フィッシング対策協議会(Council of Anti-Phishing Japan)はこのほど、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2026/03 フィッシング報告状況」において、2026年3月の月次報告を行った。

月間のフィッシングメールの報告件数は12万2381件で、前月から6万5285件増加。フィッシングサイトのURL件数は6万9936件で、前月より5万2863件増加。悪用されたブランド件数は123件で27件増加し、これら主要な指標のすべてで増加を記録した。

前月は海外のレジデンシャルプロキシおよびボットネットの無力化などにより報告件数の大幅な減少が観測され、3月以降も低水準の継続が期待されていた。しかしながら、3月に入ると汎用的なクラウドサービスを悪用するケースが増加し、復調の兆しを見せつつあることが報告された。

  • Appleを装うフィッシングサイトの例。カード情報入力画面に誘導されるケースが確認されている(フィッシング対策協議会

    Appleを装うフィッシングサイトの例。カード情報入力画面に誘導されるケースが確認されている(フィッシング対策協議会)

3月のフィッシング詐欺は何が増えたのか

3月はAmazonをかたる事例が約20.9%でトップとなり、Appleをかたる事例が約10.5%で続いた。次いでマネックス証券、ANA、セゾンカードをかたる事例の報告が多く、これらで全体の約51.6%を占めた。1000件以上の報告が寄せられたブランドは28に上り、全体の約89.3%を構成している。

分野別ではEC関連(約38.3%)が最も多く、これにクレジット・信販関連(約25.2%)、証券関連(約12.0%)、航空関連(約7.7%)が続いた。前月との比較ではEC関連や航空関連の割合が増え、官公庁関連の報告も増加した。全体の報告件数が増加していることから、割合が減少した分野でも報告件数自体は増加したとされる。

フィッシングサイトのURL件数も報告件数と同様に急増(約300%増)しているが、内容は先月と変わりなく、同一ホスト名でパラメーターのみを変える形式が中心となっている。Googleドキュメントやメール配信プラットフォーム「SendGrid」など正規サービスを利用した誘導の増加傾向も続いている。

実在するサービスのメールアドレスを使用する「なりすまし」の割合は、約49.7%となり前月からさらに増加。DMARC(Domain-based Message Authentication, Reporting, and Conformance)認証で検知可能な「なりすまし」メールは約38.6%、素通りまたはDMARC未対応ドメインの「なりすまし」は約11.1%だった。1月まで多くを占めていたDMARC未対応のフィッシングメールは2月から3月にかけて減少傾向が続き、相対的にDMARCに対応するフィッシングメールの割合が増加している。

送信元IPアドレスの国別では米国が約53.8%と最も多く、これにシンガポール(約20.1%)、香港(約6.7%)、中国(約6.1%)、ニュージーランド(約4.2%)が続いた。中国からの配信は2月以降減少した状態が続き、代わりに米国のクラウドサービスから配信するケースが増えた。

なぜ攻撃はクラウドに移行しているのか

フィッシング攻撃がクラウドへ移行している背景には、「容易さ」「匿名性」「持続性」の3つの要因がある。

まず、クラウドサービスはアカウントを作成すればすぐに利用でき、サーバー構築やネットワーク設定の手間が少ない。攻撃者にとっては、従来のインフラよりも低コストかつ短時間で攻撃環境を用意できる点が大きい。

次に、クラウド事業者の正規インフラを利用することで通信が“正当なもの”に見えやすく、検知やブロックを回避しやすい。特にメール配信基盤やドキュメントサービスなどは、ユーザー側からも不審と判断しにくい。

さらに、クラウドは設定変更や再構築が容易であり、対策されてもすぐに別の環境へ移行できる。こうした柔軟性の高さが、攻撃の継続性を支えているとみられる。

今回の報告で示された「米国クラウド経由の増加」は、攻撃の主体が変わったというよりも、より効率的で発見されにくいインフラへとシフトした結果と捉えるべきだろう。

こうした攻撃手法の変化は、実際の被害にも影響を及ぼし始めている。

金融庁の発表によると、証券関連の不正アクセス件数は減少したものの、不正取引金額は増加したとされる。フィッシング対策協議会に寄せられた証券関連を名乗るフィッシング報告も1万件以上と高い水準を維持しており、オンライン証券アカウントを保有するユーザーは引き続き警戒を続ける必要がある。

さらに警察庁は令和7年におけるインターネットバンキングに関係する不正送金の総被害額が前年より増え、フィッシングが主要な手口(約9割)と発表(PDF)。金融関連のアカウントについても同様に警戒を続けることが望まれている。

事業者および利用者に求められる対策

フィッシング対策協議会は事業者向けのセキュリティ強化策として、送信ドメイン認証(SPF、DKIM、DMARC)の導入、DMARCポリシーの厳格化、FCrDNS検証の導入を求めている。さらに正規メールの視認性を高めるため、ブランドロゴを表示するBIMI(Brand Indicators for Message Identification)の導入検討も推奨している。

利用者向けには、パスキーおよび多要素認証(MFA: Multi-Factor Authentication)の設定や、オンラインのネットトラブル情報の収集および把握を提案。大量のフィッシングメールが届く場合はメールアドレスの漏えいが疑われることから、新しいアドレスへの切り替えも検討して欲しいと呼びかけている。