フィッシング報告件数

2025 年 1 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 96,121 件減少し、136,169 件となりました。

フィッシングサイトの URL 件数

2025 年 1 月に報告を受けたフィッシングサイトの URL 件数 (重複なし) は、前月より 76,881 件減少し、43,534 件となりました。そのうちサブドメイン違いで同一の URL として扱うことが可能と考えられる URL の重複を除外した URL 件数は 12,826 件となりました。

フィッシングに悪用されたブランド件数

2025 年 1 月に報告を受けたフィッシングに悪用されたブランド件数 (海外含む) は、前月より 18 件減少し、89 件となりました。

総評

2025 年 1 月のフィッシング報告件数は 136,169 件となり、2024 年 12 月と比較すると大きく 96,121 件減少し、約 41.4 % 減となりました。
報告数全体のうち Amazon をかたるフィッシングは約 22.3 %、PayPay をかたるフィッシングが 13.9 % を占め、それぞれ前月より報告数は減っていますが、依然として多い状況となっています。次いで三井住友カード、えきねっと、佐川急便、JA バンク をかたるフィッシングの報告をあわせると、全体の約 53.4 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 21 ブランドあり、これらを合わせると全体の約 92.6 % を占めました。

分野別では、報告数全体に対する割合は、クレジット・信販系 約 29.3 %、EC 系 約 26.7 %、決済系 約 14.5 %、配送系 約 8.0 %、金融系 約 5.3 %、交通系 約 4.4 %となり、前月と比較するとクレジット・信販系、EC系、決済系が増加傾向となり、それ以外の分野は減少傾向となりました。
フィッシングに悪用されたブランドは 89 ブランドとなり、クレジット・信販系 21 ブランド、金融系 15 ブランド、通信事業者・メールサービス系 13 ブランド、サービス系 7 ブランド、EC 系 7 ブランド、決済系 6 ブランドとなり、多くのブランドが報告されました。

SMS から誘導されるフィッシング (スミッシング) については、銀行系およびクレジットカード系のブランドをかたる文面の報告を多く受領しました。東京電力をかたる文面や宅配便の不在通知を装うスミッシングの配信も続いています。スミッシングへの対策については、「事業者のみなさまへ」「利用者のみなさまへ」を参考にしてください。

2025 年 1 月のフィッシングサイトの URL 件数は 43,534 件となり、2024 年 12 月と比較すると大きく 76,881 件減少し、約 63.8 % 減となりました。
報告全体の URL（重複あり）の TLD 別では .com 約 47.5 %、次いで .cn が約 35.7 %、あわせると報告全体の約 83.2% を占め、悪用が多い状況が続いています。次いで .shop 約 3.8 %、.goog 約 3.3 %、.net 約 3.0 %、.top 約 1.5 %、.sbs 約 1.5 %、.in 約 1.4 % となりました。メールごとに違うランダム文字列のサブドメインを付加した「使い捨て」URL は報告全体の約 23.1 %と減少傾向となり、1 月は同じ URL の使い回すケースが増加しました。使い捨て URL の TLD は約 99.9% が .cn であり、サブドメイン名を除いたドメイン名で調査すると同一の IP アドレスで登録されていることが多く、1 月の URL 件数（重複なし）43,534 件からこれらの重複を除くと 12,826 件となりました。 また Google 翻訳の URL を悪用するケースが増加し、12月の約 1.6 倍の報告を受領しています。

ある調査用メールアドレス宛に 1 月に届いたフィッシングメールのうち、メール差出人に実在するサービスのメールアドレス (ドメイン名) を使用した「なりすまし」フィッシングメールは約 42.1 % と増加傾向となりました。
送信ドメイン認証技術 DMARC のポリシーが reject (認証失敗したメールは受信拒否) または quarantine (認証失敗したメールを迷惑メールフォルダー等へ隔離) で、フィルタリング可能な なりすましフィッシングメールは約 26.4 % と増加傾向に、DMARC ポリシーが none (認証成功・失敗したメールを両方区別なく素通し) または DMARC 対応していないドメイン名のなりすましフィッシングメールは約 15.6 % と減少傾向となりました。独自ドメイン名による非なりすましメール配信は約 57.9 %、そのうち DMARC に対応して認証成功 (dmarc=pass) したメールは約 8.0 % となり、非なりすましメールの送信ドメイン認証への対応率があがりました。
逆引き (PTR レコード) 設定がされていない IP アドレスからの送信は約 97.9 % となり、引き続き多い状況となっており、その送信元の多くは海外の特定の通信事業者の IP アドレスとなっています。Gmail 送信者ガイドラインでも逆引き設定は対応必須となっており、特に大量配信される不正メールは送信元 IP アドレスに逆引き設定がされていないケースが多いため、メールサービスを運用している場合は、セキュリティ上、そのようなメールを受け取らないことを検討してください。

