フィッシング報告件数

2026 年 5 月にフィッシング対策協議会に寄せられたフィッシング報告件数は、前月より 25,051 件減少し、126,061 件となりました。

フィッシングサイトの URL 件数

2026 年 5 月に報告を受けたフィッシングサイトの URL 件数 (重複なし) は、前月より 25,662 件減少し、40,912 件となりました。

フィッシングに悪用されたブランド件数

2026 年 5 月に報告を受けたフィッシングに悪用されたブランド件数は、前月より 5 件減少し、112 件となりました。

総評

2026 年 5 月のフィッシング報告件数は 126,061 件となり、2026 年 4 月と比較すると 25,051 件減少し、約 20.5 % 減となりました。
報告数全体のうち楽天カードをかたるフィッシングが約 18.5 %、PayPayカードをかたるフィッシング 約 17.1 % となり、クレジットカードブランドが急増しました。 次いで報告が多かった Amazon、Apple、日本年金機構をかたるフィッシングを加えた上位 5 ブランドの報告をあわせると、全体の約 60.4 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 23 ブランドとなり、これらを合わせると全体の約 89.3 % を占めました。

分野別では、報告数全体に対する割合は、クレジット・信販系 約 47.8 %、EC 系 約 21.9 %、決済サービス系 約 7.2 %、社会保険系 約 5.8 %、オンラインサービス系 約 5.2 %、配送系 約 3.1 %となり、前月と比較すると、クレジット・信販系、決済サービス系、社会保険系、オンラインサービス系の割合および報告数が増加傾向となりました。
フィッシングに悪用されたブランドは 112 ブランドとなりました。クレジット・信販系 22 ブランド、金融（銀行）系 17 ブランド、オンラインサービス系 11 ブランド、EC 系 10 ブランド、通信事業者・メールサービス系 9 ブランド、証券系 6 ブランド、決済サービス系 6 ブランドとなりました。

SMS から誘導されるフィッシング (スミッシング) については、報告数が増加傾向となり、前月に引き続き PayPay、東京電力をよそおった文面が多く、クレジットカードブランドや国税庁などの報告も受領しています。スミッシングへの対策については、「事業者のみなさまへ」「利用者のみなさまへ」を参考にしてください。

2026 年 5 月のフィッシングサイトの URL 件数は 40,912 件となり、2026 年 4 月と比較すると 25,662 件減少し、約 36.7 % 減となりました。
5 月に報告が多かったキャッシュレス決済サービス関連のフィッシングでは請求リンクを URL に紐づけるため、同じ URL を使い回す傾向があり URL 件数が減少傾向となりました。 また、キャッシュレス決済サービスの正規ドメイン名の URL を不正に利用したり、短縮 URL サービスや sendgrid.net からリダイレクトでフィッシングサイトへ誘導したり、amazonaws.com のホスト名をそのまま使うなど、フィルター等で不正な URL として検知されにくい正規サービスのドメイン名を使用するケースが非常に多く、報告全体の約 44.3 % を占めました。
報告全体の URL (重複あり) の TLD 別では .com 約 47.3 ％、.jp 約 35.4 %、.cn 約10.1 % を併せると全体の約 92.8 %を占め、.com と .jp および .cn の悪用が多い状況となりました。次いで報告が多かった、.so 約 1.9 %、 .shop 約 1.0 % .cfd 約 0.9 %、.pl 約 0.8 %、.net 約 0.8 %、.gd 約 0.6 %、.co 約 0.4 % を合わせると、全体の約 99.1 % を占めました。

ある調査用メールアドレス宛に 5 月に届いたフィッシングメールのうち、メール差出人に実在するサービスのメールアドレス (ドメイン名) を使用した「なりすまし」フィッシングメールは約 36.4 % となり、増加傾向となりました。
送信ドメイン認証技術 DMARC のポリシーが reject (認証失敗したメールは受信拒否) または quarantine (認証失敗したメールを迷惑メールフォルダー等へ隔離) に設定されているドメイン名を使用した、検知可能な「なりすまし送信」メールは約 15.7 %、DMARC ポリシーが none (認証成功・失敗したメールを両方区別なく素通し) が約 19.9 %、DMARC 未対応は約 0.8 % となり、DMARC ポリシーが none のドメイン名がなりすましで不正利用される傾向となりました。独自ドメイン名による「非なりすまし送信」メールは約 63.6 %、そのうち DMARC に対応して認証成功 (dmarc=pass) したメールは約 13.4 % となりました。

逆引き (PTR レコード) 設定がされていない IP アドレスからの送信は約 98.0 % となり、前月よりもさらに増加しました。
そのほとんどが CN の一般向け回線からの送信で全体の約 83.4 % を占めています。それ以外の逆引きなしは主に SG/HK のクラウドサービスから、逆引きありは Google Cloud から送信されています。逆引き設定を行うことは攻撃としては手間がかかる分、送信ドメイン認証や FCrDNS 認証を pass し、セキュリティの厳しいメールサービスにも到達しやすくなるため、デフォルトの逆引き名がある、または手軽に逆引き名の設定変更できるサービスが不正メール送信に使われる傾向となっています。

