フィッシングメールとSMS版フィッシングであるスミッシングは、この数年、残念ながら高止まりが続いている。JPCERT/CC・フィッシング対策協議会の平塚伸世氏と、日本サイバー犯罪対策センター(JC3)の加治川剛氏が、今年もJPAAWG General Meetingに登壇し、「フィッシングの現状と対策 2025」、「フィッシング対策活動とスミッシング観測(2025)」と題して最新情報を紹介した。
●利用者が簡単に正規メールとフィッシングメールを判別できる仕組みが重要に
フィッシング対策協議会は、日本国内におけるフィッシング詐欺被害の抑制を目的に掲げて活動しており、2025年10月時点で140組織が加盟している。一般ユーザーや事業者、被害組織などからフィッシングに関する報告を受け付けて内容を確認し、必要に応じてJPCERT/CC経由でサイトの閉鎖を依頼したり、注意喚起を行ってきた。同時に、こうした報告件数を統計としてまとめ、月次で報告書を公開している。
平塚氏は「2023年は不正送金被害が急増し、2024年は若干減少傾向を見せました。そして2025年は再び報告数が非常に多くなっています。要因のひとつとしては、リアルタイムフィッシングが犯罪者の間でよく使われていることが考えられます」と、全体の傾向を概観した。
リアルタイムフィッシングとは、なりすましサイトと本物のサイトとの間に攻撃者が割り込み、追加認証手段の一つとしてユーザーが入力したワンタイムパスワードや認証コードを裏側でリアルタイムに入力することで、不正アクセスを成立させてしまう手法だ。
これによって、数多くの個人情報の窃取や不正取引などが発生している。「これまでは、ワンタイムパスワードなどは限定的な時間しか有効ではないためフィッシング耐性があると思われていましたが、今はそうではありません」と平塚氏は警鐘を鳴らした。
また、年々フィッシングメールの配信量が増加しており、不正送金やクレジットカードの不正利用といった被害の増加にダイレクトにつながっている。こうした事態を受け、政府や業界団体ではさまざまな取り組みが行われていると平塚氏は紹介した。
金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」やクレジット取引セキュリティ対策協議会の「クレジットカード・セキュリティガイドライン」には、なりすましメール対策としてDMARC対応が盛り込まれている。
そして国としても、2024年6月18日の犯罪対策閣僚会議で策定された「国民を詐欺から守るための総合対策」の中で、DMARCへの対応促進、フィッシングサイトの閉鎖促進、パスキーの普及促進を決定しており、2025年度も引き続き対策を行っていくこととされている。
さらに、総務省は2025年9月1日に「フィッシングメール対策の強化に関する要請」を電気通信事業者に対して実施した。メールフィルタリング強化や送信側、受信側ともにDMARC対応といった対策を推進し、取組状況を3ヶ月ごとに報告するだけでなく、対応が遅れている事業者については、事業者団体を通じてフォローアップするよう求めている。
加えて国家サイバー統括室(NCO)が定める「政府機関等のサイバーセキュリティ対策のための統一基準群」においても、送信側、受信側の両方でDMARCによる対策を行い、状況によってはBIMI対応も検討するよう示されている。
こうした動きを受けて、総務省のシステムはDMARCに対応してポリシーをquarantineに設定しているほか、金融庁はp=rejectでの運用を開始し、BIMIにも対応済みだ。
一方、2025年のフィッシング報告件数はどのように推移してきただろうか。URL数で見ると2024年12月が最多だが、報告数ベースでカウントすると、2025年3月に報告数が急増したことが明らかだ。
平塚氏はこの数字を踏まえ、「2025年のトピックとしては、やはり証券会社をかたるフィッシングが非常に多数に上ったことが挙げられます」と振り返った。
証券会社をかたったフィッシングメールは、複数のオンライン証券サービスで発生した口座乗っ取り被害の一因と言われている。フィッシングサイトで詐取したアカウントを用いて売買を行うことで犯罪者が保有する株の相場操縦(違法行為)を行い、売却益を得る手口であり、犯罪者の特定・追跡も困難だ。
