フィッシング対策協議会が発表した2025年7月の月次報告によると、国内のフィッシング報告件数が226,433件に達し、前月の6月から約17.4%増加となっている。
一時期の減少傾向から一転、再び被害が深刻化しており、特に証券会社をかたる巧妙な手口が急増の主な要因とみられている。
報告件数は高水準で推移、証券系フィッシングが突出
公開されたグラフによると、フィッシング報告件数は2024年後半から高い水準で推移しており、2025年7月は再び20万件を超える危険な水準に戻った。
今回の急増を牽引したのは、証券会社をかたるフィッシング。
報告全体の約24.3%を占め、特に「SBI証券」をかたるものが約16.1%と突出して多い。
これらは「多要素認証設定のお願い」や「補償に関するご案内」といった、利用者の不安を煽る本物らしい件名で送信され、正規のドメイン名を装う「なりすましメール」も多数確認されていることが要因とみられている。
次いで「NTTドコモ」(約13.2%)、「Apple」(約7.0%)、「ANA」(約6.9%)をかたる報告も依然として多く、上位7ブランドだけで全体の約6割を占める状況。
悪用されるブランドも多様化しており、7月には97のブランドが対象にされている。
手口はさらに巧妙化、フィルター回避の試みも
攻撃者は、迷惑メールフィルターによる検知を逃れるため、手口を巧妙化させている。
メール本文に人間には見えないゴミ文字列を混ぜ込んだり、URLにランダムな文字列を加えてパターンを変えたりするなど、機械的な検知を回避する試みが続く。
事業者・利用者双方に求められる対策
フィッシング対策協議会は事業者と利用者の双方に以下の通り対策を呼びかけている。
◆事業者向け対策
送信ドメイン認証の強化:
DMARCポリシーを「reject(受信拒否)」に設定し、なりすましメールをブロックする。
BIMIの導入
認証された正規メールにブランドロゴを表示させ、利用者が一目で本物だと判別できるようにする。
多要素認証の必須化
ID・パスワードが漏洩しても不正ログインを防ぐため、パスキーなどの導入を推奨。
◆利用者向け対策
多要素認証の徹底
利用しているサービスで多要素認証(二段階認証)が提供されている場合は必ず設定する。
パスワードマネージャーの活用
正規サイトにのみID・パスワードを自動入力するため、偽サイトでの入力を防ぐことができる。
安易なクリックは避ける
メールやSMS内のリンクから安易にアクセスせず、公式アプリやブックマークからサイトにアクセスする習慣をつける。
不審なメールは報告
判断に迷うメールは、サービス事業者の窓口やフィッシング対策協議会へ情報提供することが、被害拡大の防止につながる。
【参考記事】
https://www.antiphishing.jp/