調査用メールアドレス宛に届いたフィッシングメールの送信元 IP アドレスの国別は CN 約 83.4 %、HK 約 6.6 %、SG 約 6.4 %、US 約 2.4 % となりました。 フィッシングメール配信の傾向については、参考情報のグラフを参照してください。（参考情報：「調査用メールアドレス宛へのフィッシングメール着信件数（2026年1月～5月日別）グラフ」）

5 月は報告件数が減少傾向となり、日平均では 4 月より 942 件減少しました。 前月に引き続き、キャッシュレス決済サービスの請求画面へ誘導する手口が多く、ボットネット経由とみられる CN の一般向け回線からの送信も多い状況が続きましたが、5月23日頃からいずれも減少傾向となりました。（参考情報：「フィッシング報告受領件数（2026年1月～5月日別グラフ）」） また、送信ドメイン認証 DMARC のポリシーが none または DMARC 設定がないドメイン名が「なりすまし」フィッシングメール送信に使われるケースについては増加傾向となりました。
金融庁の発表では証券系における不正アクセス件数および売買金額は大きく減少しており、当協議会への証券系をかたるフィッシングの報告件数も 4 月は 1 万件を超えていましたが、5 月は約 97.3 %減少しました。
キャッシュレス決済サービスの請求画面へ誘導し送金させる手口は、カードや決済サービスの利用額請求、税金、社会保険等の未払い請求をよそおったメール文面で誘導し、5 月上旬は報告数の 6 割以上を占める日が続きました。 このようなキャッシュレス決済サービスで支払い操作を行って被害が発生した場合は、補償されないため、注意が必要です。
その他では契約更新、商品配達に関する通知、ポイントプレゼントやマイル有効期限等の通知をよそおうメール文面の報告が多くよせられました。
また特定の大手メールサービス利用者からの報告の割合が急増し、迷惑メールフィルターを回避するような文面で狙って配信が行われていた可能性があります。 またモバイル回線でのみ表示可能なフィッシングサイトも多く、標的を絞ると同時に対策側の稼働確認と停止調整を回避しようとする試みが続いています。

フィッシング報告数は減少していますが、フィッシングメールの文面が巧妙になっており、対策をすり抜ける新しい手口が次々と使われています。正規メールを模倣したり、時期的に人の注意をひくような文面のメールは、送信ドメイン認証により正規メールにのみ表示されるブランドロゴ、アイコン、マーク等や S/MIME による電子署名等などで、正規メールかそれ以外かの判断を助けることが重要です。 また受信者が正規メールを迷惑メールとして報告することで送信者の評価が下がり、正規メールが迷惑メールへ振り分けられるケースが見られます。利用者が望まないメールの配信については「ワンクリック購読解除」への対応を検討してください。

フィッシング以外ではサポート詐欺サイトへ誘導するメールが前月と同様に多い状況が続きました。メール文面が多様化し、企業向けでは人事評価や交通費精算、情報システム部からの通知、福利厚生など、個人向けではアカウントの異常や不正ログイン検知、セキュリティアップデート、個人情報流出のお詫び、マイナポータル、スマートEX、日本郵便からの通知等、非常に多くのメール文面が確認されています。また、企業の代表取締役社長の名前で LINE グループを作るよう指示したのち振り込め詐欺へ誘導したり、警察をかたり指定口座への振り込め詐欺へ誘導したり、仮想通貨での支払いを要求する脅迫メールなどの報告も、前月と同様に多数寄せられました。このようなメールはご利用のメールサービスへ迷惑メール報告するとともに、もしも誘導されたサイトで詐欺被害に遭った場合は、最寄りの警察署へ相談、情報提供を行ってください。

事業者のみなさまへ

大量の不正メールは受信者がそれらに対応する時間やさまざまな IT リソースを奪い、大きな損失となっています。
メールサービスを運用している事業者および組織では、セキュリティ上、送信ドメイン認証で認証失敗 （fail）したり、FCrDNS 認証に失敗（逆引き正引き不一致で fail）したメールは、ウェブメールやメールアプリでその結果が判別できるよう表示を工夫する対策を検討してください。また DMARC ポリシーに従ったメールの配送を行い、FCrDNS認証に失敗したメールは一時エラーを返すなど、必要なメールのみ受け取れるよう、対策を検討してください。特に逆引き設定は Gmail 送信者ガイドラインでは対応必須となっており、現在では多くの正規メールが逆引き設定された IP アドレスから送信されるため、不正メールのみを排除する効果が期待できます。

