Amazon・Apple・銀行・証券会社・通販サイトをかたる「フィッシング詐欺」が、2025年から2026年にかけて爆発的に増えています。警察庁の発表では、2025年上半期だけでフィッシング報告は約120万件、不正送金の被害額は約42億円と過去最悪ペースとなっています。この記事では、2026年最新のフィッシング詐欺パターンと、騙されないためのたった1つの鉄則を、警察庁・金融庁・フィッシング対策協議会の公的データをもとに解説します。
1. フィッシング詐欺とは何か
フィッシング詐欺とは、実在する企業や公的機関を装って、メール・SMS・SNSメッセージなどを送り、偽のサイトや偽のアプリ画面に誘導して、ID・パスワード・クレジットカード番号・口座情報などを盗み取る詐欺です。
「Phishing(フィッシング)」という名前は、釣り(Fishing)のように「餌でおびき寄せて情報を釣り上げる」イメージから付けられました。
フィッシング詐欺の基本構造
- 本物そっくりのメール・SMSが届く(餌)
- 「重要」「緊急」「未払い」など焦らせる文言で本人をクリックさせる
- 偽サイトまたは公式アプリの画面に誘導する
- 本人にID・パスワード・カード情報を入力させる
- 盗んだ情報で本物のアカウントに不正アクセスし、お金や情報を奪う
2. 2026年最新の被害状況(公的データで見るリアル)
フィッシング詐欺がどれほど深刻な状況にあるか、警察庁・金融庁・フィッシング対策協議会の最新公式データで確認します。
2025年上半期の衝撃的な数字(警察庁発表)
警察庁が2025年9月に発表した「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2025年上半期だけで以下のような被害が出ています。
- フィッシング報告件数:約119万6,314件(前年同期比 約2倍)
- インターネットバンキング不正送金事犯の発生件数:2,593件
- インターネットバンキング不正送金被害額:約42億2,400万円(過去最悪ペース)
- 不正送金の手口:約9割がフィッシング起点
- 証券会社をかたるフィッシング報告件数:17万8,032件
証券口座への不正アクセス被害(金融庁発表)
金融庁が発表した2025年1月〜5月末までの集計では、証券口座への不正アクセス被害が以下のように深刻化しています。
- 証券口座への不正アクセス件数:10,422件
- 不正取引件数:5,958件
- 不正売買額:約5,240億円
その後も被害は続いており、金融庁が各証券会社から受けた報告によると、2025年1月から2026年3月までの累計で、不正アクセス件数は18,372件、不正取引による売却金額は約4,262億円、買付金額は約3,743億円に達しています。
2026年3月の月次最新データ(フィッシング対策協議会)
フィッシング対策協議会の月次報告書(2026年4月21日公開)によると、2026年3月の状況は以下の通りです。
- 1ヶ月のフィッシング報告件数:12万2,381件(前月比約114.3%増)
- 悪用されたブランド数:123ブランド
- フィッシングサイトのURL数:6万9,936件
- 1日あたり約4,000件の報告が寄せられている計算
これだけの規模の被害が現在進行形で発生しており、「自分だけは大丈夫」と思っている人ほど狙われやすいのが現実です。
3. 2026年に最も狙われたブランドTOP10
フィッシング対策協議会の2026年3月の月次報告書から、悪用されたブランドの上位を見ると、誰でも知っている大企業ばかりが標的になっていることがわかります。
悪用されたブランドの上位(2026年3月時点)
- Amazon(約20.9%)
- Apple(約10.5%)
- マネックス証券
- ANA(全日本空輸)
- セゾンカード
上位5ブランドだけで全体の約51.6%を占めています。さらに、1,000件以上の大量報告を受けたブランドは28ブランドあり、これらを合わせると全体の約89.3%を占めます。誰もが利用しているサービスが狙われているからこそ、これらの企業からのメールやSMSが届いても「本物かどうか」を必ず確認する習慣が必要です。
