フィッシング報告件数
2025 年 3 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 108,713 件増加し、249,936 件となりました。
2025 年 3 月に報告を受けたフィッシングサイトの URL 件数 (重複なし) は、前月より 29,217 件増加し、51,735 件となりました。
2025 年 3 月に報告を受けたフィッシングに悪用されたブランド件数 (海外含む) は、前月より 15 件減少し、84 件となりました。
2025 年 3 月のフィッシング報告件数は 249,936 件となり、2025 年 2 月と比較すると 108,713 件増加しました。
自組織、自サービスに大量のフィッシングメールが届き続けている事業者は、セキュリティ上、逆引き設定がされていない IP アドレスからのメールは受け取らずブロックしたり、一時拒否 (グレイリスト) や流量制限の機能を組み込む等の対策も検討してください。
Gmail 送信者ガイドラインでは逆引き設定は対応必須となっており、現在では正規サービスのメールについては、基本的に逆引き設定された IP アドレスからのみ送られてくると考えられるため、不正メールのみを排除する効果が期待できます。大量の不要な不正メールは受信者がそれらに対応する時間やさまざまな IT リソースを奪い、大きな損失となっています。必要なメールのみ受け取れるよう、対策を検討してください。
○や□の囲み文字、斜体や太字など、見た目に不自然な文字で記載されたリンクはフィッシングサイトや危険なサイトに誘導される可能性があるので、アクセスしないようご注意ください。
フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。
【報告方法】はこちら
Apple をかたるフィッシング (2025/03/05)
マイクロソフト : Strengthening Email Ecosystem: Outlook's New Requirements for High‐Volume Senders (英語) 
フィッシングサイトの URL 件数
フィッシングに悪用されたブランド件数
総評
報告数全体のうち Amazon をかたるフィッシングは約 22.5 %、Apple をかたるフィッシングが 14.2 % を占め、それぞれ報告数も前月より大きく増加傾向となりました。次いで 1 万件以上の報告を受領した ANA、VISA をかたるフィッシングの報告をあわせると、全体の約 58.2 % を占めました。また 3 月は 1,000 件以上の大量の報告を受領したブランドが増えて 35 ブランドあり、これらを合わせると全体の約 97.2 % を占めました。
分野別では、報告数全体に対する割合は、EC 系 約 39.6 %、クレジット・信販系 約 27.8 %、航空系 約 6.5 %、決済系 約 5.6 %、証券系 約 4.1 %、配送系 約 2.9 %、金融系 約 2.7 %となりました。報告数としては前月と比較すると全体的に増加傾向となり、特に EC系、クレジット・信販系、航空系、証券系ブランドが増加傾向となりました。
フィッシングに悪用されたブランドは 84 ブランドとなり、クレジット・信販系 24 ブランド、金融系 14 ブランド、証券系 8 ブランド、通信事業者・メールサービス系 6 ブランド、EC 系 6 ブランドとなりました。特に証券系ブランドをかたるフィッシングが増え、次々と新たなブランドが狙われました。
SMS から誘導されるフィッシング (スミッシング) については、クレジットカード系および銀行系ブランドをかたる文面、宅配便の不在通知を装う文面の報告が続いています。スミッシングへの対策については、「事業者のみなさまへ」「利用者のみなさまへ」を参考にしてください。
2025 年 3 月のフィッシングサイトの URL 件数は 51,735 件となり、2025 年 2 月と比較すると大きく 29,217 件増加し、約 2.3 倍 となりました。そのうちサブドメイン違いで同一の URL として扱うことが可能と考えられる URL の重複を除外した URL 件数は 29,605 件となりました。
報告全体の URL(重複あり)の TLD 別では .com 約 36.3 %、次いで .cn 約 27.5 %、.net 約 11.1 %、.goog 約 6.7 %、.xyz 約 6.2 % となり、あわせると報告全体の約 87.7 % を占めました。次いで .shop 約 3.6 %、.top 約 1.8 %、.sbs 約 1.2 %、.icu 約 1.1 % となりました。メールごとに違うランダム文字列のサブドメインを付加した「使い捨て」URL は報告全体の約 42.9 %と再び増加傾向となりました。Google 翻訳の URL をリダイレクト元として悪用するケースが増えており、報告数としては前月の約 1.2 倍、重複なしの URL 件数の約 16.3 % を占めました。
ある調査用メールアドレス宛に 3 月に届いたフィッシングメールのうち、メール差出人に実在するサービスのメールアドレス (ドメイン名) を使用した「なりすまし」フィッシングメールは約 63.2 % と多い状況が続いています。
送信ドメイン認証技術 DMARC のポリシーが reject (認証失敗したメールは受信拒否) または quarantine (認証失敗したメールを迷惑メールフォルダー等へ隔離) で、フィルタリング可能な なりすましフィッシングメールは約 29.8 %、DMARC ポリシーが none (認証成功・失敗したメールを両方区別なく素通し) または DMARC 対応していないドメイン名のなりすましフィッシングメールは約 33.4 % となりました。独自ドメイン名による非なりすましメール配信は約 36.8 %、そのうち DMARC に対応して認証成功 (dmarc=pass) したメールは約 15.1 % となり、3 月は非なりすましでのメール配信が増加傾向となりましたが、送信ドメイン認証結果によりフィルターをすり抜けようとする試みは下がりました。
