フィッシング対策協議会(Council of Anti-Phishing Japan)は、「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2026/04 フィッシング報告状況」において、2026年4月の月次報告を行った。

月間のフィッシングメールの報告件数は15万1112件で、前月から2万8731件増加。フィッシングサイトのURL件数は6万6574件で、前月より3362件減少。悪用されたブランド件数は117件で6件減少した。報告件数は2月以降増加を続け、その他の指標は1月以前の水準で増加を止めた。

2月は海外のレジデンシャルプロキシおよびボットネットの無力化などにより報告件数の大幅な減少が観測された。しかしながら翌月より再び増加をはじめ、4月には減少前と比較して75%弱まで戻している。

PayPay誘導型フィッシングが急増

  • 税金や公共料金の支払いを装う手口が増加
  • 4月下旬には関連報告が全体の約半数を占める
  • 中国発ボットネット経由の大量配信も復活
  • PayPay送金へ誘導するフィッシングの例(2026年5月) 引用:フィッシング対策協議会

    PayPay送金へ誘導するフィッシングの例(2026年5月) 引用:フィッシング対策協議会

PayPay誘導型フィッシングが急増

Googleドキュメントやメール配信プラットフォーム「SendGrid」など正規サービスを悪用した誘導は高止まりが続いている。加えて、決済サービスを悪用した送金の手口が急増しており、関連するURL件数は全体の約17.3%を占めた。

特に、税金や公共料金、保険料、カード利用料金の請求を装い、PayPayなどの決済サービスへの送金を促すケースが急増。4月下旬には、こうした手口に関する報告が全体の約半数を占めたという。

フィッシング対策協議会は、自身の操作による送金は補償対象外となる可能性があるとして、送金前にメッセージや請求内容の真偽を十分確認するよう注意を呼びかけている。

中国発ボットネット経由の配信が復活

2026年4月のフィッシングメール報告件数は15万1112件で、前月から2万8731件増加した。一方、フィッシングサイトのURL件数は6万6574件で3362件減少。悪用されたブランド件数は117件で、前月から6件減少した。

2月には、海外のレジデンシャルプロキシやボットネットの無力化などを背景に、フィッシングメール報告件数の大幅な減少が観測されていた。しかし翌月から再び増加に転じ、4月時点では減少前の75%弱まで回復した。

特に、中国の一般向け回線を経由したボットネット配信が復活したことが大きな要因とみられている。送信元IPアドレスの国別割合では、中国が前月の約6.1%から約75.1%へ急増。これに米国(約11.4%)、シンガポール(約5.0%)、香港(約3.4%)、韓国(約2.2%)が続いた。

AmazonやAppleをかたる手口が依然上位

ブランド別では、Amazonをかたる事例が約14.4%で最多となり、Appleが約11.6%で続いた。次いで楽天カード、セゾンカード、PayPayカードをかたる事例が多く、これら5ブランドで全体の約47.8%を占めた。

1000件以上の報告が寄せられたブランドは35に上り、全体の約91.5%を構成している。

分野別では、クレジット・信販関連が約33.1%で最多となり、EC関連が約31.3%、証券関連が約7.9%、保険関連が約4.5%で続いた。前月比では、クレジット・信販、保険、銀行、オンラインサービス、決済サービス関連の増加が目立った。

DMARC回避や独自ドメイン悪用も継続

フィッシングサイトのURL件数はわずかに減少したものの、全体としては対策前と同水準で推移している。

攻撃手法では、同一ホスト名を利用し、パラメーターのみを変更する形式が引き続き中心となった。一方、BASIC認証やランダムサブドメインを利用する手法は減少傾向を示した。

実在サービスのメールアドレスを悪用する「なりすまし」の割合は約9.2%まで低下した。DMARC認証で検知可能な「なりすまし」は約5.5%、DMARC未対応ドメインなどを悪用したケースは約3.7%だった。

その一方で、独自ドメインを利用したフィッシングメールは約90.8%まで増加している。ただし、DMARCへ正しく対応したフィッシングメールは約14.0%に留まった。

近年は、フィッシングメールの文面が巧妙化し、正規メールと見分けにくくなっている。フィッシング対策協議会は、不要なメールへの対応策として「ワンクリック購読解除」の利用も検討するよう呼びかけている。

PayPay送金型詐欺への警戒呼びかけ

フィッシング対策協議会は、PayPayなどの決済サービスへの送金を促すフィッシング詐欺に警戒するよう呼びかけている。

税金や公共料金の支払いを装い、利用者自身に送金操作を行わせるケースが増加しているといい、送金前に請求内容や送信元を十分確認するよう注意を促した。

また、パスキーや多要素認証(MFA)の設定も推奨している。