フィッシング対策協議会(Council of Anti-Phishing Japan)は、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2026/02 フィッシング報告状況」において、2026年2月の月次報告を行った。
2月のフィッシング報告は7割以上減少
月間のフィッシングメールの報告件数は5万7096件で、前月から14万5254件減少。フィッシングサイトのURL件数は1万7073件で、前月より3万3749件減少した。悪用されたブランド件数は96件で12件減少。
2月は報告件数が7割以上の急減となった。その要因として、1月末に行われた海外のレジデンシャルプロキシおよびボットネットの無力化や、旧正月の休暇が影響したと推測されている(参考:「Disrupting the World's Largest Residential Proxy Network | Google Cloud Blog」)。
-
2月のフィッシングの報告件数が前月比7割以上の減少となったが、旧正月が影響したと見られる Photo:PIXTA
悪用ブランドは証券・クレジットが中心
2月はマネックス証券をかたる事例が約23.9%でトップとなり、Amazonは約11.7%に下落した。次いでVISA、三井住友カード、Appleをかたる事例の報告が多く、これらで全体の約52.5%を占めた。1000件以上の報告が寄せられたブランドは15に上り、全体の約75.1%を構成している。
分野別では、クレジット・信販系(約27.8%)が最も多く、次いで証券関連(約27.6%)、通販関連(約21.0%)、航空系(約4.0%)、配送系(約4.0%)が続いた。前月との比較では、証券関連の割合が上昇したが、全体の減少に伴い件数自体は減っている。
フィッシングサイトのURL件数も報告件数の減少と同様に急減した。前月との比較では、BASIC認証やランダムなサブドメインを使う手法が大幅に減少し、同一ホスト名でパラメーターを変える形式が増加した。Googleドキュメントやメール配信プラットフォーム「SendGrid」など正規サービスを利用した誘導も続き、Amazon Web Services(AWS)のホスト名をそのまま使う例も多かった。
実在するサービスのメールアドレスを使用する「なりすまし」の割合は、約45.3%となり増加した。DMARC(Domain-based Message Authentication, Reporting, and Conformance)認証で検知可能な「なりすまし」メールは約40.6%、素通りまたはDMARC未対応ドメインの「なりすまし」は約4.7%だった。独自ドメインを使った非なりすましメールは約54.7%で、そのうちDMARC認証に成功した割合は約88.9%となった。この急激な変化は、1月までDMARC未対応のドメインから大量送信していた送信元が減ったことで、DMARC対応メールの割合が相対的に増えたことによる。
送信元IPの逆引き設定がないケースは約59.1%と前月より減少したが、依然として高い水準を維持している。逆引き設定済みの送信元ではGoogle Cloudが大半を占めた。TLD別の統計は.comが約85.2%でトップ。送信元アドレスの国別統計では米国が約50.5%、シンガポールが約34.2%、日本が約6.1%、中国が約5.9%となり、中国の著しい減少が目立つ結果となった。
金融分野では証券系の不正取引件数の減少傾向が報告された。しかしながら、不正取引金額は増加が確認されており、警戒の継続が求められている。クレジットカードの不正利用被害額は2025年3月以降減少傾向がみられ、EMV-3Dセキュアの導入など、各種対策が奏功したとみられている。
事業者および利用者に求められる対策
事業者向けには、送信ドメイン認証の強化、FCrDNS検証の導入、DMARCポリシーの厳格化の検討を求めている。正規メールの視認性を高めるため、ブランドロゴを表示するBIMI(Brand Indicators for Message Identification)の導入も推奨されている。
利用者向けには、パスキーおよび多要素認証(MFA: Multi-Factor Authentication)の設定や、オンラインのネットトラブル情報の収集および把握を提案。大量のフィッシングメールが届く場合はメールアドレスの漏えいが疑われることから、新しいアドレスへの切り替えも検討して欲しいと呼びかけている。
