フィッシング報告件数
2025 年 10 月にフィッシング対策協議会に寄せられたフィッシング報告件数は、前月より 1,103 件増加し、225,796 件となりました。
2025 年 10 月に報告を受けたフィッシングサイトの URL 件数 (重複なし) は、前月より 20,544 件減少し、48,533 件となりました。
2025 年 10 月に報告を受けたフィッシングに悪用されたブランド件数は、前月より 4 件増加し、115 件となりました。
2025 年 10 月のフィッシング報告件数は 225,796 件となり、2025 年 9 月と比較すると 1,103 件、約 0.6 % 増加しました。
大量の不要な不正メールは受信者がそれらに対応する時間やさまざまな IT リソースを奪い、大きな損失となっています。
ID とパスワードが知られてしまっても、それだけではログインできないよう、利用しているオンラインサービスでパスキーや多要素認証が利用できる場合は、必ず設定してください。
フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。
【報告方法】はこちら
日本郵便をかたるフィッシング (2025/10/09)
総務省: フィッシングメール対策の強化に関する要請
https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000260.html
フィッシングサイトの URL 件数
フィッシングに悪用されたブランド件数
総評
報告数全体のうち Amazon をかたるフィッシングは約 15.4 %、Apple をかたるフィッシング 約 11.3 % となりました。次いで 1 万件以上の報告を受領した ANA、日本航空 をかたるフィッシングの報告をあわせると、全体の約 36.0 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 45 ブランドとなり、これらを合わせると全体の約 93.3 % を占めました。
分野別では、報告数全体に対する割合は、EC 系 約 25.3 %、クレジット・信販系 約 23.0 %、配送系 約 10.1 %、証券系 約 7.1%、航空系 約 6.8 %、金融(銀行)系 約 3.8 %、電気・ガス・水道系 約 3.5 %、交通系 約 3.1 % となり、前月と比較すると、EC 系、航空系、金融(銀行)系は減少傾向となりましたが、それ以外は増加傾向となり、特に配送系が増加しました。
フィッシングに悪用されたブランドは 115 ブランドとなり、先月同様、非常に多くのブランドが狙われました。クレジット・信販系 23 ブランド、金融(銀行)系 17 ブランド、証券系 10 ブランド、オンラインサービス系 10 ブランド、通信事業者・メールサービス系 8 ブランド、決済系 7 ブランド、EC 系 7 ブランドとなりました。
SMS から誘導されるフィッシング (スミッシング) については、前月に引き続きクレジット・信販系をかたる文面や、宅配便の不在通知をよそおう文面の報告が続いています。
また、生成 AI を用いたような、さまざまなメッセージ文面が確認されています。参考情報の「JC3: あなたのスマートフォンが犯罪のインフラに(2025年更新版) ~生成AIにより巧妙化する偽SMS~」も参考にしてください。
また、スミッシングへの対策については、「事業者のみなさまへ」「利用者のみなさまへ」を参考にしてください。
2025 年 10 月のフィッシングサイトの URL 件数は 48,533 件となり、2025 年 9 月と比較すると 20,544 件、大きく約 26.9 % の減少となりました。
URL 数が減った大きな要因としては、ランダムサブドメイン名を使うケースが減り、同じホスト名でパラメーターを変えるケースが増えたことが挙げられます。
またいくつかのブランドについては、モバイル系メールアドレス利用者とそれ以外でメールに記載する誘導先フィッシング URL の特徴(ドメイン名など)が異なっており、明確に対象を分けて誘導が行われていました。
報告全体の URL (重複あり) の TLD 別では .cn 約 46.2 %、.com 約 28.4 %、次いで 1 万件以上の報告を受領した .shop 約 6.0 %、.net 約 5.1 %を併せると全体の約 85.7 %を占め、.cn ドメイン名の悪用が急増、.com は多い状況が続きました。
1,000 件以上 1 万件以下の報告では .cyou 約 4.1 %、.cfd 約 3.7 %、.top 約 2.2 %、.info 約 1.6 %、.qpon 約 0.6 %、その他の 2 gTLD 約 0.9 % となり、前月と同様に上位以外は、多くの gTLD に分散していました。
また前月より amazonaws.com と sendgrid.com など正規サービスのドメイン名をそのままフィッシング URL に悪用するケースが増えています。
