フィッシング報告が23.5%増加|独自ドメイン悪用と決済アプリ送金詐欺から考える企業の対策

フィッシング対策協議会が公表した2026年4月のフィッシング報告状況によると、同月に寄せられたフィッシング報告件数は151,112件となり、前月から28,731件増加しました。前月比では約23.5%増となっており、2月に一時的な減少が見られた後、3月以降は再び増加傾向が続いています。

今回注目すべきなのは、報告件数の増加だけではありません。

フィッシングメールの送信手法や誘導先の作り方にも変化が見られ、実在するサービスのメールアドレスをそのまま偽装する従来型の「なりすまし」だけでなく、攻撃者が独自に取得したドメイン名を使うケースが多く確認されています。

また、決済サービスの正規URLへ誘導し、利用者自身に送金操作を行わせる手口も急増しているとされています。

これは、偽サイトでIDやパスワードを盗むだけの問題ではなく、ユーザーのスマートフォン操作、決済アプリ、本人確認、送金確認の設計まで含めて考えるべき問題です。

2026年4月のフィッシング報告状況

フィッシング対策協議会の公表内容では、2026年4月の主な状況は次の通りです。

項目内容
フィッシング報告件数151,112件
前月比28,731件増加、約23.5%増
フィッシングサイトURL件数66,574件
悪用されたブランド件数117ブランド
多かった分野クレジット・信販、EC、証券、保険、航空、銀行、オンラインサービス、決済サービス

分野別では、クレジット・信販系とEC系が大きな割合を占めています。これらに加えて、証券、保険、銀行、決済サービスなど、金銭やアカウントに直結する分野が引き続き狙われています。

企業側にとって重要なのは、フィッシングが単なる迷惑メールや偽サイトの問題ではなく、会員アカウント、決済、送金、ポイント、不正ログイン、不正取引につながる入口になっている点です。

約9割が独自ドメイン名を利用する意味

今回の公表内容で特に重要なのが、独自ドメイン名による「非なりすまし送信」が約9割を占めている点です。

従来のフィッシングでは、実在する企業やサービスのメールアドレスを偽装する「なりすまし」がよく使われていました。この場合、SPF、DKIM、DMARCといった送信ドメイン認証によって、一定程度の検知や制御が可能です。

しかし、攻撃者が自ら取得した独自ドメインを使ってメールを送る場合、形式上は「そのドメインから正しく送られたメール」に見えることがあります。

つまり、送信ドメイン認証を導入しているだけでは、すべてのフィッシングメールを防げるわけではありません。

企業側は、自社ドメインのなりすまし対策だけでなく、顧客が誤認しやすい類似ドメイン、メール文面、誘導先、ブランド表示、アプリ起動導線まで含めて監視する必要があります。

正規URLへ誘導して送金させる手口が危険な理由

もう一つ注目すべきなのが、決済サービスの正規URLへ誘導し、利用者自身に送金操作を行わせる手口です。

この手口では、必ずしも偽サイトでIDやパスワードを盗むとは限りません。攻撃者は、未払い料金、税金、公共料金、カード請求、保険料などを装い、利用者に不安を与えます。そのうえで、正規の決済アプリや送金画面へ誘導し、利用者自身に支払い操作を行わせます。

この場合、ユーザーは「正規アプリを使っている」ため、不正に気づきにくくなります。

また、企業側のセキュリティ対策も難しくなります。偽サイトへのアクセスをブロックするだけではなく、正規サービス上で発生する不自然な送金、急な金額変更、普段と異なる操作パターンなどを検知する必要があるためです。

モバイル不正対策ラボの見解

今回のフィッシング報告状況から見えるのは、攻撃者の狙いが「認証情報を盗む」だけではなく、「ユーザーに正規操作をさせる」方向へ広がっていることです。

これは、金融アプリ、決済アプリ、ECアプリ、会員アプリを運営する企業にとって非常に重要な変化です。

これまでの対策は、主に次のような考え方が中心でした。

  • 偽サイトへ誘導させない
  • ID・パスワードを盗まれないようにする
  • SMS認証やワンタイムパスワードを追加する
  • 不審なログインを検知する

もちろん、これらは今でも重要です。

しかし、正規アプリや正規URLが悪用される場合、ログイン前の防御だけでは不十分です。ログイン後の重要操作、送金、支払い、登録情報変更、端末変更、認証方法変更などを、どのように保護するかが問われます。

