フィッシング対策協議会が公表した2026年5月の報告状況では、報告件数・URL件数ともに前月から減少しました。ただし「件数が減った=脅威が弱まった」と読むのは早計です。とくにURL件数が約38.5%と大きく減った背景には、攻撃者側のURLの使い回しという事情があります。情シスとして押さえるべきは、数の増減よりも「どのブランドが狙われ」「自組織のドメインがなりすましに悪用されないか」という点です。
この記事でわかること
- 2026年5月のフィッシング報告状況(件数・URL・悪用ブランド)の要点
- URL件数だけが大きく減った理由(=脅威が弱まったわけではない)
- なりすましとDMARCの関係、情シスが自組織で今すぐ確認すべきこと
何が起きたのか:2026年5月の報告状況
フィッシング対策協議会の月次報告によると、2026年5月の主な数値は次のとおりです。前月(4月)と比べ、報告件数・URL件数とも減少しました。
| 指標 | 2026年5月 | 前月比 |
|---|---|---|
| 報告件数 | 126,061件(1日あたり約4,067件) | 約16.6%減 |
| URL件数 | 40,912件(1日あたり約1,320件) | 約38.5%減 |
| 悪用されたブランド数 | 112ブランド | 5ブランド減 |
報告件数の減少幅(約16.6%)に対して、URL件数の減少幅(約38.5%)が突出して大きいのが今月の特徴です。この差にこそ、攻撃の実態を読むヒントがあります。
なぜURL件数だけ大きく減ったのか
フィッシング対策協議会は、URL件数の減少要因として「キャッシュレス決済サービス関連のフィッシングでは、請求リンクをURLに紐づけるため、同じURLを使い回す傾向がある」と説明しています。つまり、多数の利用者に同じフィッシングURLをばらまくため、報告件数が多くてもユニークなURLの数は増えにくいのです。
ここは実務上の読み違えを起こしやすいポイントです。「URLが減った=ブロックすべき悪性サイトが減った」ではありません。1本のURLで大量の被害者を狙う運用に変わっただけで、遭遇するメール・SMSの量が減ったことを意味しません。URLフィルタやブロックリストは有効ですが、使い回されるドメインは早期に検知・共有される一方、新規ドメインへの切り替えも速いため、リスト依存だけでは取りこぼしが出ます。
悪用ブランドの偏り:上位5ブランドで約6割
なりすまされたブランドには強い偏りがあります。2026年5月は上位5ブランドだけで報告全体の約60.4%を占めました。
| 順位 | ブランド | 報告数の割合 |
|---|---|---|
| 1 | 楽天カード | 約18.5% |
| 2 | PayPayカード | 約17.1% |
| 3〜5 | Amazon / Apple / 日本年金機構 | (上位5ブランド計で約60.4%) |
カテゴリ別では「クレジット・信販関連」が約47.8%と突出し、次いで「EC関連」約21.9%、「決済サービス関連」約7.2%と続きます。日本年金機構のような公的サービスのなりすましも上位に入っており、給与・年金・税といった話題は季節を問わず狙われます。従業員向けの注意喚起では、こうした実際に狙われているブランド名を具体的に挙げるほうが「自分ごと」として伝わります。
なりすましとDMARC:情シスが自組織で確認すべきこと
今回の報告で情シスがもっとも注目すべきは、送信ドメイン認証(DMARC)に関する記述です。調査対象に届いたフィッシングメールのうち、実在するサービスのドメイン名をそのまま使った「なりすまし」は約36.4%にのぼりました。
興味深いのは、なりすましに悪用されたドメインのうちDMARC未対応はわずか約0.8%だった点です。裏を返せば、悪用されたドメインの大半はDMARC自体は設定済みでした。それでもなりすましが成立したのは、DMARCポリシーが「none(監視のみ・拒否しない)」のドメインが不正利用される傾向があったからです。
ここが実務の急所です。DMARCレコードを公開していても、ポリシーがp=noneのままでは、受信側は認証に失敗したメールを隔離も拒否もしません。「DMARCを設定した」ことと「なりすましを防げる状態にした」ことは別物です。自社ドメインが取引先や顧客をだます踏み台にされないためにも、レポート(rua/ruf)で正当な送信元を把握したうえで、段階的にp=quarantine→p=rejectへ引き上げる運用が要になります。詳しくはメールのなりすましを防ぐDMARC/SPF/DKIMの基本と設定の勘所で解説しています。
なお、報告されたフィッシングメールの送信元IPは中国(約83.4%)が大半を占め、香港・シンガポールが続きました。海外からの大量送信を前提に、SPF・DKIM・DMARCの三点セットで「自ドメインを騙るメールは受信側に弾いてもらう」設計を徹底したいところです。
現場目線の所感
正直なところ、月次の増減数字に一喜一憂しても現場の負荷はほとんど変わりません。報告件数が2割弱減ろうと、従業員の受信箱に届く不審メールが体感で減るわけではないからです。むしろ「URLの使い回し」のように、攻撃者が手間を省いて効率化している兆候のほうが気になります。少人数の情シスでは、届いたメール1通ずつを精査する余裕はなく、結局は入口(送信ドメイン認証・フィルタ)と出口(気づいた従業員がすぐ相談できる窓口)の両輪で受け止めるしかありません。数字を追うより、自社ドメインのDMARCポリシーが本当にnoneのまま放置されていないか、この機会に一度確認するほうがよほど実利があります。
情シスはどうすべきか(公的指針への誘導)
フィッシングは技術対策だけでなく、地道な利用者教育の積み重ねが効きます。以下の公的リソースを起点にすると、社内展開の説明資料も作りやすくなります。
- IPA「対策のしおり」…エンドユーザ向け啓発資料。フィッシングやメールの取り扱い注意点が平易にまとまっています。
- IPA「中小企業の情報セキュリティ対策ガイドライン」…限られた人員での実装の優先順位づけに。
- フィッシング対策協議会の月次報告…最新の悪用ブランド・傾向を継続的に把握し、社内注意喚起の題材にする。
あわせて、そもそもフィッシングとは何か・手口の分類を整理したい場合はフィッシングとは?手口と対策をわかりやすく解説を、特定の相手を狙う巧妙な攻撃については標的型攻撃・スピアフィッシングとはやビジネスメール詐欺(BEC)とはもあわせてご覧ください。金融をかたる手口の最新動向はネットバンキング不正の2026年第1四半期動向で補完できます。
まとめ
- 2026年5月は報告件数・URL件数とも減少したが、URLの大幅減(約38.5%)は「使い回し」が主因で、脅威が弱まったわけではない。
- クレジット・EC・決済系ブランドへの偏りが強く、上位5ブランドで約6割。従業員教育では実際に狙われるブランド名を具体的に示すと効果的。
- なりすまし悪用ドメインの大半はDMARC設定済みでもポリシーが
noneだった。自社ドメインをquarantine/rejectへ引き上げる運用が最重要の宿題。
出典
- フィッシング対策協議会「2026/05 フィッシング報告状況」 https://www.antiphishing.jp/report/monthly/202605.html
- Security NEXT「フィッシングURLが約4割減 – リンク使い回しも影響」 https://www.security-next.com/186336

