フィッシング対策協議会(Council of Anti-Phishing Japan)は、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2026/01 フィッシング報告状況」において、2026年1月の月次報告を行った。

月間の報告件数は20万2350件で、前月から1万1850件増加。フィッシングサイトのURL件数は5万822件で、前月より4663件減少した。悪用されたブランド件数は108件で6件減少。報告件数は1月中旬まで増加したが下旬は減少した。この下旬以降の減少は、海外におけるレジデンシャルプロキシの無力化が影響した可能性が伝えられている。

2026年1月のフィッシング詐欺の概要

2026年1月はAmazonをかたる事例が約17.4%でトップを維持。次いでAppleをかたる事例が約6.5%を占め、さらにVISA、Paidy、セゾンカードをかたる事例の報告が多く、これらで全体の約36.7%を占めた。1000件以上の報告が寄せられたブランドは41に上り、全体の約95.0%を構成している。

分野別では、通販関連(約31.3%)が最も多く、次いでクレジット・信販系(約26.4%)、決済サービス(約5.6%)、証券関連(約5.5%)が続いた。前月との比較では、通販関連および決済サービスに加え、電気やガスなどの公共料金を装う手口も増加傾向がみられた。

一方で、フィッシングサイトのURL件数は前月より4663件(約8.4%)減少した。しかしながら、GoogleやSendGridなどの正規サービスを利用した誘導は多い状況が続く。

実在するサービスのメールアドレスを使用する「なりすまし」は、先月より1ポイント減少し約23.7%となったが高止まりしている。DMARC(Domain-based Message Authentication, Reporting, and Conformance)認証で検知可能な「なりすまし」メールと、素通りまたはDMARC未対応ドメインの「なりすまし」はほぼ同率。独自ドメインでDMARC認証をパスし、フィルターのすり抜けを試みる攻撃も継続している。

送信元IPアドレスの国別では中国(約78.7%)が最も多く、これに米国(約12.5%)、シンガポール(約8.2%)が続いた。中国の一般向け回線を利用した配信が多く、ボットネットや代理接続を経由した送信が疑われている。なお、1月26日ごろから一部の通信事業者の配信が急激に減少したことが報告されている。

メールの文面としては、認証強化を促す内容や、取引確認、不正利用に関する再認証要求、料金支払いを促す内容などが多く確認された。正規の通知メールに似せた文面が増え、見分けが難しくなっている。URLに大量の無意味な文字列を混ぜたり、非表示の文字を挿入するなど、検知を避けるための工夫も続いている。

フィッシング以外では、公式サポートを装った詐欺サイトへ誘導するメールが急増し、前月の約7倍の情報が提供された。企業の代表者名を使ってLINEグループの作成を指示する詐欺や、架空の助成金申請を促すメール、暗号資産による支払いを要求する脅迫メールなども多数報告された。モバイル事業者を名乗り、不審なアプリのインストールを促す手口も確認されている。

事業者および利用者に求められる対策

事業者向けには、送信ドメイン認証の強化や、DMARCポリシーの厳格化を要求している。正規メールの視認性を高めるため、ブランドロゴを表示するBIMI(Brand Indicators for Message Identification)の導入も推奨されている。

利用者向けには、多要素認証(MFA: Multi-Factor Authentication)の設定や、オンラインのネットトラブル情報の収集および把握を提案。大量のフィッシングメールが届く場合はメールアドレスの漏えいが疑われることから、新しいアドレスへの切り替えも検討して欲しいと呼びかけている。