2024年の一年間で不正送金被害額が約88億円、クレジットカードの不正利用は555億円に上っているが、2025年から明るみになった不正取引の被害額は、9ヶ月だけで実に6903億円という莫大な額となっている。
文字通り桁違いの被害が生じていることから、金融庁を筆頭に、証券会社各社が多要素認証(MFA)やパスキーの採用、リスクベース認証の導入といった対策に取り組んできた。
現に、あるメディア報道によると、被害者の一人は、通常のメールボックスの中に、証券会社からの正規のメールに紛れてフィッシングメールが届いていたため、油断してクリックしてしまったかもしれないーーとコメントしていたという。
こうしたことを踏まえて平塚氏は、「証券会社をかたるフィッシング被害が続いた最大の問題点は、フィッシングメールが正規メールに紛れて届いてしまっていることだと思っています」と指摘し、正規メールとフィッシングメールを判別し、後者は利用者に見せないようにすることが重要な対策だと述べた。
それを可能にする技術がBIMIだ。DMARC認証をpassした正規のメールに企業やブランドのロゴを示すことで、どんな年齢層の利用者にとってもわかりやすいことが利点だという。
また、スマートフォン環境でも同様に表示されることもポイントだ。
金融庁や楽天のようにBIMIに対応する組織・企業や、Yahoo!メールのように独自の仕組みで正規メールを見分けやすくしているサービスも登場している。
平塚氏は、BIMIに対応しておらずロゴが表示されない場合は、正規メールでも「開いていいのかな」と迷いが生じた自らの経験を紹介し、「可能な範囲でBIMIに対応していくと、皆さんが安心してメールを開けるようになるのでは」とコメントした。
なお、送信ドメイン認証のpass率には若干揺らぎが見られるのも事実だ。平塚氏は、正規メールとフィッシングメールを見分けるもう一つのポイントとして、送信元IPアドレスの逆引き設定の有無を確認するFCrDNS認証(Forward-confirmed reverse DNS)も、判定材料の一つになるとした。フィッシングメールの8割~9割は逆引き設定がない、または一致しないため、判定要素として効果が高いという。
最後に平塚氏は「こういったBIMIという仕組みがあることを利用者に啓発し、知っていただくことにより、安全なメール環境を使って安全にメールを読んでいただくことが非常に重要です」と呼び掛けた。
そして、メールサービスを提供する側にもあらためて、DMARCのポリシーに従ってメールを適切に振り分け、判定結果が利用者に分かるようにしてほしいとした。
平塚氏の講演資料
https://meetings.jpaawg.org/wp-content/uploads/2025/11/A2-5-hiratsuka-JPAAWG8-%E5%85%AC%E9%96%8B%E7%94%A8.pdf
●いよいよAIを用いたスミッシングも登場、テイクダウンとの両輪で被害防止を
日本サイバー犯罪対策センター(JC3)は、アメリカのNCFTA(National Cyber-Forensics & Training Alliance)をモデルに、産官学、そして警察などの法執行機関が連携してサイバー犯罪の被害軽減に取り組むことを目的に2014年に設立された。以来10年以上にわたり、金融犯罪やランサムウェア、情報流出など、さまざまなサイバー犯罪対策のハブとして活動している。
JC3でもフィッシング対策協議会と同様に、フィッシング報告件数の増加と、それと比例するかのような不正送金被害、クレジットカード不正利用被害の増加を強く危惧している。
そして、金融機関などの事業者や、在野でフィッシングメールの動向を追いかけているフィッシングハンターなどと連携しながら、周囲の金銭の流れも含めて攻撃者(アクター)の動向を追いかけてきた。
オンライン証券サービスでの不正送金被害に関するこれまでの分析を踏まえると、Infostealerと呼ばれるマルウェアによって詐取されるケースもあるが、やはりフィッシングメールによるアカウント情報の詐取が大きく影響を及ぼしていると見ていると加治川氏は説明した。
一連の組織的な動きも視野に入れながらJC3が注意を払っているのが、SMSのフィッシング、いわゆるスミッシングだ。
