フィッシング報告件数
2025 年 12 月にフィッシング対策協議会に寄せられたフィッシング報告件数は、前月より 6,728 件減少し、190,500 件となりました。
2025 年 12 月に報告を受けたフィッシングサイトの URL 件数 (重複なし) は、前月より 2,568 件増加し、55,485 件となりました。
2025 年 12 月に報告を受けたフィッシングに悪用されたブランド件数は、前月より 8 件増加し、114 件となりました。
2025 年 12 月のフィッシング報告件数は 190,500 件となり、2025 年 11 月と比較すると 6,728 件、約 3.4 % 減少しました。
大量の不要な不正メールは受信者がそれらに対応する時間やさまざまな IT リソースを奪い、大きな損失となっています。
ID とパスワードが知られてしまっても、それだけではログインできないよう、利用しているオンラインサービスでパスキー等の多要素認証が利用できる場合は、必ず設定してください。
フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。
【報告方法】はこちら
OpenAI (ChatGPT) をかたるフィッシング (2025/12/02)
https://www.antiphishing.jp/news/alert/openai_chatgpt_20251202.html
金融庁: 金融庁からのメール受信におけるシンボルマークのアイコン表示について
https://www.fsa.go.jp/common/about/gj-suisin/20250318.html
フィッシングサイトの URL 件数
フィッシングに悪用されたブランド件数
総評
報告数全体のうち Amazon をかたるフィッシングは約 12.6 %、Apple をかたるフィッシング 約 6.1 % となりました。次いで報告が多かった JCB、VISA、セゾンカードをかたるフィッシングの報告をあわせると、全体の約 31.8 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 41 ブランドとなり、これらを合わせると全体の約 94.8 % を占めました。
分野別では、報告数全体に対する割合は、EC 系 約 28.4 %、クレジット・信販系 約 28.3 %、配送系 約 6.9 %、証券系 約 6.0 %、航空系 約 4.3 %、交通系 約 4.3 %、オンラインサービス系 約 4.0 %、決済サービス系 約 3.9 %、電気・ガス・水道系 約 3.5 %となり、前月と比較すると、クレジット・信販系、証券系、決済サービス系が増加傾向となりました。
フィッシングに悪用されたブランドは 114 ブランドとなり、多くのブランドが狙われました。クレジット・信販系 24 ブランド、金融(銀行)系 17 ブランド、証券系 12 ブランド、通信事業者・メールサービス系 11 ブランド、EC 系 9 ブランド、オンラインサービス系 8 ブランドとなりました。
SMS から誘導されるフィッシング (スミッシング) については、Apple、クレジット・信販系、決済サービス、日本郵便、電力会社をかたる文面等の報告を受領していますが、報告数としては全体的に減少しています。スミッシングへの対策については、「事業者のみなさまへ」「利用者のみなさまへ」を参考にしてください。
2025 年 12 月のフィッシングサイトの URL 件数は 55,485 件となり、2025 年 11 月と比較すると 2,568 件、約 4.9 % 増加しました。
前月に引き続き、ランダムサブドメイン名を使ったり、同じホスト名でパラメーターを変えたり、BASIC 認証表記を使うケースが多くみられました。また sendgrid.net の URL を悪用したり、amazonaws.com のホスト名を URL にそのまま使用するケースが増えました。
報告全体の URL (重複あり) の TLD 別では .cn 約 60.2 %、.com 約 24.7 % を併せると全体の約 84.9 %を占め、前月に引き続き .cn と .com の悪用が多い状況が続きました。1,000 件以上 1 万件以下の報告では .cfd 約 5.1 %、.top 約 4.2 %、.shop 約 2.3 %、.info 約 1.0 %、.me 約 0.7 %、.net 約 0.7 % となり、これらを合わせると全体の約 98.9 % を占めました。
ある調査用メールアドレス宛に 12 月に届いたフィッシングメールのうち、メール差出人に実在するサービスのメールアドレス (ドメイン名) を使用した「なりすまし」フィッシングメールは約 24.7 % となり、「なりすまし送信」が増加傾向となりました。
送信ドメイン認証技術 DMARC のポリシーが reject (認証失敗したメールは受信拒否) または quarantine (認証失敗したメールを迷惑メールフォルダー等へ隔離) で、検知可能な「なりすまし送信」メールは約 11.8 %となり、DMARC の判定結果により不正と判断できる割合が増加しました。
