フィッシング報告件数
2026 年 6 月にフィッシング対策協議会に寄せられたフィッシング報告件数は、前月より 53,691 件減少し、72,370 件となりました。
2026 年 6 月に報告を受けたフィッシングサイトの URL 件数 (重複なし) は、前月より 1,329 件増加し、42,241 件となりました。
2026 年 6 月のフィッシング報告件数は 72,370 件となり、2026 年 5 月と比較すると 53,691 件減少し、約 42.6 % 減となりました。
6 月 10 日頃より国内 ISP のメールアカウントを不正利用(乗っ取り)して送信されたフィッシングメールの報告が急増しました。
5 月から 6 月にかけて、複数の ISP 等から、メールアドレスやパスワード情報を含む情報漏えいについて公表されており、
パスワードリセット等の対応を行い、認証情報の無効化を行った ISP もあります。
フィッシングメール配信と本漏えい事象との関連性は不明ですが、漏えいした認証情報が、他のサービスへの不正ログイン等に利用される可能性があります。
5 月から 6 月にかけて、複数の ISP 等から、メールアドレスやパスワード情報を含む情報漏えいについて公表されています。
ご利用のメールサービスから案内があった場合は、その内容を確認し、パスワード変更やパスワードリセット等の対応を行ってください。
また、同じパスワードを他のオンラインサービスでも使用している場合は、それぞれ異なるパスワードへ変更し、
多要素認証を設定するなどの対策を検討してください。
フィッシングか否かの判断に迷う不審なメールや SMS を受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会 (info@antiphishing.jp) まで、ご報告ください。
【報告方法】はこちら
国内ISPの認証情報を不正利用して送信されたフィッシングメール (2026/06/26)
https://www.antiphishing.jp/news/alert/isp_20260626.html

フィッシングサイトの URL 件数

フィッシングに悪用されたブランド件数
2026 年 6 月に報告を受けたフィッシングに悪用されたブランド件数は、前月より 14 件減少し、98 件となりました。

総評
報告数全体のうち Amazon をかたるフィッシングが約 24.0 %、VISA をかたるフィッシング 約 11.8 %、Apple をかたるフィッシングが約 11.6 % となりました。
次いで報告が多かった三井住友カード、ドコモをかたるフィッシングを加えた上位 5 ブランドの報告をあわせると、全体の約 55.0 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 15 ブランドとなり、これらを合わせると全体の約 74.7 % を占めました。
分野別では、報告件数全体に対する割合は、EC 系 約 42.7 %、クレジット・信販系 約 27.4 %、オンラインサービス系 約 6.4 %、モバイル系 約 3.8 %、航空系 約 3.1 %、小売系 約 2.8 %、電力・ガス・水道系 約 2.6 %、決済サービス系 約 2.6 %となり、前月と比較すると、EC 系の報告件数および割合が増加し、クレジット・信販系の報告件数および割合が急減しました。
フィッシングに悪用されたブランドは 98 ブランドとなりました。クレジット・信販系 21 ブランド、EC 系 13 ブランド、通信事業者・メールサービス系 11 ブランド、金融(銀行)系 10 ブランド、オンラインサービス系 9 ブランド、決済サービス系 6 ブランドとなりました。
SMS から誘導されるフィッシング (スミッシング) については、報告数が減少傾向となりました。東京電力やクレジットカードブランド、国税庁、Amazon などをよそおう文面の報告を受領しています。スミッシングへの対策については、「事業者のみなさまへ」「利用者のみなさまへ」を参考にしてください。
2026 年 6 月のフィッシングサイトの URL 件数は 42,241 件となり、2026 年 5 月と比較すると 1,329 件増加し、約 3.2 % 増となりました。
キャッシュレス決済サービスの正規ドメイン名の URL を不正に利用したり、短縮 URL サービスや sendgrid.net からリダイレクトでフィッシングサイトへ誘導したり、amazonaws.com や windows.net のホスト名をそのまま使うなど、フィルター等で不正な URL として検知されにくい正規サービスのドメイン名を使用するケースは 5 月より減少傾向とはなりましたが、
依然として多く、報告全体の約 20.6 % を占めました。また .co.jp や .jp などのドメイン名を使用した URL からリダイレクトによってフィッシングサイトへ誘導するケースが増加し、報告全体の約 0.5 % を占めました。
報告全体の URL (重複あり) の TLD 別では .com が全体の約 83.6 %を占め、.com の悪用が急増しました。次いで報告が多かった、.cn 約 4.7 %、.info 約 2.6 %、.net 約 2.2 %、.jp 約 1.9 %、.pro 約 1.6 %、.so 約 1.0 %、.shop 約 0.7 %、.cyou 約 0.3 %、.co 約 0.3 %、.top 約 0.3 % を合わせると、全体の約 99.2 % を占めました。
