フィッシング報告は減少も、クレカ・決済・スミッシングは増加傾向|2026年5月の動向から考える対策

フィッシング対策協議会は2026年6月18日、「2026年5月 フィッシング報告状況」を公開しました。

2026年5月に同協議会へ寄せられたフィッシング報告件数は126,061件で、前月と比較すると25,051件減少しました。割合としては約20.5%減となっており、単純な件数だけを見ると、4月より落ち着いたようにも見えます。

しかし、内容を見ると注意すべき傾向があります。

クレジットカード・信販系、決済サービス系、スミッシングなど、金銭被害に直結しやすい領域では増加傾向が見られました。特に、メールやSMSからキャッシュレス決済サービスの請求画面へ誘導し、利用者自身に支払い操作を行わせる手口は、企業や利用者の双方にとって注意が必要です。

本記事では、2026年5月のフィッシング動向を整理し、金融・決済・会員アプリを運営する企業が確認すべきポイントを解説します。

2026年5月のフィッシング報告状況

フィッシング対策協議会の月次報告によると、2026年5月の主な数値は以下の通りです。

項目2026年5月
フィッシング報告件数126,061件
フィッシングサイトURL件数40,912件
悪用されたブランド件数112ブランド

前月比では、フィッシング報告件数、フィッシングサイトURL件数、悪用ブランド件数のいずれも減少しています。

一方で、分野別の内訳を見ると、クレジット・信販系が約47.8%、EC系が約21.9%、決済サービス系が約7.2%となっています。つまり、報告件数全体は減少していても、クレジットカードや決済サービスを狙う攻撃は依然として大きな割合を占めています。

クレジットカード・決済サービスを狙うフィッシングが目立つ

2026年5月の報告では、楽天カードやPayPayカードをかたるフィッシングが多く、クレジットカードブランドを装う手口が目立ちました。

フィッシングは、単にIDやパスワードを盗むだけの攻撃ではありません。

近年は、以下のような流れで金銭被害につながるケースがあります。

  1. クレジットカード会社や決済サービスを装ったメール・SMSが届く
  2. 未払い、請求、利用停止、不正利用確認などの文面で不安を煽る
  3. 偽サイトや決済画面へ誘導する
  4. 利用者にカード情報、認証情報、電話番号、認証コードなどを入力させる
  5. 不正ログイン、不正利用、不正送金につながる

特に決済サービスの場合、攻撃者が直接アカウントを乗っ取るだけでなく、利用者本人に支払い操作や送金操作をさせる手口もあります。この場合、利用者から見ると「自分で操作した取引」として扱われる可能性があり、被害後の補償面でも注意が必要です。

スミッシングも増加傾向

今回の月次報告では、SMSから誘導されるフィッシング、いわゆるスミッシングについても報告数が増加傾向とされています。

前月に引き続き、PayPayや東京電力を装った文面が多く、クレジットカードブランドや国税庁などを装う報告も確認されています。

SMSは、メールよりもスマートフォン上で即時に確認されやすく、短い文面でも利用者に行動を促しやすい特徴があります。

たとえば、

  • 未払い料金があります
  • 本日中に確認してください
  • アカウントを停止します
  • 不正利用を検知しました
  • 税金・保険料の納付が必要です

といった文面は、利用者に「すぐ確認しなければ」と思わせる効果があります。

スマートフォンでは画面が小さく、URLの全体や送信元情報を確認しづらいこともあります。そのため、モバイル環境ではメール以上に、SMS・通知・アプリ導線を含めた対策が重要になります。

正規サービスのドメインを悪用する手口にも注意

2026年5月の報告では、フィッシングサイトのURL件数は前月比で減少しました。

ただし、これは攻撃が単純に弱まったというより、同じURLを使い回す手口や、正規サービスのドメイン名を利用して検知を回避しようとする手口が目立ったためと考えられます。

報告では、短縮URLサービスやsendgrid.netからのリダイレクト、amazonaws.comのホスト名を使った誘導など、正規サービスのドメイン名を利用するケースが非常に多かったとされています。

これは、企業側にとって重要な論点です。

従来のように「怪しいURLをブロックする」「不審なドメインを検知する」だけでは、すべての攻撃を防ぎきれない可能性があります。正規サービスのインフラやURLを経由されると、利用者にとっても、システム側にとっても判別が難しくなるためです。

モバイル不正対策ラボの見解

今回のポイントは、報告件数が減ったことではなく、攻撃対象が「お金に近い領域」に集中していることです。

クレジットカード、決済サービス、社会保険、税金、電力料金などは、利用者が日常的に接するサービスです。しかも、スマートフォンで通知を受け取り、そのまま支払い・確認・ログインまで進めることができます。

