2025年4月フィッシング報告件数は246,580件　証券系が急増の事態に

2025年4月のフィッシング報告件数は246,580件に達し、前月の2025年3月からは3,356件の減少となっているが、依然として高い水準で推移している。
報告全体のうち、SBI証券をかたるフィッシングが約11.3%と急増した一方、Amazonをかたるものは約10.7%と大幅な減少傾向を見せた。

報告件数の詳細と傾向

4月の報告では、SBI証券、Amazonに次いで、野村證券、VISA、Apple、ANA、マネックス証券、東京ガスをかたるフィッシングの報告がそれぞれ1万件を超え、これらのブランドで全体の約54.8%を占める。
また、1,000件以上の大量報告があったブランドは31にのぼり、これらで全体の約95.6%を占める結果という。
分野別で見ると、クレジット・信販系が約26.2%、証券系が約25.5%、EC系が約18.4%、金融（銀行）系が約5.6%、電力・ガス系が約5.3%、航空系が約4.6%。
前月比較では、特に証券系、金融（銀行）系、電力・ガス系が増加し、EC系ブランドは大きく減少とのこと。
フィッシングに悪用されたブランドは合計100ブランドで、内訳はクレジット・信販系24、金融（銀行）系16、証券系12、通信事業者・メールサービス系9、EC系6ブランド。
特に証券系の新規ブランドが増加している状況が報告されている。

SMSから誘導されるフィッシング（スミッシング）では、引き続きクレジットカード系、銀行系、電力・ガス系ブランドをかたる文面や、宅配便の不在通知を装う文面の報告が続く。
なお、3月に急増したフィッシング報告数は4月もほぼ同数だったものの、4月からは迷惑メールフィルターで検知されたとみられるフィッシングメール（約10.5万件）は報告数から除外されており、これを含めると報告数は35万件を超過する。
フィッシングメールの配信規模は急激に拡大し続けており、迷惑メールフィルター等をすり抜ける量も増えている状況。

フィッシングサイトとメールの技術的特徴

2025年4月のフィッシングサイトURL件数は48,373件で、前月比3,362件の減少。
URLのトップレベルドメイン（TLD）別では、.comが約32.3%と最も多く、次いで.cn（約28.4%）、.asia（約14.2%）、.goog（約5.1%）、.net（約4.7%）と続き、これらで全体の約84.7%を占める。
手口としては、ランダムな文字列のサブドメインを使用するケースが約13.9%、Google翻訳のURLをリダイレクト元として悪用するケースも前月に引き続き多く、約18.1%を占めている。
また、メールへのURL記載時に多数の種類のUnicode文字を混在させたり、特定の環境のみURLとして認識される表記を使うなど、迷惑メールフィルター回避の試みが繰り返し行われているという。
調査用メールアドレス宛に4月に届いたフィッシングメールのうち、実在するサービスのメールアドレス（ドメイン名）を使用した「なりすまし」フィッシングメールは約41.3%と減少傾向だったという。
このうち、送信ドメイン認証技術DMARCのポリシーがrejectまたはquarantineでフィルタリング可能なものは約21.2%、DMARCポリシーがnoneまたはDMARC未対応ドメイン名のなりすましメールは約20.1%とされている。
逆引き（PTRレコード）設定がされていないIPアドレスからの送信は約83.5%にのぼり、2025年に入ってから調査用メールアドレスに着信するフィッシングメールの8割以上がこの状態から送信され続けている。

不正利用の手口と注意喚起

フィッシングによる不正利用の手口としては、前月に引き続き証券会社をかたるフィッシングが急増していている状況。
詐取されたアカウント情報で口座が乗っ取られ、株の売買が行われて損失が出るなどの被害が発生しており、金融庁、警察庁、日本証券業協会からも注意喚起が発表されている。
これを受け、多要素認証の設定を必須化するなどの対策も取られているが、各証券会社が送った注意喚起や多要素認証設定依頼、補償に関するメール等を装い「なりすまし」送信で誘導するフィッシングメールも多数確認されている。
その他、移移転や旅行シーズンを狙ったとみられる電気・ガス会社や宅配系、航空会社をかたるフィッシングが増加しているとのこと。
ポイントプレゼントやキャッシュバックなど様々なキャンペーンを装う文面や、利用都度通知、月額請求、本人確認、契約更新、退会、税金未納、宅配便配達不能通知などのメール文面も続く。
フィッシング以外では、正規メールがフィッシングとして誤報告されるケースが増加。
不正なメールとしては、投資詐欺誘導、悪質ECサイト誘導、現金当選通知、支援給付金申請、不審なアルバイト勧誘、仮想通貨での支払いを要求する脅迫メール、警察を装った詐欺メールなどの報告が多く寄せられている。

事業者・利用者双方への対策呼びかけ

このような状況を受け、事業者および利用者双方に対策が呼びかけられている。
・事業者
メールサービス事業者には、セキュリティ上、正しく逆引き設定がされていないIPアドレスからのメール受信拒否や流量制限などの対策検討が求められる。
オンラインサービス事業者には、DMARCポリシーのrejectへの変更計画、認証強化（パスキー導入など）、EMV 3-Dセキュア対応、SMS認証時の共通ショートコード利用やURL非記載などの対策が推奨される。
大手メールサービス（Gmail、Microsoft）の送信者ガイドライン準拠や、日本政府によるDMARC対応促進の動きも踏まえた対応が重要とのこと。
・利用者
不自然な文字で記載されたリンクへのアクセス回避、大量フィッシングメール受信時のメールアドレス変更検討、二要素認証突破手口への注意、パスワードマネージャーやパスキーの活用、情報入力前の確認徹底、AndroidスマートフォンでのSMS経由アプリインストールへの注意などが促されている。
不審なメールやSMSを受け取った場合は、各サービス事業者の問い合わせ窓口やフィッシング対策協議会（info@antiphishing.jp）への情報提供が呼びかけられている。

【参考記事】
https://www.antiphishing.jp/