フィッシング対策協議会が公表した2026年4月の月次報告で、フィッシング報告件数が15万1112件(前月比約23.5%増)と高水準に達しました。情シスがまず押さえるべき要点は次の3つです。
- 何が起きたか:報告件数が前月から約2万8731件増え、1日あたり約5037件のペース。決済サービスの正規URLへ誘導する架空請求型が増えています。
- 誰に影響するか:自社が直接かたられていなくても、従業員が個人で使う銀行・EC・決済・証券が狙われ、結果として認証情報やカード情報の窃取につながります。
- 今すぐ何をすべきか:実在ドメインの「なりすまし」が約9.2%に減り、約9割が攻撃者の独自ドメインから送られている事実を踏まえ、DMARCだけに頼らない多層防御と利用者教育を見直すことです。
この記事でわかること
- 2026年4月のフィッシング報告統計の要点(件数・ブランド・分野)
- 「独自ドメイン9割」が情シスにとって何を意味するか
- 決済サービスの正規URLを悪用する架空請求型の手口
- 情シスが今すぐ取るべき対応と参照すべき公的指針
何が起きたのか
フィッシング対策協議会が2026年5月21日に公表した月次報告によると、2026年4月のフィッシング報告件数は15万1112件で、前月(12万2381件)から約2万8731件増、約23.5%増となりました。一方、報告を受けたフィッシングサイトのユニークURL件数は6万6574件(前月比約4.8%減)、悪用されたブランド件数は117件でした。報告件数が増える一方でURL件数は減っており、限られたサイトに報告が集中している様子がうかがえます。
悪用ブランドの上位は次のとおりで、上位5ブランドだけで報告全体の約47.8%を占めました。
| 区分 | 内容 |
|---|---|
| Amazon | 約14.4%(前月より減少) |
| Apple | 約11.6% |
| 上位5ブランド | 約47.8%(楽天カード・セゾンカード・PayPayカードを含む) |
| 1000件以上報告のブランド | 35ブランドで全体の約91.5% |
分野別では、クレジット・信販系が約33.1%、EC系が約31.3%、証券系が約7.9%、保険系が約4.5%、航空系が約3.7%、銀行系が約3.3%、オンラインサービス系が約3.3%、決済サービス系が約2.7%という構成でした。クレジットとECの2分野で全体の6割超を占めています。
なぜ報告が急増したのか
増加の背景には、決済サービスの正規URLへ誘導して送金させる架空請求型の急増があります。協議会の報告では、こうした正規URLの悪用による誘導が全体の約17.3%にのぼりました。「未払い料金がある」などと不安をあおり、利用者自身に正規サービス上で送金操作をさせるため、偽サイトの作り込みを必要とせず、URLの真偽だけでは見破りにくいのが厄介な点です。
注目すべきは「独自ドメイン9割」
「9割が独自ドメイン」とは、フィッシングメールの約90.8%が、実在サービスのドメインを詐称せず、攻撃者が自前で取得したドメインから送られているという意味です。実在ドメインを装う「なりすまし」メールは約9.2%まで激減しました。
この変化は、メール防御の前提を揺るがします。実在ドメインを詐称する古典的ななりすましであれば、詐称されたブランド側がDMARCをrejectに設定していれば受信側で弾けます。しかし攻撃者が独自ドメインを使う場合、そのドメインのSPF・DKIM・DMARCは攻撃者自身が正しく設定できるため、送信ドメイン認証は「成功」してしまい得ます。つまり、正規ブランドのDMARC整備は自社ブランドの保護には有効でも、独自ドメイン型のフィッシングを止める決め手にはなりません。
実務面では「送信元ドメインをよく見ましょう」という従来の啓発も効きにくくなります。利用者にとって見慣れない独自ドメインであっても、本文のブランドロゴや正規URLへの誘導と組み合わされると、ドメインの違和感だけで危険を判断するのは難しいからです。
送信元と悪用ドメインの傾向