DMARC ポリシーが none (認証成功・失敗したメールを両方区別なく素通し) または DMARC 未対応ドメイン名の「なりすまし送信」メールは約 12.9 % となり、ポリシーが弱いまたは DMARC 未対応のドメイン名をなりすましに使う傾向も続いています。
独自ドメイン名による「非なりすまし送信」メールは約 75.3 %、そのうち DMARC に対応して認証成功 (dmarc=pass) したメールは約 17.8 % となり、独自ドメイン名で DMARC 認証を pass し、フィルターをすり抜けようとする試みも続いています。
逆引き (PTR レコード) 設定がされていない IP アドレスからの送信は約 92.9 % を占めており、増加傾向となっています。
ブランド名が違っても同じようなデザインの文面で大量に送信されてくるフィッシングメールのほとんどは逆引き設定がない IP アドレスからの送信となっており、迷惑メールフィルター等を利用していない受信者には非常に大量に届いています。
逆引き設定済では、Google Cloud サービスで独自ドメイン名で逆引きを設定したり、bc.googleusercontent.com のままで送信してくるケースは、全体の約 6.3 %、逆引き設定済では約 89.9 % が Google Cloud サービスからの発信となりました。逆引きに設定されたドメイン名における TLD 別では .com 約 89.9 %、.jp 約 6.5 %、.net 約 1.9 %、となり、.com と .jp(日本国内通信事業者からの発信)が増加傾向となりました。逆引き設定は対象の IP アドレス管理を行っている事業者が管理しており、デフォルトの逆引き名がある、または手軽に設定変更できるサービスが不正メール送信に使われる傾向となっています。
調査用メールアドレス宛に届いたフィッシングメールの送信元 IP アドレスの国別は CN 約 80.0 %、US 約 8.7 %、SG 約 8.1 %、HK 約 1.7 % となりました。
前月に引き続き CN からの配信が増加し、その多くはホスティングサービス等ではなく、一般向け回線と思われる IP アドレスから発信されており、レジデンシャルプロキシやボットネットの可能性も考えられます。
12 月は前月に引き続き、報告件数が減少しました。
金融庁の発表では証券系における不正取引金額や件数は 11 月より減少しています。
日本クレジット協会の発表ではクレジットカードの番号盗用(フィッシング含む)による不正利用被害額は 2025 年 3 月以降、大きく減少しており 2025 年第 3 四半期(7 月~ 9 月)は第 1 四半期(1 月~ 3 月)と比較すると半数近く、約 49.4 %減少しています。
各事業者における不正利用対策や認証強化、通信事業者によるフィッシングメール対策、送信ドメイン認証や BIMI 対応による効果も報告減少に繋がったと考えられます。しかし対策未対応の利用者を狙って、証券系ブランドやクレジットカード番号詐取を狙うフィッシングメールの配信は続いており、より安全なセキュリティ設定を利用者に認知・利用してもらうよう、引き続き啓発が必要です。
フィッシングメール文面としては、信頼端末登録、配当金入金通知、不審な利用検知による再認証要求、契約更新/返金手続き、宝くじ/チケット/ポイントの付与・当選、マイレージの有効期限/加算に関する通知、電気/ガス料金/税金支払い、宅配便配達通知などの報告を多く受領しました。
特に利用者が見慣れている本物の通知メールや注意喚起メールを模倣したフィッシングメールは、定期的に送られてくる正規メールに混ざると違和感に気付きにくいため、送信ドメイン認証により正規メールにのみ表示されるブランドロゴ、アイコン、マーク等や S/MIME による電子署名等などがなければ判別が困難になっています。
また BASIC 認証表記を使い URL に大量のゴミ文字を混ぜたり、メール文面に非表示の文字列を混ぜるなど、迷惑メールフィルターや監視ツールの検知を回避しようとしたり、クローキングでフィッシングサイトの稼働確認を回避しようとする試みが続いています。
これらの手法や詐称されるブランドは毎週のように変更され、対策と回避のいたちごっこが続いています。
一方で日本語の言い回しが不自然、ブランド名や社名が記載されていない、転送しようとすると件名やメール文面が崩れる、日本語以外の文字コード(GBK など)が使われているなど、迷惑メールフィルターのすり抜けは成功しても、人間が見ると明らかに不審とわかるフィッシングメールも前月と同様に続いています。
フィッシング以外では、アカウントのセキュリティ保護のため本人確認とパスワード変更を促すメール文面から、マイクロソフトをかたるサポート詐欺サイトへ誘導するメールが急増しました。また、各サービスからの正規の注意喚起や通知メール、メルマガ等がフィッシングメールとして報告されるケースが増加しました。