この数年来、宅配事業者の不在通知や金融機関からの注意喚起などを装ったSMSメッセージを送りつけ、リンク先で個人情報やクレジットカード情報を詐取されたり、不正なプログラムのインストールを指示される被害が継続している。こうしたスミッシングは、犯罪者が自身の端末から直接送信してくるわけではない。「MoqHao(Xloader)やKeepSpyと言われるマルウェアによるボットネット群ができあがっており、そこからSMSが投げられています」(加治川氏)
トビラシステムズが公開する詐欺SMSモニターによれば、こうしたマルウェアに感染している端末は2024年初めには2万台規模で存在していた。携帯キャリアなどの対策が進んで感染数は減少しているが、それでもまだ3000~4000台規模で残っているという。
JC3はこのモバイルマルウェアの動きを長期的に観測してきたが、最近、いくつか興味深い傾向が見えてきたそうだ。
一つは、状況に応じてターゲットを選定し、一度決めたら徹底的に狙ってくることだ。「KeepSpyというマルウェアは、2024年12月まではある特定の金融機関を狙っていました。ところがこの金融機関がセキュリティ対策を打ち出した途端、機動的に対象を変えてきました」(加治川氏)。
しかも、2024年12月だけは次なるターゲットを決めるためにさまざまな金融機関を幅広く狙い、実際の「成績」を踏まえ、おそらくその時点でセキュリティが甘かったであろう別の組織を新たなターゲットに決めて再び攻撃を展開しているという。
また、Moqhaoについては、2025年9月末から「新しいフェーズに入った」という。いよいよ、犯罪者による生成AIの悪用が確認されたのだ。
それまでの偽SMSには共通の同じ文面が用いられていた。しかし9月からは傾向に変化が見られるという。「不在通知やセキュリティ警告、請求書といった具合に、一通一通ばらばらの文面が用いられており、生成AIに作らせているとしか思えない内容になっています。」(加治川氏)
それ以前は、平日に多数の偽SMSが送られ、土日は減るというパターンが見られたが、最近は土日もかなりの通数が送信されるようになっている。加治川氏は「ここからも、おそらく自動化が進んでいるのではないかとみられます」と、注意を呼び掛けた。
JC3ではこうしてスミッシングの動向を追跡し、注意喚起を行うと同時に、フィッシングサイトのテイクダウンにも積極的に取り組んでいる。
その一環として、サイバー防犯ボランティアを中心に多くの力を活用してテイクダウンを進めるため、コンテスト形式の「フィッシングサイト撲滅チャレンジカップ」を開催してきた。多くの学生が参加しており、2024年に開催された第2回大会においては、1万2,072件のAbuse報告、2,201件のテイクダウンを行うという成果が得られた。
さらに2025年から2026年にかけて「第3回フィッシングサイト撲滅チャレンジカップ」を開催する。「短期間に集中的に行うだけでなく、毎日少しずつチャレンジするような『撲滅チャレンジマラソン』のような形式を検討しました」(加治川氏)
このようにテイクダウンに力を入れるのには、理由がある。
不正送金一つを取っても、首謀者から出し子に至るまで、さまざまな組織や人が関わっているのは明白だ。ただ、捕まりやすいのは末端の出し子の方で、なかなか本丸にまで捜査の手を伸ばすのは難しいのが実情だ。
「どうにかして、本丸に近い側がやろうとしていることを妨げ、嫌がらせができなければ、抜本的な防止につながっていかないのではないかと考えています。SMSのブロッキングと並んで、『日本ではフィッシングサイトが立ってもすぐテイクダウンされる』といった機運を醸成していくことが、相手を『妨げる』ことにつながっていくのではないかと考えています」(加治川氏)
そのために、自分たちを狙っているフィッシングサイトがあれば、自分たちで通報し、テイクダウンしていくという機運を社会全体として作り出していくことが大切だと呼び掛けた。
道のりは長いが、成功事例もある。いわゆる「テクニカルサポート詐欺」について、JC3とMicrosoft社等が協力して2024年5月から偽警告サイトのテイクダウンを継続し、2025年5月にはこれらの情報をもとに、警察庁とインドの中央捜査局が国境を越えて協力し、首謀者の逮捕に至ったケースだ。
加治川氏は「会員の方々による粘り強い分析活動により、逮捕という成果に至りました。」と評価し、このケースのように質の高い情報を集めながら、詐欺被害の撲滅に向けて引き続き活動していくとあらためて決意を表明した。