4. 7つの分野別フィッシング詐欺パターン
フィッシング詐欺は、悪用される業種によってパターンが分けられます。それぞれの典型的な手口を整理します。
① EC系(Amazon・楽天・Yahoo!ショッピングなど)
2026年3月で全体の約38.3%を占める、最も多いパターンです。
- 「アカウントが一時停止されました」
- 「不審なログインがありました」
- 「お支払い情報の確認が必要です」
- 「注文に問題があります」
② クレジット・信販系(VISA・JCB・セゾンなど)
2026年3月で全体の約25.2%を占めます。
- 「不正利用の疑いがあります」
- 「カードの利用が制限されました」
- 「本人確認が必要です」
- 「ポイント有効期限のお知らせ」
③ 証券系(SBI証券・楽天証券・マネックス証券など)
2026年3月で全体の約12.0%を占め、2025年に急増した分野です。被害額が桁違いに大きいのが特徴です。
- 「ログイン情報の更新が必要です」
- 「不正アクセスの兆候を検出」
- 「セキュリティ強化のため再ログイン」
- 金融庁発表によると、2025年1〜5月末の不正売買額は約5,240億円
④ 銀行系(メガバンク・ネット銀行)
「ボイスフィッシング」と呼ばれる電話を使った新手口も登場しています。
- 「口座が凍結されました」
- 「ネットバンキング更新手続きのお願い」
- 「セキュリティ強化のため認証してください」
- 1回あたり約4億円の高額な不正送金事例も警察庁から報告
⑤ 通信事業者系(NTTドコモ・au・ソフトバンク)
- 「料金未払いのお知らせ」
- 「ポイント失効のお知らせ」
- 「契約内容変更のご案内」
⑥ 配送・宅配系(佐川急便・ヤマト運輸・日本郵便)
SMS型フィッシング(スミッシング)で長年使われ続けている定番パターンです。
- 「不在のため持ち帰りました」
- 「お荷物の住所確認が必要です」
- 「再配達のご依頼はこちら」
⑦ 公的機関系(国税庁・年金機構・自治体)
- 「税金未納のお知らせ」
- 「給付金のお振込みについて」
- 「国民健康保険料の支払い依頼」
- 「年金の手続きについて」
5. 2026年に急増中の新手口5選
従来のフィッシング詐欺は「偽サイトを見抜く」ことで防げましたが、2025年から2026年にかけて、より巧妙な新手口が登場しています。
新手口1:リアルタイム型フィッシング
偽サイトに入力されたID・パスワード・ワンタイムパスワードを犯人が即座に本物のサイトに入力する手口です。これにより、二段階認証も突破されてしまいます。警察庁によると、令和元年(2019年)頃から確認されている手口です。
新手口2:ボイスフィッシング
銀行のヘルプデスクなどを名乗って企業に電話をかけ、メールアドレスを聞き出した上で偽メールを送る手口です。1回あたり約4億円規模の不正送金事例も警察庁から報告されています。
新手口3:PayPay送金URL悪用型
PayPayの正規送金URLを悪用し、URLを押すと本物のPayPayアプリが起動する新手口です。2026年4月にフィッシング対策協議会が公式警告を発表しました。詳細はPayPay送金詐欺メールの記事で解説しています。
新手口4:QRコードを使ったクイッシング
メール本文の代わりにQRコードを画像として埋め込み、迷惑メールフィルターをすり抜ける手口です。スマホで読み取らせ、偽サイトに誘導します。さらに、街中の駐車場や店舗のQRコードに偽物のシールを貼り替える手口も確認されています。詳細はQRコード貼り替え詐欺の記事で解説しています。
新手口5:AI音声・ディープフェイクの悪用
家族や知人の声をAIで合成し、電話で「お金が必要」と頼む手口や、AIで生成した動画を使った詐欺も増えています。3秒の音声があれば本人の声を再現できる時代です。
6. 詐欺メールに使われる典型的な3つの罠