ある調査用メールアドレス宛に 10 月に届いたフィッシングメールのうち、メール差出人に実在するサービスのメールアドレス (ドメイン名) を使用した「なりすまし」フィッシングメールは約 27.8 % となり、前月の 約 41.5 % から大きく減少傾向となりました。
送信ドメイン認証技術 DMARC のポリシーが reject (認証失敗したメールは受信拒否) または quarantine (認証失敗したメールを迷惑メールフォルダー等へ隔離) で、フィルタリング可能な なりすましフィッシングメールは約 11.7 %、DMARC ポリシーが none (認証成功・失敗したメールを両方区別なく素通し) または DMARC 対応していないドメイン名のなりすましフィッシングメールは約 16.1 % となり、DMARC 設定が無いまたはポリシーが弱いドメイン名がなりすまし送信に使われる傾向が続きました。
独自ドメイン名による非なりすましメール配信は約 72.2 %、そのうち DMARC に対応して認証成功 (dmarc=pass) したメールは約 17.1 % となり、送信ドメイン認証結果によりフィルターをすり抜けようとする試みは割合としては減少しているものの、実数としては前月とほぼ同じとなりました。
逆引き (PTR レコード) 設定がされていない IP アドレスからの送信は約 93.2 % を占めており、前月の約 81.4 %から大きく増加傾向となりました。逆引き設定済のうち、Google Cloud サービスで独自ドメイン名で逆引きを設定したり、bc.googleusercontent.com のままで送信してくるケースが続き、全体の約 4.5 %、逆引き設定済では約 66.4 % が Google Cloud サービスからの発信となりました。
逆引きに設定されたドメイン名における TLD 別では .com 約 67.7 %、.jp 約 20.3 %、.br 約 6.0 %、となり、前月に引き続き .com が多く、.jp が急増しました。
逆引き設定は対象の IP アドレス管理を行っている事業者が管理しており、デフォルトの逆引き名がある、または手軽に設定変更できるサービスが不正メール送信に使われる傾向となっています。また国内発では特に光回線など一般向け固定回線からの発信が急増しており、レジデンシャルプロキシやボットネットの可能性も考えられるため、注意が必要です。
調査用メールアドレス宛に届いたフィッシングメールの送信元 IP アドレスの国別は CN 約 75.2 %、US 約 8.5 %、VN 約 6.0 %、JP 約 2.4 %、BR 約 2.3%、SG 約 2.1% となり、.CN からの配信が急増し、その多くは一般向け回線と思われる IP アドレスから発信されていました。
10 月上旬は報告数が平均約 6,400 件/日と前月後半と同水準でしたが、中旬は約 7,300 件/日、下旬は約 8,100 件/日、日によっては 1 万件を超える報告を受領し、次第に増加傾向となりました。
証券会社をかたるフィッシングメールの報告は 10 月は再び増加傾向となっており、金融庁からも 10 月は証券会社をかたるフィッシングによる不正アクセス・不正取引被害が増加し、2025 年 1 月から 10 月の 10カ月間で売買あわせて約 7,110 億円もの不正取引が行われたと発表されています。
国勢調査への回答依頼をよそおうフィッシングは回答期限が過ぎると減少傾向となり、代わりにマイナポイント(実際のマイナポイント事業は2023年度に終了)の利用期限通知をよそおう文面の報告が一時的に増加しました。
またさまざまなブランドや監視サービスからの通知をよそおったメール文面で、セキュリティチェックと称して最初に携帯電話番号を入力させ、その後に送られてくる認証コードを入力させるフィッシングが多数、確認されました。
9月から続いていた国勢調査への回答依頼をよそおうフィッシングと同様に、認証コード通知 SMS には特定のオンラインサービス名が記載されており、攻撃者は SMS 認証を悪用して有効な携帯電話番号を収集し、不正登録や SMS によるフィッシングへの誘導(スミッシング)を行う可能性もあるため、引き続き十分に注意が必要です。
その他、フィッシングメール文面としては法律に基づいた情報の確認、不正検知による利用制限、月額利用通知、契約更新、各種ポイントや航空会社マイレージの有効期限・加算に関する通知、電気/ガス料金/税金支払い、宅配便配達不能通知、キャンペーンへの応募や当選確認などのメール文面による誘導が続いています。また利用者が見慣れている本物メールや、サービス提供事業者が送っている注意喚起メールを模倣したフィッシングメールは、定期的に送られてくる正規メールに混ざると違和感に気付きにくいため、送信ドメイン認証により正規メールにのみ表示されるブランドロゴ、アイコン、マーク等や S/MIME による電子署名等などがなければ判別が困難になっています。
