フィッシング対策協議会は、2025年12月のフィッシング報告状況を発表。
報告件数は190,500件となり、過去最多レベルで高止まりしていた前月(11月)と比較すると6,728件(約3.4%)減少している。
一方で、フィッシングサイトへ誘導するためのURL件数は55,485件と前月比で約4.9%増加しており、攻撃の手口が変化していることがうかがえる。
報告数全体の中で最も多く悪用されたブランドはAmazon(約12.6%)、次いでApple(約6.1%)となっている。
これにJCB、VISA、セゾンカードを加えた上位5ブランドで全体の約3割(31.8%)を占める結果だった。
分野別では、EC系(約28.4%)とクレジット・信販系(約28.3%)が報告数の過半数を占めており、前月と比較するとクレジット・信販系、証券系、決済サービス系が増加傾向にある。
12月の特徴として、メールの差出人に実在するサービスのメールアドレス(ドメイン名)を使用する「なりすまし送信」の割合が増加(約24.7%)したという。
また、フィッシングサイトのURLには、クラウドサービスのドメイン(amazonaws.comなど)を悪用したり、セキュリティ対策を回避するためにURLに大量の文字を混ぜたりする手口が多く確認されているという。
メールの文面も巧妙で、以下のような件名や内容での報告が多く寄せられたとして事例が挙げられている。
1.信頼端末登録の通知
2.配当金入金通知
3.不審な利用検知による再認証要求
4.税金・公共料金の支払い催促
5.宅配便の配達通知
フィッシング詐欺以外では、以下の手口も報告されている。
サポート詐欺への誘導
アカウント保護やパスワード変更を促すメールから、マイクロソフトをかたる偽のサポート窓口へ誘導する手口が急増。
警察を装う詐欺
警察を名乗り「保釈金」を要求するメールや、電話番号の送付を促すもの、仮想通貨での支払いを脅迫するものなどが1,300件以上報告されている。
社長名の悪用
企業の代表取締役社長の名前でLINEグループを作るよう誘導するケースなど。
日本クレジット協会の発表によると、クレジットカード番号盗用による不正利用被害額は2025年3月以降大きく減少しており、各事業者の対策が進んでいることを表していた一方で、対策が未対応の利用者を狙った攻撃は続いているとのこと。
主な対策方法として、パスキーなど、ID・パスワード以外の多要素認証の利用や、パスワードマネージャーの活用を挙げている。
また、普段見慣れている通知メールでも、ロゴやマークが表示されているかを確認し、安易にリンクを開かないように注意を呼び掛けている。
Android端末においては、アプリのインストール時にSMSのリンクから不正アプリをインストールしないよう注意しており、Google Play プロテクト等での確認を推奨している。
さらに不審なメールやSMSを受信した場合は、リンクを開かずに各事業者の正規の窓口へ問い合わせるか、フィッシング対策協議会へ情報提供を呼び掛けている。
【参考記事】
https://www.antiphishing.jp/report/monthly/