この利便性は、攻撃者にとっても悪用しやすい導線です。

金融アプリ、決済アプリ、会員アプリを運営する企業では、フィッシング対策を「メールの問題」だけで考えるのではなく、以下のように分けて考える必要があります。

  • 利用者が偽サイトへ誘導されないための対策
  • 認証情報を盗まれても不正ログインされにくい仕組み
  • ログイン後の重要操作を追加で保護する仕組み
  • 不審な端末・環境・挙動を検知する仕組み
  • 正規メールや正規SMSを利用者が判別しやすくする工夫

つまり、フィッシング対策は入口対策だけでは不十分です。認証、端末、アプリ、決済操作、利用者への通知設計まで含めた多層的な対策が必要になります。

企業が確認すべきポイント

1. フィッシング耐性のある認証を検討しているか

ID・パスワードに加えてSMS認証やワンタイムパスワードを導入していても、フィッシングサイトに認証コードを入力させる手口では突破される可能性があります。

そのため、パスキーなどフィッシング耐性のある認証方式の導入を検討することが重要です。

特に金融・決済・証券・会員サービスでは、ログイン時だけでなく、送金、カード登録、電話番号変更、メールアドレス変更、出金先口座変更などの重要操作時に、追加認証を設計する必要があります。

2. SMSを使う場合、正規メッセージの判別性を高めているか

SMS認証やSMS通知を使う場合、利用者が正規メッセージと偽メッセージを判別しやすい設計が必要です。

たとえば、

  • 正規SMSにはURLを記載しない
  • 共通ショートコードを利用する
  • 認証コードの用途を明記する
  • アプリ内通知と組み合わせる
  • 公式サイトやアプリから確認する導線を案内する

といった対策が考えられます。

「SMSを送っているから安全」ではなく、「SMSがフィッシングの入口にもなる」ことを前提に設計する必要があります。

3. 不正ログイン後の操作を検知できるか

フィッシングで盗まれた情報は、不正ログインに使われます。

そのため、ログイン時点だけでなく、ログイン後の操作にも注目する必要があります。

確認すべきポイントは以下です。

  • 普段と異なる端末からのログイン
  • 短時間での連続ログイン試行
  • 端末変更直後の重要操作
  • 電話番号・メールアドレス変更後の決済操作
  • 初回利用端末からの高額送金
  • 不自然なIPアドレスや位置情報からのアクセス

これらを検知できない場合、攻撃者がログインに成功した後の不正操作を止めにくくなります。

4. アプリ側の保護も見直しているか

モバイルアプリを提供している企業では、Webサイト側のフィッシング対策だけでなく、アプリ側の保護も重要です。

たとえば、

  • Root化・Jailbreak端末の検知
  • 不正アプリやマルウェアの存在確認
  • アプリ改ざんの検知
  • Hookingやデバッグの検知
  • エミュレーター環境の検知
  • 画面オーバーレイや不正入力補助への対策

といった観点があります。

フィッシングで盗まれた認証情報が、攻撃者の端末や不正環境から使われる可能性を考えると、端末状態やアプリ実行環境のリスク評価も重要になります。

5. 正規メールの信頼性を高めているか

フィッシング対策では、攻撃メールを止めることだけでなく、正規メールを正規メールとして認識してもらうことも重要です。

送信ドメイン認証の整備、DMARCポリシーの強化、BIMIによるブランドロゴ表示などは、利用者が正規メールを判別しやすくするための対策として有効です。

特に、メール経由で重要なお知らせやログイン通知、支払い通知を送る企業では、「自社のメールがフィッシングに見えてしまう」状態を放置しないことが重要です。

利用者側に伝えるべき注意点

企業側の対策とあわせて、利用者への啓発も必要です。

利用者には、以下のような内容を繰り返し伝えることが重要です。

  • メールやSMSのリンクからログインしない
  • 支払い・請求の確認は公式アプリやブックマークから行う
  • 認証コードやワンタイムパスワードを安易に入力しない
  • 不審な請求画面では支払いを中断する
  • パスワードマネージャーやパスキーを活用する
  • 同じパスワードを複数サービスで使い回さない

特に、スマートフォンでは通知からすぐに操作できるため、「一度立ち止まる」行動を促す設計が重要です。

まとめ

2026年5月のフィッシング報告件数は前月より減少しました。

しかし、クレジットカード・信販系、決済サービス系、スミッシングは増加傾向にあり、攻撃は引き続き金銭被害に直結しやすい領域を狙っています。

企業にとって重要なのは、フィッシングを単なるメール対策として捉えないことです。

フィッシング対策は、認証、不正ログイン検知、重要操作の保護、端末リスク評価、アプリ保護、正規メールの信頼性向上まで含めて考える必要があります。

特に金融・決済・会員アプリを運営する企業では、利用者がスマートフォン上でログイン・認証・支払いまで完結することを前提に、多層的なモバイル不正対策を見直すことが求められます。

参考情報

  • フィッシング対策協議会「2026/05 フィッシング報告状況」
  • 警察庁「フィッシング対策」
  • PayPay「各種サービスの未払いや公金の未納を騙るフィッシングメール・SMSにご注意ください」

あわせて読みたい