不正なメールとしては先月に引き続き、警察を装って保釈金を要求する振り込め詐欺メールの報告が 1,300 件以上寄せられました。その他、警察をかたり電話番号を送付するよう誘導したり、企業の代表取締役社長の名前で LINE グループを作るよう誘導したり、仮想通貨での支払いを要求する脅迫メールなどの報告が寄せられました。
このようなメールはご利用のメールサービスへ迷惑メールとして報告するとともに、もしも誘導されたサイトで詐欺被害に遭った場合は、最寄りの警察署へ相談、情報提供を行ってください。
事業者のみなさまへ
メールサービスを運用している事業者および組織では、セキュリティ上、送信ドメイン認証で認証失敗 (fail)したり、FCrDNS 認証に失敗(逆引き正引き不一致で fail)したメールは、ウェブメールやメールアプリでその結果が判別できるよう表示を工夫する対策を検討してください。また DMARC ポリシーに従ったメールの配送を行い、FCrDNS認証に失敗したメールは一時エラーを返すなど、必要なメールのみ受け取れるよう、対策を検討してください。特に逆引き設定は Gmail 送信者ガイドラインでは対応必須となっており、現在では正規サービスのメールについては、基本的に逆引き設定された IP アドレスからのみ送られてくると考えられるため、不正メールのみを排除する効果が期待できます。
オンラインサービスを提供している事業者は、DMARC ポリシーを reject に変更する計画を立ててください。現在、事業者規模の大小問わず、ドメイン名を悪用したなりすましフィッシングメール配信が確認されています。また、正規メールが不審なメールとして報告されるケースが急増しています。メールからのコンバージョン率が下がっている場合は、ドメイン名=ブランドへの信頼度が低下しているため、ブランドロゴ、アイコン、マーク等の正規メール視認性向上を行い、利用者へ十分に啓発を行ってください。
特に DMARC で認証成功したメールにブランドロゴを表示する BIMI (Brand Indicators for Message Identification) は認証マーク証明書 (VMC : Verified Mark Certificate) 取得時に対象ブランドに対する第三者認証が行われ、サーバー証明書と同様に審査基準に応じた信頼性を担保しており、金融庁、総務省および内閣官房国家サイバー統括室(NCO)が BIMI 対応済です。
BIMI のロゴ表示は日本では特にモバイル系メールアドレスでのカバー率が高く、現在は Gmail、Apple iCloud メール、auメール、ドコモメール、@nifty メールなどが対応しており、フィッシングメールに紛れた正規メールを判別可能となることで、信頼性と開封率が上がるため、契約者(利用者)へメールを配信している事業者は BIMI への対応を検討してください。
また、参考情報の「迷惑メール相談センター:送信ドメイン認証実施状況」の受信側 DMARC および BIMI の項目を参照し、利用者に DMARC 受信側対応を行っているメールサービスを使うよう推奨してください。認証失敗したメールを素通して表示するメールサービスの利用者は、被害に遭う可能性が高くなっています。
詐取された認証情報の不正利用への対策としては、パスキーなど ID/パスワード以外の多要素認証方法も追加するなどの認証強化を検討してください。
SMS 認証併用の際にはスミッシング対策として、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号(共通ショートコード) 等を使う、正規メッセージには URL は記載しない、認証コードのメッセージにその用途や本物の入力画面照合のためのキーワードを記載する等を検討し、利用者にはそれらを確認するよう、啓発を行ってください。
SMS 共通番号については、参考情報の「SMS共通番号/共通ショートコード情報」も参照してください。
利用者のみなさまへ
また、誘導元となるフィッシングメールや詐欺メールへの対処法を知ることは重要です。「迷惑メール相談センター:迷惑メール対策BOOK「撃退!迷惑メール」」などを参考にフィッシングやさまざまなネットトラブル等について情報収集を行ってください。
大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしていることを意味します。漏えいした情報は犯罪者間で売買され、消すことができません。参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
フィッシングサイトに入力した情報を、犯罪者が裏で本物のサイトへ入力し、SMS 認証コード等も詐取して二要素認証を突破して、登録情報を変更したり、不正利用するケースが確認されています。身に覚えがない決済や登録変更の通知がきた場合は、送信ドメイン認証でアイコンが表示されている等、正規メールであるか確認したり、サービスのサポート窓口へ対応について相談してください。