逆引き (PTR レコード) 設定がされていない IP アドレスからの送信は約 96.0 % となり、2025 年になってから調査用メールアドレスに着信するフィッシングメールの 9 割以上が逆引き未設定の IP アドレスから送信され続けています。
3 月は報告数が急増し、過去最高数となりました。報告数が急増した要因としては、類似した文面のフィッシングメールが受信者に大量に届き続けていること、迷惑メールフィルター等をすり抜ける量が増えていることが考えられます。
大量配信メールは逆引き設定がされていない IP アドレス (送信ごとに変わる) から送られており、日本国内のモバイルや ISP、自組織で構築運用しているメールサービス多くは、このような大量送信への対応が遅れているため、毎日大量のフィッシングメールが利用者のメールボックスに届く状況となっています。報告数の増加傾向に伴い、このような大量配信メールに記載されるランダムサブドメインのフィッシング URL が再び増え、URL 件数も増加しています。
フィッシングによる不正利用の手口としては、証券会社をかたるフィッシングが急増しました。
詐取されたアカウント情報で口座が乗っ取られ、株の売買が行われて損失がでる等の被害が発生しており、各証券会社が注意喚起のメールを送信すると、それをコピーして「なりすまし」送信メールで誘導するケースも確認されており、フィッシング報告が多い状況が続きました。
その他では iPhone 新機種発売後 Apple をかたるフィッシングが、また移転や旅行シーズンを狙ったと思われるガス会社や宅配系、航空会社をかたるフィッシングが増加しました。
その他、前月に引き続き、抽選、支払い利用、新規契約、サイトへのログイン等によるポイントプレゼント、キャッシュバックなど、さまざまなキャンペーンを装って勧誘する文面が多く報告されました。利用都度通知、月額請求、本人確認、契約更新、退会、税金未納、宅配便配達不能通知などのメール文面も続いています。
利用者が見慣れている本物メールや、実際に起きている被害に関する注意喚起メールを模倣したフィッシングメールは違和感に気付きにくく、送信ドメイン認証により正規メールにのみ表示されるブランドロゴ、アイコン、マーク等や S/MIME による電子署名等などがなければ判別が困難になっているため、注意が必要です。
またメール文面に非表示のゴミ文字列や正規の URL を混ぜたり、Unicode 文字列で URL を記載したり、URL の BASIC 認証情報 (フィッシングサイトアクセス時には不要となる) 部分やサブドメイン名、パラメーター部分にランダム文字列を記載するなど、迷惑メールフィルターや解析ツール等の検知を回避しようとするパターンが続いています。逆引き設定チェックの有無や迷惑メール対策の強度によってフィッシングメール着信率が変わるため、対策が弱い企業や組織、ISP などのメールサービス利用者から大量のフィッシングメール報告が続きました。
フィッシング以外では、前月に引き続き事業者から送られたメルマガや注意喚起、通知等の正規メールがフィッシングメールとして報告されるケースが増えています。
不正なメールとしては証券会社や関連団体をかたり投資詐欺へ誘導したり、悪質ECサイトへの誘導、現金当選通知、支援給付金申請、不審なアルバイト等への勧誘、仮想通貨での支払いを要求する脅迫メール、警察を装った詐欺メールなどの報告が多く寄せられました。このようなメールから誘導されたサイトで詐欺被害に遭った場合は、最寄りの警察署へ相談、情報提供を行ってください。
事業者のみなさまへ
また DMARC ポリシーに従ったメールの配信を行い、迷惑メール対策を強化し、ウェブメールやメールアプリなどでは送信ドメイン認証の検証状況を利用者が認識できるよう、検証結果に基づいた警告表示ならびに検証対象としたドメインの表示を検討してください。
オンラインサービスを提供している事業者は、DMARC レポートで正規メールが利用者に届いていることを確認しながら、ポリシーを reject に変更する計画を立ててください。現在、事業者規模の大小問わず、ドメイン名を悪用したなりすましフィッシングメール配信が確認されています。quarantine では迷惑メールとして届くため、受信者は正規メールも迷惑メールとして認識しており、ブランドへの信頼度が低下します。メールからのコンバージョン率が下がっている場合は、ドメイン名=ブランドへの信頼度が低下しているため、ブランドロゴ、アイコン、マーク等の正規メール視認性向上を行い、利用者へ十分に啓発を行ってください。S/MIME は偽の署名ファイルを添付したメールが確認されているため、利用する場合は検証方法を十分に周知するとともに、検証できない環境を利用している利用者のために、ブランドロゴ、アイコン、マーク等の併用も検討してください。
大手メールサービスの Gmail は「メール送信者のガイドライン」を公開しており、Gmail ユーザーに大量のメールを送信する場合は要件に準拠する必要がありますが、同じくマイクロソフトも 5,000 通/日以上の大量送信者に対し outlook.com、hotmail.com、live.com に送信する場合の要件 (SPF/DKIM/DMARC は必須) を 2025 年 5 月 5 日から適用する、と発表しました。また、モバイル大手の NTTドコモでは送信ドメイン認証(DMARC)に失敗したメールおよび DMARC 未対応メールには警告表示を行っています。いま一度、自組織から送る正規メールが DMARC の設定不備によりエラーとなっていないか確認してください。