●利用者が簡単に正規メールとフィッシングメールを判別できる仕組みが重要に
フィッシング対策協議会は、日本国内におけるフィッシング詐欺被害の抑制を目的に掲げて活動しており、2025年10月時点で140組織が加盟している。一般ユーザーや事業者、被害組織などからフィッシングに関する報告を受け付けて内容を確認し、必要に応じてJPCERT/CC経由でサイトの閉鎖を依頼したり、注意喚起を行ってきた。同時に、こうした報告件数を統計としてまとめ、月次で報告書を公開している。
平塚氏は「2023年は不正送金被害が急増し、2024年は若干減少傾向を見せました。そして2025年は再び報告数が非常に多くなっています。要因のひとつとしては、リアルタイムフィッシングが犯罪者の間でよく使われていることが考えられます」と、全体の傾向を概観した。
リアルタイムフィッシングとは、なりすましサイトと本物のサイトとの間に攻撃者が割り込み、追加認証手段の一つとしてユーザーが入力したワンタイムパスワードや認証コードを裏側でリアルタイムに入力することで、不正アクセスを成立させてしまう手法だ。
これによって、数多くの個人情報の窃取や不正取引などが発生している。「これまでは、ワンタイムパスワードなどは限定的な時間しか有効ではないためフィッシング耐性があると思われていましたが、今はそうではありません」と平塚氏は警鐘を鳴らした。
また、年々フィッシングメールの配信量が増加しており、不正送金やクレジットカードの不正利用といった被害の増加にダイレクトにつながっている。こうした事態を受け、政府や業界団体ではさまざまな取り組みが行われていると平塚氏は紹介した。
金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」やクレジット取引セキュリティ対策協議会の「クレジットカード・セキュリティガイドライン」には、なりすましメール対策としてDMARC対応が盛り込まれている。
そして国としても、2024年6月18日の犯罪対策閣僚会議で策定された「国民を詐欺から守るための総合対策」の中で、DMARCへの対応促進、フィッシングサイトの閉鎖促進、パスキーの普及促進を決定しており、2025年度も引き続き対策を行っていくこととされている。
さらに、総務省は2025年9月1日に「フィッシングメール対策の強化に関する要請」を電気通信事業者に対して実施した。メールフィルタリング強化や送信側、受信側ともにDMARC対応といった対策を推進し、取組状況を3ヶ月ごとに報告するだけでなく、対応が遅れている事業者については、事業者団体を通じてフォローアップするよう求めている。
加えて国家サイバー統括室(NCO)が定める「政府機関等のサイバーセキュリティ対策のための統一基準群」においても、送信側、受信側の両方でDMARCによる対策を行い、状況によってはBIMI対応も検討するよう示されている。
こうした動きを受けて、総務省のシステムはDMARCに対応してポリシーをquarantineに設定しているほか、金融庁はp=rejectでの運用を開始し、BIMIにも対応済みだ。
一方、2025年のフィッシング報告件数はどのように推移してきただろうか。URL数で見ると2024年12月が最多だが、報告数ベースでカウントすると、2025年3月に報告数が急増したことが明らかだ。
平塚氏はこの数字を踏まえ、「2025年のトピックとしては、やはり証券会社をかたるフィッシングが非常に多数に上ったことが挙げられます」と振り返った。
証券会社をかたったフィッシングメールは、複数のオンライン証券サービスで発生した口座乗っ取り被害の一因と言われている。フィッシングサイトで詐取したアカウントを用いて売買を行うことで犯罪者が保有する株の相場操縦(違法行為)を行い、売却益を得る手口であり、犯罪者の特定・追跡も困難だ。
2024年の一年間で不正送金被害額が約88億円、クレジットカードの不正利用は555億円に上っているが、2025年から明るみになった不正取引の被害額は、9ヶ月だけで実に6903億円という莫大な額となっている。
文字通り桁違いの被害が生じていることから、金融庁を筆頭に、証券会社各社が多要素認証(MFA)やパスキーの採用、リスクベース認証の導入といった対策に取り組んできた。