また違和感のないメール文面や細工された URL などで迷惑メールフィルターや監視ツールの検知を回避したり、クローキングでフィッシングサイトの稼働確認を回避しようとする試みが続いています。これらの手法は毎週のように変更され、対策を行っても翌週には再び迷惑メールフィルターのすり抜けが発生しています。一方で日本語が不自然、内容が支離滅裂、字が間違っている、Unicode文字で記載されていて見た目におかしい、転送しようとするとメール表示が壊れるなど、迷惑メールフィルターのすり抜けは成功しても、人間が見ると明らかに不審とわかるフィッシングメールの配信も前月と同様に続いています。
フィッシング以外では投資のアドバイスやセミナーへの勧誘メールが継続的に配信されています。
これらは LINE など SNS の友達登録へ誘導するため、このような連絡先の登録を促された場合は、それが本当に信用できる相手か、一度立ち止まって考えてください。
根拠のない情報で安価な小口株等の評判を上げ、対象者自身に大量に株を購入させて価格が上昇したところで詐欺師が保有している株を売却し、利益を得る Ramp-and-Dump(Pump-and-Dump)という詐欺手法が海外でも問題となっています。
また、お得なアプリと見せかけてマルウェアのインストールへ誘導するメールも確認されています。このようなアプリをインストールすると、情報を盗まれたり、スマートフォンを遠隔操作されて犯罪に加担させられる恐れがあるため、信用できるアプリストア以外からのインストールは基本的に行わないよう、十分にご注意ください。
不正なメールとしては警察を装った詐欺メール、現金/ポイント当選、支援給付金申請、仮想通貨での支払いを要求する脅迫メールなどの報告が多数、寄せられました。このようなメールから誘導されたサイトで詐欺被害に遭った場合は、最寄りの警察署へ相談、情報提供を行ってください。
事業者のみなさまへ
メールサービスを運用している事業者および組織では、セキュリティ上、送信ドメイン認証で認証失敗 (fail)したり、FCrDNS 認証に失敗(逆引き正引き不一致で fail)したメールは、ウェブメールやメールアプリでその結果が判別できるよう対策を検討してください。また DMARC ポリシーに従ったメールの配送を行い、FCrDNS認証に失敗したメールは一時エラーを返すなど、必要なメールのみ受け取れるよう、対策を検討してください。特に逆引き設定は Gmail 送信者ガイドラインでは対応必須となっており、現在では正規サービスのメールについては、基本的に逆引き設定された IP アドレスからのみ送られてくると考えられるため、不正メールのみを排除する効果が期待できます。
またメールアプリやウェブメールを提供している事業者は、正しく構成されていない URL や細工された URL はリンクとして機能しないよう対策を行ってください。 特にプロトコル(スキーム)を記述していない(https:// 等がなく、ホスト名以降のみ)、不十分な表記(https:/ホスト名 や https:ホスト名など)がリンクとして機能することは、現代においては利用者の利便性向上にはならず、アプリやツールの脆弱性とも言えます。
オンラインサービスを提供している事業者は、DMARC ポリシーを reject に変更する計画を立ててください。現在、事業者規模の大小問わず、ドメイン名を悪用したなりすましフィッシングメール配信が確認されています。メールからのコンバージョン率が下がっている場合は、ドメイン名=ブランドへの信頼度が低下しているため、ブランドロゴ、アイコン、マーク等の正規メール視認性向上を行い、利用者へ十分に啓発を行ってください。
特に DMARC で認証成功したメールにブランドロゴを表示する BIMI (Brand Indicators for Message Identification) は認証マーク証明書 (VMC : Verified Mark Certificate) 取得時に対象ブランドに対する第三者認証が行われており、サーバー証明書と同様に審査基準に応じた信頼性を担保しています。
BIMI のロゴ表示は日本では特にモバイル系メールアドレスでのカバー率が高く、現在は Gmail、Apple iCloud メール、auメール、ドコモメール、@nifty メールなどが対応しており、フィッシングメールに紛れた正規メールを判別できるようになり、信頼性と開封率が上がるため、契約者(利用者)へメールを配信している事業者は BIMI への対応を検討してください。
また、参考情報の「迷惑メール相談センター:送信ドメイン認証実施状況」の受信側 DMARC および BIMI の項目を参照し、利用者に DMARC 受信側対応を行っているメールサービスを推奨してください。不正メールを素通しするメールサービスの利用者は、被害に遭う可能性が高くなっていす。
また、詐取された認証情報の不正利用への対策として、パスキーなど ID/パスワード以外の多要素認証方法も追加するなどの認証強化を検討してください。