ここ数年、旧正月 (春節) と前後 1 週間は報告数が減る傾向にあり、今年も 1 月下旬は報告数が減少しました。特に一般消費者向けメールサービス利用者からの報告は一時期、減っていましたが、独自ドメイン名によるメール運用を行っている企業や組織からの報告は多い状況が続いていたため、迷惑メール対策が弱く、DMARC 受信側判定を行っていない事業者を狙って配信していた可能性があります。 またフィッシングメールに記載された使い捨て URL については、約半年間使われ続けていたタイプの報告が大きく減少しており、攻撃者側に何らかの変更があった可能性が考えられます。
フィッシングサイトへの誘導の手口としては、前月に引き続き、抽選、支払い利用、紹介、新規契約、サイトへのログイン等によるポイントプレゼントなど、さまざまなキャンペーンを装って勧誘する文面が多く報告されました。利用都度通知、月額請求、本人確認、退会、税金未納、宅配便配達不能通知などのメール文面も続いています。 毎日のように届く本物のキャンペーンメールやメールマガジン、通知メールは利用者は見慣れており、それを模倣したフィッシングメールは違和感に気付きにくく、送信ドメイン認証により正規メールにのみ表示されるブランドロゴ、アイコン、マーク等や S/MIME による電子署名等などがなければ判別が困難になっているため、注意が必要です。
またメール文面に非表示のゴミ文字列や正規の URL を混ぜたり、Unicode 文字列で URL を記載したり、URL の BASIC 認証情報 (フィッシングサイトアクセス時には不要となる) 部分やサブドメイン名、パラメーター部分にランダム文字列を記載するなど、迷惑メールフィルターや解析ツール等の検知を回避しようとするパターンが続いています。 迷惑メール対策の強度によってフィッシングメール着信率が変わるため、対策が弱いメールサービス利用者からの報告が多い状況となっています。

フィッシング以外では、前月に引き続き事業者から送られたメルマガや注意喚起、通知等の正規メールがフィッシングメールとして報告されるケースが増えています。不正なメールとしては悪質ECサイトへの誘導、現金当選通知、支援給付金申請、アルバイト等への勧誘、仮想通貨での支払いを要求する脅迫メール (セクストーションメール) などの報告が多く寄せられました。このようなメールから誘導されたサイトで詐欺被害に遭った場合は、最寄りの警察署へ相談、情報提供を行ってください。

事業者のみなさまへ

メールサービスを提供している通信事業者は、DMARC ポリシーに従ったメールの配信を行い、迷惑メール対策を強化してください。また、ウェブメールやメールアプリなどでは送信ドメイン認証の検証状況を利用者が認識できるよう、検証結果に基づいた警告表示ならびに検証対象としたドメインの表示を検討してください。

オンラインサービスを提供している事業者は、DMARC レポートで正規メールが利用者に届いていることを確認しながら、最終的にポリシーを reject に変更する計画を立ててください。現在、事業者規模の大小問わず、ドメイン名を悪用したなりすましフィッシングメール配信が確認されています。quarantine では迷惑メールとして届くため、受信者は正規メールも迷惑メールとして認識しており、ブランドへの信頼度が低下します。メールからのコンバージョン率が下がっている場合は、ドメイン名＝ブランドへの信頼度が低下しているため、ブランドロゴ、アイコン、マーク等の正規メール視認性向上を行い、利用者へ十分に啓発を行ってください。S/MIME は偽の署名ファイルを添付したメールが確認されているため、利用する場合は検証方法を十分に周知するとともに、検証できない環境を利用している利用者のために、ブランドロゴ、アイコン、マーク等の併用も検討してください。