協議会の報告からは、送信インフラの傾向も読み取れます。
- 送信元IPの国別:中国(CN)が約75.1%と突出し、米国(US)約11.4%、シンガポール(SG)約5.0%が続きます。
- 逆引き設定なし:約89.4%に急増。素性の確認しにくい送信元が大半を占めます。
- 悪用されたトップレベルドメイン(TLD):.com が約49.0%、.cn が約22.3%、.jp が約17.5%で、この3つだけで約88.8%を占めました。
.jp が2割近くを占める点は見落とせません。「海外TLDだから怪しい」といった単純なフィルタリングの発想だけでは取りこぼしが出ます。
現場目線の課題
情シスの立場でこの統計を眺めると、もどかしさが残ります。狙われているブランドの多くは決済・EC・証券といった従業員が業務外で個人的に使うサービスであり、会社のメールゲートウェイやEDRの管理が及ばない私用端末・私用メールが入口になりがちだからです。自社ドメインのDMARCをいくら固めても、従業員個人に届く独自ドメイン発のメールは別の経路でやってきます。
加えて、独自ドメイン化と正規URL誘導の組み合わせは、これまで「送信元を確認」「URLをよく見る」と教えてきた利用者教育の効き目を鈍らせます。技術的フィルタと人の注意力のどちらも単独では限界がある——という、地道だが避けて通れない現実に、改めて向き合う必要があります。
情シスはどうすべきか
独自ドメイン型が主流になった以上、単一の対策に依存しない多層的な備えが現実解です。自前で長大なチェックリストを作るより、まずは公的機関が整理した最新の指針を起点にするのが効率的です。
- 最新の対策の全体像を押さえる:フィッシング対策協議会の公式サイトでは、事業者・利用者それぞれ向けの対策ガイドラインや月次報告が公開されています。まずは最新版のガイドラインに目を通すことをおすすめします。
- 利用者啓発の教材を活用する:従業員向けの注意喚起には、IPAの対策のしおりなどの公的教材が使えます。「不安をあおるメールのリンクは踏まず、ブックマークか公式アプリから確認する」という具体的な行動ルールに落とし込むと効果的です。
- 認証はフィッシング耐性のある方式へ:ID・パスワードが窃取されても被害を抑えるため、重要なサービスではFIDO2/パスキーなどフィッシング耐性のある多要素認証への移行を検討します。SMSやワンタイムパスワードは中継型の攻撃で突破され得る点に留意します。
- 自社ブランドの保護も並行して:自社をかたられる側になる可能性に備え、DMARC(reject)やBIMIの整備は引き続き有効です。万能ではありませんが、なりすまし型を弾く基本対策として価値があります。
中小規模の組織で何から手を付けるか迷う場合は、IPA中小企業向けガイドラインの要点もあわせて参考にしてください。利用者教育の重要性は、端末管理の盲点を突かれた事例からも改めて確認できます。
まとめ
- 2026年4月のフィッシング報告は15万1112件で前月比約23.5%増。決済の正規URLを悪用する架空請求型の増加が背景にあります。
- 実在ドメインのなりすましは約9.2%に減り、約9割が攻撃者の独自ドメインから送信。正規ブランドのDMARCだけでは止めにくい局面に入っています。
- 情シスは、最新の公的ガイドラインを起点に、利用者教育・フィッシング耐性のある認証・自社ブランド保護を組み合わせた多層防御で備えるのが現実解です。
出典
- フィッシング対策協議会「2026/04 フィッシング報告状況」https://www.antiphishing.jp/report/monthly/202604.html(2026年5月21日公表)
- Security NEXT「フィッシング報告が23%増 – 約9割が独自ドメイン名を利用」https://www.security-next.com/184893
- IPA 情報セキュリティ「対策のしおり」https://www.ipa.go.jp/security/guide/shiori.html
コメント