フィッシング対策協議会は2026年6月1日、「フィッシング対策ガイドライン 2026年度版」を公開しました。
2025年度は、フィッシング対策協議会に寄せられたフィッシング報告件数が、月によって20万件を超える状況となりました。また、証券口座の乗っ取りによる高額被害や、生成AIを活用した自然な文面・個別最適化されたメッセージによる攻撃の巧妙化も指摘されています。
つまり、従来のように「日本語が不自然だから見抜ける」「怪しいメールだけ注意すればよい」という段階ではなくなっています。
本記事では、「フィッシング対策ガイドライン 2026年度版」の内容をもとに、金融・決済・会員アプリを運営する企業が見直すべき認証・不正ログイン対策を整理します。
フィッシング対策ガイドライン2026年度版とは
「フィッシング対策ガイドライン」は、フィッシング被害を受ける可能性のあるサービス事業者が、どのような対策を講じるべきかを整理したガイドラインです。
2026年度版では、近年のフィッシング被害の拡大や攻撃手法の巧妙化を踏まえ、オンラインサービスを提供する事業者が確認すべき対策が整理されています。
特に重要なのは、フィッシング対策を単なるメール対策として扱っていない点です。
ガイドラインでは、メール、SMS、認証、ドメイン管理、インシデント対応、利用者啓発など、複数の領域を横断して対策する必要性が示されています。
企業が特に確認すべき重要5項目
ガイドラインでは、フィッシング対策として重要な項目が整理されています。
モバイル不正対策ラボとして特に注目したいのは、以下の5つです。
- 利用者に送信するメールでは、送信者を確認できるよう送信ドメイン認証技術等を利用すること
- 利用者に送信するSMSでは、なりすましが起きにくい送信サービスを利用し、発信者番号等を利用者へ周知すること
- フィッシング耐性を有する多要素認証を要求すること
- ドメインを自己ブランドとして認識し、管理し、利用者へ周知すること
- フィッシングについて利用者に注意喚起すること
この5項目は、金融機関だけでなく、決済サービス、EC、会員アプリ、予約サービス、求人サービス、BtoB SaaSなど、ログインや個人情報を扱う多くのサービスに関係します。
1. メールはDMARCなど送信ドメイン認証の整備が重要
フィッシングメールでは、正規企業を装った送信者名やメールアドレスが使われます。
そのため、企業側は正規メールの信頼性を高める必要があります。
具体的には、以下のような対策です。
- SPFの設定
- DKIMの設定
- DMARCの導入
- DMARCポリシーの段階的強化
- BIMIやブランドアイコン表示の検討
- 送信元ドメインの統一
- メール送信ルールの整備
特に重要なのは、「正規メールなのに怪しく見える」状態をなくすことです。
キャンペーンごとに異なるドメインを使ったり、外部ツールごとにバラバラの送信元を使ったりすると、利用者は本物と偽物を判別しにくくなります。
企業が送る正規メールの設計そのものが、フィッシング対策の一部です。
2. SMSはスミッシング対策を前提に設計する
SMSは開封率が高く、利用者にすぐ届く便利な連絡手段です。
一方で、SMSを悪用してフィッシングサイトへ誘導するスミッシングも増えています。
企業がSMSを利用する場合、以下を確認する必要があります。
- 正規SMSの発信者番号をWebサイト等で案内しているか
- 国内携帯キャリアに直接接続されるSMS送信サービスを利用しているか
- なりすましが起きにくい配信方式を選んでいるか
- SMS本文にログインURLを安易に入れていないか
- SMSでクレジットカード情報や認証情報の入力を求めていないか
- 利用者に「正規SMSの見分け方」を周知しているか
スマートフォンでは、SMSからリンクを開き、そのままログインや支払い操作に進む利用者も少なくありません。
そのため、SMSを使う企業ほど、スミッシング対策を明確に設計する必要があります。
3. フィッシング耐性MFAが重要になっている
今回のガイドラインで特に注目したいのが、フィッシング耐性を有する多要素認証です。
従来の多要素認証では、SMS認証やワンタイムパスワードが広く使われてきました。
しかし、近年はリアルタイムフィッシングにより、利用者が偽サイトにワンタイムパスワードを入力し、その情報を攻撃者が即座に正規サイトで悪用する手口が確認されています。
つまり、ワンタイムパスワードを導入しているだけでは、十分とは言えないケースがあります。
企業が確認すべきポイントは以下です。
- 多要素認証を導入しているか
- SMS OTPだけに依存していないか
- 重要操作時にも追加認証を求めているか
- パスキーなどフィッシング耐性のある認証方式を検討しているか
- 端末変更時や出金先変更時などにリスクベース認証を行っているか
- 利用者が偽サイトに認証情報を入力しても突破されにくい設計か
金融・証券・決済アプリでは、ログイン時だけでなく、送金、出金、カード登録、電話番号変更、メールアドレス変更、パスキー登録など、重要操作ごとの認証設計が必要です。
4. ドメイン管理はブランド管理そのもの
フィッシング対策では、ドメイン管理も重要です。
企業が多数のドメインをバラバラに使っていると、利用者はどれが正規ドメインなのか判断できません。
また、過去に使っていたドメインの管理が甘いと、第三者に取得されて悪用されるリスクもあります。
確認すべきポイントは以下です。
- 自社が保有するドメインを一覧管理しているか
- 利用中・未使用・廃止予定のドメインを把握しているか
- 部署や外部委託先が勝手にドメインを取得していないか
- キャンペーン用ドメインが乱立していないか