日本政府も 2024 年 6 月の犯罪対策閣僚会議において詐欺対策としての DMARC への対応促進を発表しており、DMARC ポリシーを quarantine/reject へ変更する事業者も増えていることから、DMARC 正式運用はメールセキュリティにおける基本的な要件となってきていると考えられます。
また、詐取された認証情報の不正利用への対策として、パスキーなど ID/パスワード以外の認証方法も追加するなどの認証強化を検討してください。
オンラインでのクレジットカード決済に対応している EC 加盟店は、2025 年 3 月に新版が公開された 「クレジットカード・セキュリティガイドライン」において、EMV 3-Dセキュアへの対応に加え、会員サイトへの不正ログイン対策が要請されています。現在、クレジットカード決済に対応しているオンラインサービスを運用している場合はご確認ください。
SMS 認証併用の際にはスミッシング対策として、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号(共通ショートコード) 等を使う、正規メッセージには URL は記載しない、認証コードのメッセージにその用途や本物の入力画面照合のためのキーワードを記載する等を検討し、利用者にはそれらを確認するよう、啓発を行ってください。
利用者のみなさまへ
大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしていることを意味します。漏えいした情報は犯罪者間で売買され、消すことができません。
参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングサイトに入力した情報を、犯罪者が裏で本物のサイトへ入力し、SMS 認証コード等も詐取して二要素認証を突破して、登録情報を変更したり、不正利用するケースが確認されています。身に覚えがない決済や登録変更の通知がきた場合は、送信ドメイン認証でアイコンが表示されている等、正規メールであるかを確認した上で、サービスのサポート窓口へ対応について相談してください。
スマートフォンのアプリやブラウザーではパスワードマネージャーが利用できます。自分で登録した正規サイトにのみ ID とパスワードを自動投入するため、フィッシングサイトのような偽サイトには反応しません。パスワードの代わりにパスキーを利用すると、自分のスマートフォンでのみパスワードレスでログインできる等、より利便性と安全性が増します。普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやパスワードマネージャーを使って正規のサイトへログインし情報を確認してください。クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのかを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。
Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導される可能性があるため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。
情報提供のお願い
今月の緊急情報
https://www.antiphishing.jp/news/alert/apple_20250305.html
マネックス証券をかたるフィッシング (2025/03/31)
https://www.antiphishing.jp/news/alert/monex_20250331.html
参考情報
https://techcommunity.microsoft.com/blog/microsoftdefenderforoffice365blog/strengthening-email-ecosystem-outlook%E2%80%99s-new-requirements-for-high%E2%80%90volume-senders/4399730
経済産業省: 「クレジットカード・セキュリティガイドライン」が改訂されました
https://www.meti.go.jp/press/2024/03/20250305002/20250305002.html
NTTドコモ: なりすましメール警告表示
https://www.docomo.ne.jp/info/spam_mail/spoofing_warning/
NTTドコモ: ドコモメールへメールを送信する際の注意事項
https://www.docomo.ne.jp/service/docomo_mail/smtp_notice/
政府会議: 令和6年6月18日 第39回 犯罪対策閣僚会議 国民を詐欺から守るための総合対策
https://www.kantei.go.jp/jp/singi/hanzai/dai39/39gijisidai.html
なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages
Gmail : メール送信者のガイドライン
https://support.google.com/mail/answer/81126?hl=ja
Gmail : メール送信者のガイドラインに関するよくある質問
https://support.google.com/a/answer/14229414?hl=ja
Gmail : Postmaster Tools で送信メールを監視する
https://support.google.com/a/topic/6259779?hl=ja