ある調査用メールアドレス宛に 6 月に届いたフィッシングメールのうち、メール差出人に実在するサービスのメールアドレス (ドメイン名) を使用した「なりすまし」フィッシングメールは約 7.8 % となり、前月より大きく減少しました。
送信ドメイン認証技術 DMARC のポリシーが reject (認証失敗したメールは受信拒否) または quarantine (認証失敗したメールを迷惑メールフォルダー等へ隔離) に設定されているドメイン名を使用した、検知可能な「なりすまし送信」メールは約 1.7 %、DMARC ポリシーが none (認証成功・失敗したメールを両方区別なく素通し) が約 4.3 %、DMARC 未対応は約 1.8 % となり、DMARC ポリシーが none のドメイン名がなりすましで不正利用される傾向が続いています。独自ドメイン名による「非なりすまし送信」メールは約 92.2 %、そのうち DMARC に対応して認証成功 (dmarc=pass) したメールは約 35.5 % となりました。
逆引き (PTR レコード) 設定がされていない IP アドレスからの送信は約 32.8 % となり、逆引き設定ありの IP アドレスからの送信が急増しました。
逆引き設定ありの送信のうち Google Cloud 約 86.7 %、 Microsoft Azure 約 8.0 %、逆引き設定なしの送信では BytePlus 約 32.4 %、Oracle Cloud 約 24.1 %、CN の一般向け回線からの送信が約 18.3 % となりました。
逆引き設定を行うことで、送信ドメイン認証や FCrDNS 認証を pass し、セキュリティの厳しいメールサービスにも到達しやすくなるため、デフォルトの逆引き名がある、または手軽に逆引き名の設定変更できるサービスが不正メール送信に使われる傾向となっています。
調査用メールアドレス宛に届いたフィッシングメールの送信元 IP アドレスの国別は US 約 75.3 %、SG 約 10.8 %、CN 約 6.4 %、HK 約 3.5 % 、JP 約 3.0 % となり、US のクラウドサービスの不正利用が急増しています。
フィッシングメール配信の傾向については、参考情報のグラフを参照してください。(参考情報:「調査用メールアドレス宛へのフィッシングメール着信件数(2026年6月日別)グラフ」)
6 月は報告件数が減少傾向となり、日平均では 5 月より 1,654 件減少しました。(参考情報:「フィッシング報告受領件数(2026年1月~6月日別グラフ)」)
一方で国内 ISP のメールアカウントを不正利用して送信されたとみられるフィッシングメールの報告が突然急増する事象も確認されています。
また DMARC ポリシーが none または DMARC 設定がされていない .go.jp(政府機関等)や .jp、その他の国内サービスのドメイン名を使用した
「なりすまし」フィッシングメールも多く確認されました。
金融庁の発表では証券系における不正アクセス件数および売買金額は大きく減少しており、6 月は当協議会への証券系をかたるフィッシングに関する一般からの報告は受領していません。
キャッシュレス決済サービスの請求画面へ誘導し送金させる手口は 6 月初旬以降、急激に減少しました。キャッシュレス決済サービス側でも対策が進められ、請求リンク作成には本人確認が必要となりましたが、少数ながら同手口での攻撃が続いていることを確認しています。キャッシュレス決済サービスで支払い操作を行って被害が発生した場合は、補償されないため、今後も注意が必要です。
メール文面の調査では契約更新、商品配達に関する通知、ポイントプレゼントやマイル有効期限等の通知をよそおうメール文面の報告が多く寄せられました。
また先月同様に特定の大手メールサービス利用者からの報告の割合が急増する事象もあり、迷惑メールフィルターを回避するような配信が行われていた可能性があります。またモバイル回線でのみ表示可能なフィッシングサイトも多く、標的を絞ると同時に対策側の稼働確認と停止調整を回避しようとする試みが続いています。
フィッシング報告数は減少していますが、フィッシングメールの文面が巧妙になってきており、対策をすり抜ける新しい手口が次々と使われています。またメール文面やかたるブランドも週単位で変更されています。
正規メールを模倣したメールや、時期的に人の注意をひくような文面のメールは、正規メールかどうかを判別することが困難です。
送信ドメイン認証により正規メールにのみ表示されるブランドロゴ、アイコン、マークや S/MIME による電子署名などで、利用者の判断を助けることが重要です。
また受信者が正規メールを迷惑メールとして報告することで送信者の評価が下がり、正規メールが迷惑メールへ振り分けられるケースが見られます。利用者が望まないメールの配信については「ワンクリック購読解除」への対応を検討してください。
フィッシング以外ではサポート詐欺サイトへ誘導するメールの報告が 6 月上旬まで多い状況が続きました。企業の代表取締役社長の名前で LINE グループを作るよう指示したのち振り込め詐欺へ誘導したり、警察をかたり指定口座への振り込め詐欺へ誘導したり、仮想通貨での支払いを要求する脅迫メールなどの報告も、前月と同様に多数寄せられました。このようなメールはご利用のメールサービスへ迷惑メール報告するとともに、もしも誘導されたサイトで詐欺被害に遭った場合は、最寄りの警察署へ相談、情報提供を行ってください。
