1月はフィッシング報告数が6.2％増 - URL件数は減少

2026年1月のフィッシング攻撃の報告件数は、前月から約6.2％増加し、ふたたび20万件台となった。一方で悪用されたURLやブランドの件数は減少している。

フィッシング対策協議会によれば、1月のフィッシング攻撃の報告件数は20万2350件。前月の19万500件から約6.2％増加した。2カ月連続で減少したが、再び増加に転じた。1日あたりに換算すると約6527.4件の報告が寄せられている。

報告においてフィッシング攻撃に悪用された業種としては、「EC関連」が約31.3％で最多。次いで「クレジット、信販関連」が約26.4％と多く、両分野で半数を超える。

さらに「決済関連（約5.6％）」、「証券関連（約5.5％）」、「配送関連（約4.8％）」、「航空関連（約3.7％）」、「オンラインサービス関連（約3.6％）」、「電気、ガス、水道関連（約3.6％）」、「交通関連（約3.3％）」と続いた。

フィッシング攻撃で悪用されたURLは5万0822件。前月の5万5485件から約8.4％減。1日あたり約1639.4件のURLが確認されている。

報告において悪用されたトップレベルドメインを見ると、「.cn」が約56.4％で、前月に引き続き半数を超えた。次いで多かった「.com（約29.7％）」、「.cfd（約8.0％）」をあわせると、全体の約94.1％にのぼる。

1万件には届かなかったものの、1000件以上の報告があったドメインとしては、「.shop（約2.2％）」「.info（約1.7％）」「.top（約0.8％）」「.net（約0.8％）」があり、これらで全体の約99.5％を占める。

フィッシング攻撃で悪用されたブランドは108件。前月の114件から減少した。カテゴリ別に見ると、「クレジット、信販関連」が24件、「通信事業者、メールサービス関連」が12件、「金融関連」と「証券関連」が11件、「オンラインサービス関連」が9件、「EC関連」が7件だった。

具体的なブランドでは、「Amazon」をかたるケースが約17.4％でもっとも多く、「Apple」が約6.5％だった。

次いで多かった「VISA」「Paidy」「セゾンカード」の5ブランドで全体の約36.7％にのぼる。1000件以上の報告があったブランドは41件で、これらをあわせると全体の約95.0％を占める。

同協議会の調査用メールアドレスに着信したフィッシングメールのうち、送信元として正規のドメインから偽装したいわゆる「なりすましメール」は約23.7％。前月の約24.7％から1ポイント減少した。

なりすましメールの内訳を見ると、このうち約11.7％は送信ドメイン認証技術「DMARC」により受信の拒否や隔離が可能だった。のこる約12.0％については、「DMARC」のポリシーが「none」とされていたり、「DMARC」に未対応だった。

調査用メールアドレスに着信したフィッシングメールの約76.3％については独自ドメイン名が用いられていた。このうち約18.2％は「DMARC」が設定されており、認証に成功した。

逆引き設定されていないIPアドレスからの送信は約90.7％で、前月の約92.9％から後退しているが、90％を超える状況が続いている。

（Security NEXT - 2026/03/12 ）ツイート