ただ、「6月にいったんは報告数が減ったのですが、その後は小さな増減が続き、いまだに被害報告が続いています。これは、フィッシングメールが相変わらず手元に届いており、受信者がフィッシングサイトにアクセスしてしまっているということだと思います」と平塚氏は述べた。
現に、あるメディア報道によると、被害者の一人は、通常のメールボックスの中に、証券会社からの正規のメールに紛れてフィッシングメールが届いていたため、油断してクリックしてしまったかもしれないーーとコメントしていたという。
こうしたことを踏まえて平塚氏は、「証券会社をかたるフィッシング被害が続いた最大の問題点は、フィッシングメールが正規メールに紛れて届いてしまっていることだと思っています」と指摘し、正規メールとフィッシングメールを判別し、後者は利用者に見せないようにすることが重要な対策だと述べた。
それを可能にする技術がBIMIだ。DMARC認証をpassした正規のメールに企業やブランドのロゴを示すことで、どんな年齢層の利用者にとってもわかりやすいことが利点だという。
また、スマートフォン環境でも同様に表示されることもポイントだ。
金融庁や楽天のようにBIMIに対応する組織・企業や、Yahoo!メールのように独自の仕組みで正規メールを見分けやすくしているサービスも登場している。
平塚氏は、BIMIに対応しておらずロゴが表示されない場合は、正規メールでも「開いていいのかな」と迷いが生じた自らの経験を紹介し、「可能な範囲でBIMIに対応していくと、皆さんが安心してメールを開けるようになるのでは」とコメントした。
なお、送信ドメイン認証のpass率には若干揺らぎが見られるのも事実だ。平塚氏は、正規メールとフィッシングメールを見分けるもう一つのポイントとして、送信元IPアドレスの逆引き設定の有無を確認するFCrDNS認証(Forward-confirmed reverse DNS)も、判定材料の一つになるとした。フィッシングメールの8割~9割は逆引き設定がない、または一致しないため、判定要素として効果が高いという。
最後に平塚氏は「こういったBIMIという仕組みがあることを利用者に啓発し、知っていただくことにより、安全なメール環境を使って安全にメールを読んでいただくことが非常に重要です」と呼び掛けた。
そして、メールサービスを提供する側にもあらためて、DMARCのポリシーに従ってメールを適切に振り分け、判定結果が利用者に分かるようにしてほしいとした。
平塚氏の講演資料
https://meetings.jpaawg.org/wp-content/uploads/2025/11/A2-5-hiratsuka-JPAAWG8-%E5%85%AC%E9%96%8B%E7%94%A8.pdf
●いよいよAIを用いたスミッシングも登場、テイクダウンとの両輪で被害防止を
日本サイバー犯罪対策センター(JC3)は、アメリカのNCFTA(National Cyber-Forensics & Training Alliance)をモデルに、産官学、そして警察などの法執行機関が連携してサイバー犯罪の被害軽減に取り組むことを目的に2014年に設立された。以来10年以上にわたり、金融犯罪やランサムウェア、情報流出など、さまざまなサイバー犯罪対策のハブとして活動している。
JC3でもフィッシング対策協議会と同様に、フィッシング報告件数の増加と、それと比例するかのような不正送金被害、クレジットカード不正利用被害の増加を強く危惧している。
そして、金融機関などの事業者や、在野でフィッシングメールの動向を追いかけているフィッシングハンターなどと連携しながら、周囲の金銭の流れも含めて攻撃者(アクター)の動向を追いかけてきた。
オンライン証券サービスでの不正送金被害に関するこれまでの分析を踏まえると、Infostealerと呼ばれるマルウェアによって詐取されるケースもあるが、やはりフィッシングメールによるアカウント情報の詐取が大きく影響を及ぼしていると見ていると加治川氏は説明した。
一連の組織的な動きも視野に入れながらJC3が注意を払っているのが、SMSのフィッシング、いわゆるスミッシングだ。
この数年来、宅配事業者の不在通知や金融機関からの注意喚起などを装ったSMSメッセージを送りつけ、リンク先で個人情報やクレジットカード情報を詐取されたり、不正なプログラムのインストールを指示される被害が継続している。こうしたスミッシングは、犯罪者が自身の端末から直接送信してくるわけではない。「MoqHao(Xloader)やKeepSpyと言われるマルウェアによるボットネット群ができあがっており、そこからSMSが投げられています」(加治川氏)
