減少した。一方、逆引き設定のあるIPアドレスからの送信が急増し、その多くでGoogle CloudやMicrosoft Azureなどの正規クラウドサービスが悪用されていた。送信ドメイン認証やFCrDNS認証などのセキュリティ対策が普及する中、攻撃者がフィッシングメールを受信者に到達させるため、正規のクラウドサービスなどを悪用する傾向が強まっている可能性がある。
キャッシュレス決済と証券関連の動向
キャッシュレス決済サービスの正規サイトに誘導して送金させる手口は、事業者側の対策が進んだことで6月初旬ごろから急減した。ただし完全には防止できておらず、引き続き警戒が必要とされている。証券関連については、金融庁の発表で不正アクセス件数および不正取引金額の大幅な減少が確認された。一般から寄せられた証券会社などをかたるフィッシングメールの報告も0件だったことから、攻撃者がターゲットを別の分野に移した可能性がある。
推奨される対策:事業者と利用者向け
フィッシング対策協議会は、国内ISPのメールアカウントが不正利用される事案が増えているとして、事業者と利用者の双方に対策を呼びかけている。事業者に対しては、多要素認証(MFA: Multi-Factor Authentication)の導入とユーザーへの適用、監視の強化、不正利用が疑われるユーザーのパスワードリセットなどを求めている。このほか、送信ドメイン認証(SPF、DKIM、DMARC)の導入やDMARCポリシーの厳格化、FCrDNS検証の導入なども推奨している。さらに、正規メールの視認性を高めるため、ブランドロゴを表示するBIMI(Brand Indicators for Message Identification)の導入も対策の一つとして挙げている。
利用者が取るべき行動
利用者は、契約しているISPからメールアカウントに関する通知を受け取った場合、その内容を確認した上でパスワードを変更することが推奨される。ただし、通知メール自体がフィッシングメールである可能性も考慮し、メール本文に記載されたリンクは利用せず、ISPの公式サイトや会員サポートページに直接アクセスして手続きすることが望ましい。また、ISP側でパスワードの強制リセットが行われた場合、メールを受信できなくなる可能性がある。突然メールを受信できなくなった場合には、ISPの公式サイトや会員サポートページでアカウントの状態を確認し、必要に応じて他のサービスで使用していない一意のパスワードに変更することが推奨される。