特にモバイルアプリでは、端末状態、アプリ改ざん、不正環境、マルウェア、画面オーバーレイ、クリップボード窃取、Hookingなど、ユーザーの操作環境そのものもリスクになります。

フィッシング対策は、メール対策やWebサイト監視だけで完結するものではありません。モバイルアプリ側、認証設計、取引監視、ユーザー通知、カスタマーサポートまで含めた多層的な対策が必要です。

企業が確認すべきポイント

1. 送信ドメイン認証だけに依存していないか

SPF、DKIM、DMARCは重要な対策ですが、独自ドメインを使ったフィッシングには限界があります。

企業は、自社ドメインの保護だけでなく、類似ドメインの監視、ブランド悪用の検知、検索広告やSNS広告を使った誘導の確認も行う必要があります。

2. 重要操作時の追加確認を設計しているか

ログイン時だけでなく、送金、支払い、出金、登録情報変更、端末変更、認証方式変更などの重要操作時に、追加確認を行う設計が重要です。

ただし、単に認証を増やすだけでは、ユーザー体験が悪化します。リスクの高い操作だけ追加確認を求める、リスクベース認証の考え方が必要です。

3. 正規アプリ内での詐欺誘導を想定しているか

正規アプリや正規URLが使われる場合、ユーザーは安心して操作してしまいます。

そのため、決済・送金画面では、送金先、金額、用途、初回送金先かどうか、過去の利用傾向との違いなどをわかりやすく表示し、ユーザーが冷静に確認できる設計が求められます。

4. モバイル端末リスクを見ているか

不正送金やアカウント乗っ取りでは、フィッシングだけでなく、マルウェア感染、画面操作の乗っ取り、不正アプリ、改ざんアプリ、Root化・Jailbreak端末などが関係する可能性があります。

金融・決済アプリでは、端末状態やアプリ実行環境のリスクを確認する仕組みも検討すべきです。

5. 被害発生時の問い合わせ導線を整えているか

フィッシング被害は、ユーザーが気づいた時点で迅速に対応できるかが重要です。

企業側は、不審なメールやSMSを受け取った場合の報告窓口、送金してしまった場合の連絡先、アカウント停止やパスワード変更の手順をわかりやすく整備する必要があります。

今回の事案から学べること

今回のフィッシング報告状況は、特定の企業だけの問題ではありません。

クレジットカード、EC、証券、銀行、保険、決済サービスなど、アカウントとお金が結びつくサービス全体に共通するリスクです。

特に、スマートフォン上でログイン、本人確認、決済、送金まで完結するサービスでは、フィッシング対策を「メールや偽サイトの問題」として切り離して考えるのではなく、ユーザーの操作全体を守る設計が必要です。

今後は、次のような観点がますます重要になります。

  • フィッシングメールやSMSの検知
  • 類似ドメインやブランド悪用の監視
  • MFAやパスワードレス認証の導入
  • 重要操作時の追加確認
  • 端末リスクやアプリ改ざんの検知
  • 不自然な送金・支払い操作の監視
  • ユーザーへの注意喚起と被害時対応

フィッシング攻撃は、単に「見破る」だけでは防ぎきれません。

企業側は、ユーザーがだまされることを前提に、だまされた後でも被害を拡大させない仕組みを整える必要があります。

まとめ

2026年4月のフィッシング報告件数は151,112件となり、前月比で約23.5%増加しました。独自ドメイン名を使った送信が多く確認され、さらに決済サービスの正規URLへ誘導して送金させる手口も急増しています。

これは、従来型のなりすましメール対策や偽サイト対策だけでは不十分になりつつあることを示しています。

金融アプリ、決済アプリ、EC、会員サービスを運営する企業は、フィッシング対策をメールセキュリティだけの問題として捉えるのではなく、不正ログイン、不正送金、端末リスク、アプリ保護、重要操作の検知まで含めて見直す必要があります。

ユーザーに「注意してください」と呼びかけるだけでは限界があります。

これからのモバイル不正対策では、ユーザーがだまされる可能性を前提に、被害につながる操作をどこで検知し、どこで止めるかを設計することが重要です。

参考情報

  • フィッシング対策協議会「2026/04 フィッシング報告状況」
  • Security NEXT「フィッシング報告が23%増 – 約9割が独自ドメイン名を利用」
  • デジタルアーツ「決済アプリ送金詐欺が140倍に急拡大」

あわせて読みたい