トビラシステムズが公開する詐欺SMSモニターによれば、こうしたマルウェアに感染している端末は2024年初めには2万台規模で存在していた。携帯キャリアなどの対策が進んで感染数は減少しているが、それでもまだ3000~4000台規模で残っているという。
JC3はこのモバイルマルウェアの動きを長期的に観測してきたが、最近、いくつか興味深い傾向が見えてきたそうだ。
一つは、状況に応じてターゲットを選定し、一度決めたら徹底的に狙ってくることだ。「KeepSpyというマルウェアは、2024年12月まではある特定の金融機関を狙っていました。ところがこの金融機関がセキュリティ対策を打ち出した途端、機動的に対象を変えてきました」(加治川氏)。
しかも、2024年12月だけは次なるターゲットを決めるためにさまざまな金融機関を幅広く狙い、実際の「成績」を踏まえ、おそらくその時点でセキュリティが甘かったであろう別の組織を新たなターゲットに決めて再び攻撃を展開しているという。
また、Moqhaoについては、2025年9月末から「新しいフェーズに入った」という。いよいよ、犯罪者による生成AIの悪用が確認されたのだ。
それまでの偽SMSには共通の同じ文面が用いられていた。しかし9月からは傾向に変化が見られるという。「不在通知やセキュリティ警告、請求書といった具合に、一通一通ばらばらの文面が用いられており、生成AIに作らせているとしか思えない内容になっています。」(加治川氏)
それ以前は、平日に多数の偽SMSが送られ、土日は減るというパターンが見られたが、最近は土日もかなりの通数が送信されるようになっている。加治川氏は「ここからも、おそらく自動化が進んでいるのではないかとみられます」と、注意を呼び掛けた。
JC3ではこうしてスミッシングの動向を追跡し、注意喚起を行うと同時に、フィッシングサイトのテイクダウンにも積極的に取り組んでいる。
その一環として、サイバー防犯ボランティアを中心に多くの力を活用してテイクダウンを進めるため、コンテスト形式の「フィッシングサイト撲滅チャレンジカップ」を開催してきた。多くの学生が参加しており、2024年に開催された第2回大会においては、1万2,072件のAbuse報告、2,201件のテイクダウンを行うという成果が得られた。
さらに2025年から2026年にかけて「第3回フィッシングサイト撲滅チャレンジカップ」を開催する。「短期間に集中的に行うだけでなく、毎日少しずつチャレンジするような『撲滅チャレンジマラソン』のような形式を検討しました」(加治川氏)
このようにテイクダウンに力を入れるのには、理由がある。
不正送金一つを取っても、首謀者から出し子に至るまで、さまざまな組織や人が関わっているのは明白だ。ただ、捕まりやすいのは末端の出し子の方で、なかなか本丸にまで捜査の手を伸ばすのは難しいのが実情だ。
「どうにかして、本丸に近い側がやろうとしていることを妨げ、嫌がらせができなければ、抜本的な防止につながっていかないのではないかと考えています。SMSのブロッキングと並んで、『日本ではフィッシングサイトが立ってもすぐテイクダウンされる』といった機運を醸成していくことが、相手を『妨げる』ことにつながっていくのではないかと考えています」(加治川氏)
そのために、自分たちを狙っているフィッシングサイトがあれば、自分たちで通報し、テイクダウンしていくという機運を社会全体として作り出していくことが大切だと呼び掛けた。
道のりは長いが、成功事例もある。いわゆる「テクニカルサポート詐欺」について、JC3とMicrosoft社等が協力して2024年5月から偽警告サイトのテイクダウンを継続し、2025年5月にはこれらの情報をもとに、警察庁とインドの中央捜査局が国境を越えて協力し、首謀者の逮捕に至ったケースだ。
加治川氏は「会員の方々による粘り強い分析活動により、逮捕という成果に至りました。」と評価し、このケースのように質の高い情報を集めながら、詐欺被害の撲滅に向けて引き続き活動していくとあらためて決意を表明した。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)