スマートフォンのアプリやブラウザーではパスワードマネージャーが利用できます。自分で登録した正規サイトにのみ ID とパスワードを自動投入するため、フィッシングサイトのような偽サイトには反応しません。パスワードの代わりにパスキーを利用すると、自分のスマートフォンでのみパスワードレスでログインできる等、より利便性と安全性が増します。普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやパスワードマネージャーを使って正規のサイトへログインし情報を確認してください。クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのかを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。
Android スマートフォンの場合はスミッシングから不正アプリ (マルウェア等) のインストールへ誘導される可能性があるため、日頃から SMS のリンクからのアプリのインストールは行わないよう、注意するとともに Google Play プロテクトや正規のウイルス対策アプリ等で不正なアプリ (マルウェア等) をインストールしていないか確認してください。
情報提供のお願い
今月の緊急情報
ローソンチケットをかたるフィッシング (2025/12/03)
https://www.antiphishing.jp/news/alert/lawsonticket_20251203.html
みずほ証券をかたるフィッシング (2025/12/04)
https://www.antiphishing.jp/news/alert/mizuhosc_20251204.html
参考情報
総務省: 総務省からのメール受信におけるシンボルマークのアイコン表示について
https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000621.html
内閣官房国家サイバー統括室: 内閣官房国家サイバー統括室からのメール受信におけるシンボルマークのアイコン表示について
https://www.cyber.go.jp/pdf/bimi.pdf
総務省: フィッシングメール対策の強化に関する要請
https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000260.html
金融庁: インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています
https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html
日本クレジット協会: クレジットカード不正利用被害の集計結果について
https://www.j-credit.or.jp/download/news20251205_a1.pdf
迷惑メール相談センター: 送信ドメイン認証実施状況
https://www.dekyo.or.jp/soudan/contents/auth/index.html
迷惑メール相談センター: 迷惑メール対策BOOK「撃退!迷惑メール」
https://www.dekyo.or.jp/soudan/contents/info/pamphlet.html#gmeiwaku
JPAAWG 8th General Meeting : フィッシングの現状と対策 2025
https://meetings.jpaawg.org/wp-content/uploads/2025/11/A2-5-hiratsuka-JPAAWG8-公開用.pdf
フィッシング対策協議会 証明書普及促進WG:
送信ドメイン認証技術導入実施状況について ~ ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況 ~
https://www.antiphishing.jp/report/wg/cert_20250916.html
なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages
Gmail : メール送信者のガイドライン
https://support.google.com/mail/answer/81126?hl=ja
Gmail : メール送信者のガイドラインに関するよくある質問
https://support.google.com/a/answer/14229414?hl=ja
Gmail : Postmaster Tools で送信メールを監視する
https://support.google.com/a/topic/6259779?hl=ja
SMS共通番号/共通ショートコード情報
https://japansms.com/