SMS 認証併用の際にはスミッシング対策として、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号(共通ショートコード) 等を使う、正規メッセージには URL は記載しない、認証コードのメッセージにその用途や本物の入力画面照合のためのキーワードを記載する等を検討し、利用者にはそれらを確認するよう、啓発を行ってください。
SMS 共通番号については、参考情報の「SMS共通番号/共通ショートコード情報」も参照してください。
利用者のみなさまへ
大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしていることを意味します。漏えいした情報は犯罪者間で売買され、消すことができません。参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングサイトに入力した情報を、犯罪者が裏で本物のサイトへ入力し、SMS 認証コード等も詐取して二要素認証を突破して、登録情報を変更したり、不正利用するケースが確認されています。身に覚えがない決済や登録変更の通知がきた場合は、送信ドメイン認証でアイコンが表示されている等、正規メールであるか確認したり、サービスのサポート窓口へ対応について相談してください。
スマートフォンのアプリやブラウザーではパスワードマネージャーが利用できます。自分で登録した正規サイトにのみ ID とパスワードを自動投入するため、フィッシングサイトのような偽サイトには反応しません。パスワードの代わりにパスキーを利用すると、自分のスマートフォンでのみパスワードレスでログインできる等、より利便性と安全性が増します。普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやパスワードマネージャーを使って正規のサイトへログインし情報を確認してください。クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのかを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。
Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導される可能性があるため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。
情報提供のお願い
今月の緊急情報
https://www.antiphishing.jp/news/alert/japanpost_20251009.html
宝くじ公式サイトをかたるフィッシング (2025/10/23)
https://www.antiphishing.jp/news/alert/takarakuji_20251023.html
参考情報
金融庁: インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています
https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html
JC3: あなたのスマートフォンが犯罪のインフラに(2025年更新版) ~生成AIにより巧妙化する偽SMS~
https://www.antiphishing.jp/news/entry/20251028jc3.html
迷惑メール相談センター: 送信ドメイン認証実施状況
https://www.dekyo.or.jp/soudan/contents/auth/index.html
JPAAWG 8th General Meeting : フィッシングの現状と対策 2025
https://meetings.jpaawg.org/wp-content/uploads/2025/11/A2-5-hiratsuka-JPAAWG8-公開用.pdf
フィッシング対策協議会 証明書普及促進WG:
送信ドメイン認証技術導入実施状況について ~ ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況 ~
https://www.antiphishing.jp/report/wg/cert_20250916.html
なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages
Gmail : メール送信者のガイドライン
https://support.google.com/mail/answer/81126?hl=ja
Gmail : メール送信者のガイドラインに関するよくある質問
https://support.google.com/a/answer/14229414?hl=ja
Gmail : Postmaster Tools で送信メールを監視する
https://support.google.com/a/topic/6259779?hl=ja
SMS共通番号/共通ショートコード情報
https://japansms.com/