オンラインサービスを提供している事業者は、DMARC ポリシーを reject (p=reject) に変更する計画を立ててください。現在、事業者規模の大小問わず、ドメイン名を悪用したなりすましフィッシングメール配信が確認されており、特に p=none のままのドメイン名がなりすまされ続ける傾向があります。また、正規メールが不審なメールとして報告されるケースが増えています。メールからのコンバージョン率が下がっている場合は、ドメイン名＝ブランドへの信頼度が低下しているため、ブランドロゴ、アイコン、マーク等の正規メール視認性向上を行い、利用者へ十分に啓発を行ってください。
特に DMARC で認証成功したメールにブランドロゴを表示する BIMI (Brand Indicators for Message Identification) は認証マーク証明書 (VMC : Verified Mark Certificate) 取得時に対象ブランドに対する第三者認証が行われ、サーバー証明書と同様に審査基準に応じた信頼性を担保しており、金融庁、総務省および内閣官房国家サイバー統括室が BIMI 対応済です。BIMI のロゴ表示は日本では特にモバイル系メールアドレスでのカバー率が高く、現在は Gmail、Apple iCloud メール、auメール、ドコモメール、@nifty メールなどが対応しており、フィッシングメールに紛れた正規メールを判別可能となることで、信頼性と開封率が上がるため、契約者（利用者）へメールを配信している事業者は BIMI への対応を検討してください。
また、参考情報の「迷惑メール相談センター：送信ドメイン認証実施状況」の受信側 DMARC および BIMI の項目を参照し、利用者に DMARC 受信側対応を行っているメールサービスを使うよう推奨してください。認証失敗したメールを素通しするメールサービスの利用者は、被害に遭う可能性が高くなっています。

詐取された認証情報の不正利用への対策としては、パスキーなどフィッシング耐性のあるの多要素認証への対応を検討してください。 SMS 認証併用の際にはスミッシング対策として、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号（共通ショートコード) 等を使う、正規メッセージには URL は記載しない、認証コードのメッセージにその用途や本物の入力画面照合のためのキーワードを記載する等を検討し、利用者にはそれらを確認するよう、啓発を行ってください。
SMS 共通番号については、参考情報の「SMS共通番号/共通ショートコード情報」も参照してください。

利用者のみなさまへ

2026 年 4 月以降、偽の請求メールから PayPay の請求画面に誘導し、送金させる手口が急増しました。 メールのリンクから、キャッシュレス決済サービスの請求画面に誘導された場合は、支払いを中断し、支払い先の詳細を確認してください。 もし支払い操作を行って被害に遭っても PayPay の場合は補償していません。

スマートフォンのアプリやブラウザーではパスワードマネージャーが利用できます。自分で登録した正規サイトにのみ ID とパスワードを自動投入するため、フィッシングサイトのような偽サイトには反応しません。 パスワードの代わりにパスキーを利用すると、自分のスマートフォンでパスワードレスでログインできる等、より利便性と安全性が増します。 パスキーに対応したサービスも増えており、利用が必須となっているサービスもあります。いつもお使いのサービスで利用可能な場合は設定してください。
普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやパスワードマネージャーを使って正規のサイトへログインし情報を確認してください。 クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのかを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。

大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしていることを意味します。漏えいした情報は犯罪者間で売買され、消すことができません。参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。

誘導元となるフィッシングメールや詐欺メールへの対処法を知ることは重要です。参考情報の「迷惑メール相談センター：迷惑メール対策BOOK「撃退！迷惑メール」」などを参考にフィッシングやさまざまなネットトラブル等について情報収集と対策を行ってください。

情報提供のお願い

フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。 【報告方法】はこちら

今月の緊急情報

  住民税の納付依頼をよそおうフィッシング (2026/05/11)
     https://www.antiphishing.jp/news/alert/rtax_20260511.html

  国民年金の納付依頼をよそおうフィッシング (2026/05/18)
     https://www.antiphishing.jp/news/alert/nenkin_20260518.html

参考情報

  フィッシング報告受領件数（2026年1月～5月日別）

  調査用メールアドレス宛てへのフィッシングメール着信件数（2026年1月～5月日別）

  PayPay: 各種サービスの未払いや公金の未納を騙るフィッシングメール・SMSにご注意ください
     https://paypay.ne.jp/notice/20260518/s-01/

  金融庁: インターネット取引サービスへの不正アクセス・不正取引にご注意ください
     https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html

  迷惑メール相談センター: 送信ドメイン認証実施状況
     https://www.dekyo.or.jp/soudan/contents/auth/index.html

  迷惑メール相談センター: 迷惑メール対策BOOK「撃退！迷惑メール」
     https://www.dekyo.or.jp/soudan/contents/info/pamphlet.html#gmeiwaku

  なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
     https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages

  Gmail : メール送信者のガイドライン
     https://support.google.com/mail/answer/81126?hl=ja

  Gmail : メール送信者のガイドラインに関するよくある質問
     https://support.google.com/mail/answer/14229414?hl=ja

  Gmail : Postmaster Tools で送信メールを監視する
     https://support.google.com/mail/topic/6259779?hl=ja

  SMS共通番号/共通ショートコード情報
     https://japansms.com/