Android スマートフォンユーザーがアカウントを作成するケースが多い大手メールサービスの Gmail は「メール送信者のガイドライン」を公開しており、2024年6月以降、このガイドラインに準拠しないメールは Android スマートフォンユーザーに届いていない可能性があります。Gmail ユーザーに大量の正規メールを送信している場合は要件を満たしているか、十分に確認してください。また、モバイル大手の NTTドコモでは 2025年1月より 送信ドメイン認証（DMARC）に失敗したメールおよび DMARC 未対応メールには警告表示を行う、と発表しています。いま一度、自組織から送る正規メールが DMARC の設定不備によりエラーとなっていないか確認してください。
日本政府も 6 月の犯罪対策閣僚会議において詐欺対策としての DMARC への対応促進を発表しており、今後、DMARC 正式運用はメールセキュリティにおける基本的な要件となると考えられます。DMARC 未対応、対応未計画の送信者は、DMARC ポリシー none のモニタリングモードでの DMARC 対応を開始し、quarantine そして reject へのポリシー強化を計画し実施してください。

また、詐取された認証情報の不正利用への対策として、パスキーなど ID/パスワード以外の認証方法も追加するなどの認証強化を検討してください。 オンラインでのクレジットカード決済に対応している EC 加盟店は、2025 年 3 月末までに EMV 3-Dセキュアへの対応が要請されているのでご確認ください。
SMS 認証併用の際にはスミッシング対策として、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号（共通ショートコード) 等を使う、正規メッセージには URL は記載しない、認証コードのメッセージにその用途や本物の入力画面照合のためのキーワードを記載する等を検討し、利用者にはそれらを確認するよう、啓発を行ってください。

利用者のみなさまへ

大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしていることを意味します。漏えいした情報は犯罪者間で売買され、消すことができません。参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングサイトに入力した情報を、犯罪者が裏で本物のサイトへ入力し、SMS 認証コード等も詐取して二要素認証を突破して、登録情報を変更したり、不正利用するケースが確認されています。身に覚えがない決済や登録変更の通知がきた場合は、送信ドメイン認証でアイコンが表示されている等、正規メールであるかを確認した上で、サービスのサポート窓口へ対応について相談してください。

スマートフォンのアプリやブラウザーではパスワードマネージャーが利用できます。自分で登録した正規サイトにのみ ID とパスワードを自動投入するため、フィッシングサイトのような偽サイトには反応しません。パスワードの代わりにパスキーを利用すると、自分のスマートフォンでのみパスワードレスでログインできる等、より利便性と安全性が増します。普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやパスワードマネージャーを使って正規のサイトへログインし情報を確認してください。クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのかを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。

Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導される可能性があるため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。

情報提供のお願い

フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。 【報告方法】はこちら

参考情報

  NTTドコモ: なりすましメール警告表示
     https://www.docomo.ne.jp/info/spam_mail/spoofing_warning/

  NTTドコモ: ドコモメールへメールを送信する際の注意事項
     https://www.docomo.ne.jp/service/docomo_mail/smtp_notice/

  経済産業省: 「クレジットカード・セキュリティガイドライン」が改訂されました
     https://www.meti.go.jp/press/2023/03/20240315002/20240315002.html

  政府会議: 令和6年6月18日 第39回 犯罪対策閣僚会議 国民を詐欺から守るための総合対策
     https://www.kantei.go.jp/jp/singi/hanzai/dai39/39gijisidai.html

  フィッシング対策協議会 : 送信ドメイン認証技術「DMARC」の導入状況と必要性について
     https://www.antiphishing.jp/report/wg/cert_explaindoc_20250130.html

  フィッシング対策協議会 : なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
     https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages

  Gmail : Email sender guidelines (英語版)
     https://support.google.com/mail/answer/81126?hl=en

  Gmail : Email sender guidelines FAQ (英語版)
     https://support.google.com/a/answer/14229414?hl=en

  Gmail : メール送信者のガイドライン (最新のアップデートが反映されていないため、英語版も参照してください)
     https://support.google.com/mail/answer/81126?hl=ja

  Gmail : Postmaster Tools で送信メールを監視する
     https://support.google.com/a/topic/6259779?hl=ja