- Webサイトとメール送信元のドメインが極端に異なっていないか
- 利用者に正規ドメインを案内しているか
- 廃止ドメインのドロップキャッチ対策をしているか
ドメインは単なる技術資産ではなく、ブランド資産です。
利用者が安全にサービスへアクセスできるようにするには、ドメインの使い方を組織全体で統制する必要があります。
5. 利用者への注意喚起は「具体的な行動」まで示す
フィッシング被害を防ぐには、利用者への注意喚起も欠かせません。
ただし、「不審なメールにご注意ください」だけでは不十分です。
攻撃文面が自然になり、正規サービスに似せた画面やメッセージが使われるようになると、利用者が自力で見抜くことは難しくなります。
企業側は、具体的な行動として案内する必要があります。
たとえば、以下のような内容です。
- メールやSMSのリンクからログインしない
- 公式アプリやブックマークから確認する
- SMSで届いたURLから支払い情報を入力しない
- 認証コードを第三者に教えない
- ワンタイムパスワードを偽サイトに入力しない
- 公式アプリ内のお知らせを確認する
- 不審な連絡を受けた場合の問い合わせ先を確認する
また、企業側は注意喚起ページを用意するだけでなく、実際にフィッシングが発生した場合には速やかに周知できる体制を整える必要があります。
モバイル不正対策ラボの見解
今回のガイドラインは、フィッシング対策が「メールを止める対策」から、「認証・ドメイン・SMS・利用者導線・インシデント対応を含む総合対策」に移っていることを示しています。
特にモバイルアプリや会員サービスを運営する企業では、利用者がスマートフォン上で以下の操作を完結させることが増えています。
- メールやSMSの確認
- アプリ起動
- ログイン
- 本人確認
- 決済
- 送金
- 会員情報変更
- パスキー登録
- 予約確認
この導線が便利であるほど、攻撃者にも悪用されやすくなります。
そのため、企業は「利用者が騙されないようにする」だけでなく、「騙されたとしても被害が拡大しにくい仕組み」を設計する必要があります。
具体的には、以下のような多層防御が重要です。
- 正規メール・SMSを判別しやすくする
- 偽サイトに認証情報を入力しても突破されにくくする
- ログイン後の重要操作を追加で保護する
- 端末やアクセス状況の異常を検知する
- アプリ改ざんや不正環境を検知する
- フィッシング発生時に迅速に告知・遮断・調査できる体制を持つ
フィッシング対策は、広報部門やCS部門だけの仕事ではありません。
セキュリティ部門、開発部門、マーケティング部門、カスタマーサポート、法務、経営層が連携して取り組むべきテーマです。
企業が確認すべきチェックリスト
最後に、金融・決済・会員アプリ運営企業が確認すべき項目を整理します。
メール対策
- SPF、DKIM、DMARCを設定しているか
- DMARCポリシーを段階的に強化しているか
- 正規メールの送信元ドメインを統一しているか
- メール本文の表現・形式・問い合わせ先を標準化しているか
- ブランドアイコン表示やS/MIMEの導入を検討しているか
SMS対策
- SMSの発信者番号を利用者に周知しているか
- なりすましが起きにくいSMS送信サービスを利用しているか
- SMS本文に安易なログインURLを入れていないか
- SMSでカード情報や認証情報を求めないルールを明示しているか
- スミッシング発生時の注意喚起ページを用意しているか
認証・不正ログイン対策
- 多要素認証を導入しているか
- フィッシング耐性MFAやパスキーを検討しているか
- SMS OTPだけに依存していないか
- 重要操作時に追加認証を行っているか
- 不審な端末・地域・IPからのログインを検知しているか
- アクセス履歴を利用者が確認できるようにしているか
ドメイン管理
- 自社ドメインを一覧化しているか
- 廃止予定ドメインの管理ルールがあるか
- キャンペーン用ドメインが乱立していないか
- Webサイトとメール送信元のドメインに一貫性があるか
- 正規ドメインを利用者へ周知しているか
インシデント対応
- フィッシング報告窓口を明記しているか
- 利用者からの通報を受ける体制があるか
- フィッシングサイトのテイクダウン手順を用意しているか
- 利用者への告知テンプレートを用意しているか
- 関係部署の役割分担が決まっているか
- 被害発生時のログ確認・調査手順が整っているか
まとめ
「フィッシング対策ガイドライン 2026年度版」は、フィッシング対策を見直すうえで、企業にとって重要な指針です。
特に注目すべきなのは、フィッシング対策がメールだけでは完結しないという点です。
送信ドメイン認証、SMS対策、フィッシング耐性MFA、ドメイン管理、利用者への注意喚起、インシデント対応まで含めて、総合的に対策する必要があります。
金融・決済・会員アプリを運営する企業では、利用者がスマートフォン上でログイン、認証、支払い、情報変更まで行うことを前提に、モバイル起点の不正リスクを見直すことが重要です。
フィッシング被害を完全にゼロにすることは簡単ではありません。
しかし、正規連絡の判別性を高め、フィッシング耐性のある認証を導入し、ログイン後の重要操作を守り、発生時に素早く対応できる体制を整えることで、被害の発生と拡大を抑えることは可能です。
2026年は、フィッシング対策を「注意喚起」だけで終わらせず、認証・運用・顧客接点全体の設計として見直すべきタイミングです。
参考情報
- フィッシング対策協議会「フィッシング対策ガイドライン 2026年度版」
- フィッシング対策協議会「2026/05 フィッシング報告状況」
- フィッシング対策協議会「利用者向けフィッシング詐欺対策ガイドライン 2026年度版」