また、アプリのアップデートやクーポンプレゼントのキャンペーンをよそおい、不正アプリのインストールへ誘導するメールが多数、確認されています。アプリのアップデートやインストールはスマートフォンの設定や公式アプリストアから行い、メールのリンクから直接ダウンロードしないよう、注意が必要です。
事業者のみなさまへ
自社オンラインサービスで、多要素認証などの漏えい情報再利用対策を全ユーザーに対して完了していない場合は、監視を強化したり、影響が考えられる利用者についてはパスワード再設定やリセットを行うなどの対策を検討してください。
メールサービスを運用している事業者および組織では、セキュリティ上、送信ドメイン認証で認証失敗 (fail)したり、FCrDNS 認証に失敗(逆引き正引き不一致で fail)したメールは、ウェブメールやメールアプリでその結果が判別できるよう表示を工夫する対策を検討してください。また DMARC ポリシーに従ったメールの配送を行い、FCrDNS 認証に失敗したメールは一時エラーを返すなど、必要なメールのみ受け取れるよう、対策を検討してください。特に逆引き設定は Gmail 送信者ガイドラインでは対応必須となっており、現在では多くの正規メールが逆引き設定された IP アドレスから送信されるため、不正メールのみを排除する効果が期待できます。
オンラインサービスを提供している事業者は、DMARC ポリシーを reject (p=reject) に変更する計画を立ててください。現在、事業者規模の大小問わず、ドメイン名を悪用したなりすましフィッシングメール配信が確認されており、特に p=none のままのドメイン名がなりすまされ続ける傾向があります。また、正規メールが不審なメールとして報告されるケースが増えています。メールからのコンバージョン率が下がっている場合は、ドメイン名=ブランドへの信頼度が低下しているため、ブランドロゴ、アイコン、マーク等の正規メール視認性向上を行い、利用者へ十分に啓発を行ってください。
特に DMARC で認証成功したメールにブランドロゴを表示する BIMI (Brand Indicators for Message Identification) は認証マーク証明書 (VMC : Verified Mark Certificate) 取得時に対象ブランドに対する第三者認証が行われ、サーバー証明書と同様に審査基準に応じた信頼性を担保しており、金融庁、総務省および内閣官房国家サイバー統括室が BIMI 対応済です。BIMI のロゴ表示は日本では特にモバイル系メールアドレスでのカバー率が高く、現在は Gmail、Apple iCloud メール、auメール、ドコモメール、@nifty メールなどが対応しており、フィッシングメールに紛れた正規メールを判別可能となることで、信頼性と開封率が上がるため、契約者(利用者)へメールを配信している事業者は BIMI への対応を検討してください。
また、参考情報の「迷惑メール相談センター:送信ドメイン認証実施状況」の受信側 DMARC および BIMI の項目を参照し、利用者に DMARC 受信側対応を行っているメールサービスを使うよう推奨してください。認証失敗したメールを素通しするメールサービスの利用者は、被害に遭う可能性が高くなっています。
詐取された認証情報の不正利用への対策としては、パスキーなどフィッシング耐性のある多要素認証への対応を検討してください。
SMS 認証併用の際にはスミッシング対策として、「0005」で始まる国内モバイルキャリア共通の SMS 発信用の共通番号(共通ショートコード) 等を使う、正規メッセージには URL は記載しない、認証コードのメッセージにその用途や本物の入力画面照合のためのキーワードを記載する等を検討し、利用者にはそれらを確認するよう、啓発を行ってください。
SMS 共通番号については、参考情報の「SMS共通番号/共通ショートコード情報」も参照してください。
利用者のみなさまへ
2026 年 4 月以降、偽の請求メールから PayPay の請求画面に誘導し、送金させる手口が急増しました。
メールのリンクから、キャッシュレス決済サービスの請求画面に誘導された場合は、支払いを中断し、支払い先の詳細を確認してください。
もし支払い操作を行って被害に遭っても PayPay の場合は補償していません。
スマートフォンのアプリやブラウザーではパスワードマネージャーが利用できます。自分で登録した正規サイトにのみ ID とパスワードを自動投入するため、フィッシングサイトのような偽サイトには反応しません。
パスワードの代わりにパスキーを利用すると、自分のスマートフォンでパスワードレスでログインできる等、より利便性と安全性が増します。
パスキーに対応したサービスも増えており、利用が必須となっているサービスもあります。いつもお使いのサービスで利用可能な場合は設定してください。
普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやパスワードマネージャーを使って正規のサイトへログインし情報を確認してください。
クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのかを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認するようにしてください。
大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいし、犯罪者間で流通している可能性があります。漏えいした情報は犯罪者間で売買され、消すことができません。参考情報の「なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット」を参考に、正規メールにアイコンが表示されるなどのフィッシング対策機能が強化されているメールサービスに新たにメールアドレスを作成し、オンラインサービスへ登録しているメールアドレスを切り替えていくことを検討してください。
誘導元となるフィッシングメールや詐欺メールへの対処法を知ることは重要です。参考情報の「迷惑メール相談センター:迷惑メール対策BOOK「撃退!迷惑メール」」などを参考にフィッシングやさまざまなネットトラブル等について情報収集と対策を行ってください。
情報提供のお願い
今月の緊急情報
参考情報
フィッシング報告受領件数(2026年1月~6月日別)
前月掲載したグラフ記載の各月の平均報告件数に誤りがあったため、今月より修正しています

調査用メールアドレス宛てへのフィッシングメール着信件数(2026年6月日別)

KDDI株式会社: ISP 事業者向けメールシステムに対する不正アクセスについてのお詫びとご報告
https://newsroom.kddi.com/news/assets/2026/kddi_nr_s-73_4619/kddi_nr_s-73_4619_pdf_01.pdf
ニフティ株式会社: 会員サポート: 【第二報】当社メールサービスへの不正アクセスについて
https://support.nifty.com/topics/2026/07062542
ニフティ株式会社:【第二報】当社メールサービスへの不正アクセスについて
https://www.nifty.co.jp/newsrelease/nifty202607065260.htm
JCOM株式会社:(更新)当社メールサービスに対する不正アクセスの発生について
https://newsreleases.jcom.co.jp/news/20260706_21698.html
ビッグローブ株式会社:「BIGLOBEメール」への不正アクセス発生のお詫びとご報告(第二報)
https://www.biglobe.co.jp/pressroom/release/2026/07/260706-a
株式会社STNet:弊社メールサービスへの不正アクセス事案に関するお詫びとご報告
https://www.stnet.co.jp/archives/001/202607/press_20260706.pdf
株式会社KDDIウェブコミュニケーションズ:当社メールサービスに対する不正アクセスの発生に関するお詫びとご報告
https://www.kddi-webcommunications.co.jp/info/5508/
中部テレコミュニケーション株式会社:コミュファ光・ビジネスコミュファのメールサービスに対する不正アクセスの発生に関するお詫びとご報告
https://www.ctc.co.jp/news/2026/20260706/
PayPay: 「請求リンク作成」「マイコード表示」で残高を受け取る際の本人確認(eKYC)必須化について
https://paypay.ne.jp/notice/20260618/f-mycodereceive-ekyc/
PayPay: 各種サービスの未払いや公金の未納を騙るフィッシングメール・SMSにご注意ください
https://paypay.ne.jp/notice/20260518/s-01/
金融庁: インターネット取引サービスへの不正アクセス・不正取引にご注意ください
https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html
迷惑メール相談センター: 送信ドメイン認証実施状況
https://www.dekyo.or.jp/soudan/contents/auth/index.html
迷惑メール相談センター: 迷惑メール対策BOOK「撃退!迷惑メール」
https://www.dekyo.or.jp/soudan/contents/info/pamphlet.html#gmeiwaku
なりすまし送信メール対策について : 送信ドメイン認証に対応するメリット
https://www.antiphishing.jp/enterprise/domain_authentication.html#advantages
Gmail : メール送信者のガイドライン
https://support.google.com/mail/answer/81126?hl=ja
Gmail : メール送信者のガイドラインに関するよくある質問
https://support.google.com/mail/answer/14229414?hl=ja
Gmail : Postmaster Tools で送信メールを監視する
https://support.google.com/mail/topic/6259779?hl=ja
SMS共通番号/共通ショートコード情報
https://japansms.com/

