フィッシング対策協議会(Council of Anti-Phishing Japan)は、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/10 フィッシング報告状況」において10月の月次報告を行った。

月間の報告件数は22万5796件で、前月から1103件増加。フィッシングサイトのURL件数は4万8533件で、前月より2万544件減少した。悪用されたブランド件数は115件で微増。URL件数のみ3カ月連続で減少を続けており、URLを使い回す傾向が顕著になっている。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/10 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/10 フィッシング報告状況

生成AIによる文面の巧妙化

10月はAmazonをかたる事例が約15.4%でトップ、次いでAppleをかたる事例が約11.3%を占め、さらにANAや日本航空をかたる事例を含めると全体の約36.0%に達した。1000件以上の報告が寄せられたブランドは45に上り、全体の約93.3%を構成している。これらブランド別指標は前月の統計と一致する。

分野別ではEC系が25.3%、クレジット・信販系が23.0%、配送系が10.1%を占め、これに証券系7.1%、航空系6.8%、金融系3.8%、電気・ガス・水道系3.5%、交通系3.1%が続く。前月比でEC系、航空系、金融系が減少傾向に、それ以外は配送系を中心に増加した。

報告されたフィッシングサイトは.cnが約46.2%、.comが約28.4%を占めた。これに.shop(約6.0%)、.net(約5.1%)が続き、これらを合計すると全体の約85.7%を占めた。依然として.cnと.comの利用が突出して多く、特定のドメインに依存する傾向が続いている。前月から、amazonaws.comやsendgrid.comなど正規サービスのドメイン名をそのまま悪用するケースが増加傾向にあるという。

SMSを悪用したフィッシング(スミッシング)では、クレジット・信販系および配送系を装う文面の報告が継続している。最近は生成AIを利用した多様なメッセージが確認されたとし、攻撃手法の巧妙化を伝えている。

証券関連の被害報告

金融庁は11月10日、証券会社に偽装するフィッシングの被害件数および被害額の増加を報告した。各証券会社は不正アクセス対策を実施し、9月に大幅な減少が確認されていたが、10月は再び増加に転じたという(参考:「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています:金融庁」)。

フィッシング対策協議会はこのようなサイバー攻撃の被害を防止するため、オンラインサービスの利用者に対策の強化を呼びかけている。オンラインサービスが多要素認証(MFA: Multi-Factor Authentication)やパスキーに対応している場合は、積極的にこれら追加の保護を設定し、フィッシングメールが大量に届いた場合はメールアドレスを変更するように推奨している。

さらに正規アプリの利用、パスワードマネージャーによるパスワード管理、SMSやメールに記載されたURL(リンクやボタン)に触れないなどの対策も推奨される。個人情報や機密情報の入力を求められた場合は一度立ち止まり、その手続きが本当に必要なのか考え、詐欺事案の可能性を検証することが望まれている。