フィッシング詐欺メールには、共通する心理テクニックがあります。これを知っているだけで、見破る確率が大きく上がります。
罠1:焦らせる文言
- 「24時間以内に対応がない場合、アカウントを停止します」
- 「明日までにお支払いください」
- 「最終通知」「重要」「緊急」
- 「法的手続きに移行します」
人間は焦ると冷静な判断ができなくなります。急かす文言は詐欺の典型的な特徴です。
罠2:本物そっくりのデザイン
- 企業ロゴをそのまま使う
- 本物のメールテンプレートをコピー
- 送信元アドレスも一見本物に見える(よく見ると違う)
- サイトのデザインも本物そっくり
罠3:URLの偽装
本物のURLと一文字だけ違うURLを使う手口は定番です。例えば以下のような偽装があります。
- amazon.co.jp → amaz0n.co.jp(oが0(ゼロ)に)
- apple.com → app1e.com(lが1に)
- rakuten.co.jp → rakuten-co-jp.com(ハイフン追加)
- 正しいドメインのサブドメイン化(amazon.co.jp.fake-site.com)
7. やってはいけない6つの行動
フィッシング詐欺で気をつけたい行動
① メールやSMSのURLをすぐに押す
② 「明日まで」「24時間以内」と書かれて焦って対応する
③ メールの送信元アドレスをよく確認しない
④ 公式アプリではなくメールから直接ログインしようとする
⑤ ID・パスワード・カード情報を依頼されるままに入力する
⑥ 「不正利用の疑い」と言われて慌てて対応する
8. 騙されない、たった1つの鉄則
フィッシング詐欺から身を守る方法は、たくさんあるように見えて、本質は実にシンプルです。
鉄則:メールやSMSのURLは押さず、公式アプリ・公式サイトで確認
本物の通知は、必ず公式アプリ内のお知らせ、または自分でブックマークから開いた公式サイトに届きます。メールやSMSにURLが書かれていても、絶対にそのURLは押さず、自分の手で公式アプリまたはブラウザを開いて確認するだけで防げます。
確認手順
- メールやSMSのURLは絶対に押さない
- 該当するサービスの公式アプリ(Amazon・Apple・各銀行など)を自分で開く
- または、ブックマーク済みの公式サイトを自分で開く
- 同じ通知がアプリ・サイトにあれば本物、なければ詐欺
- 該当のメールやSMSを削除する
これだけで、フィッシング詐欺の被害は劇的に減ります。「メールのURLを押さない」「自分の手で公式アプリを開く」──この2つを習慣にするだけで、家族の資産を守れます。
9. パターン別の見分け方と対策
各分野ごとに、具体的な見分け方と対策を整理します。
EC系(Amazon・楽天など)
- 送信元アドレスのドメインが本物と一致するか
- ログインや支払い情報の入力を求める通知は基本的に詐欺と疑う
- 必ず公式アプリで注文履歴を確認する
クレジットカード系
- カード会社からの「不正利用」連絡は基本的に電話または書面
- メールでURLからの本人確認を求めることはほぼない
- カード裏面の電話番号に自分でかけ直して確認する
証券系
- ログイン情報の更新依頼は基本的にメールでは行われない
- 必ず公式アプリまたはブックマークから自分でログイン
- 多要素認証を必ず有効化する
- 身に覚えのない取引がないか定期的にチェック
銀行系
- 銀行から電話でメールアドレスを聞かれることはない
- ネットバンキングの更新は必ず銀行アプリから
- 怪しい電話は一度切って、銀行の公式番号にかけ直す
配送・宅配系
- SMSで届く再配達URLは基本的に詐欺
- 正規の配送業者は伝票番号付きの不在票を投函する
- 追跡は公式アプリまたは公式サイトで伝票番号を入力する
公的機関系
- 税金や年金の重要な通知は基本的に書面
- SMSで支払いを促すことはほぼない
- 不審な通知は各機関の公式サイトで確認
10. もし入力してしまったら
フィッシング詐欺に引っかかってID・パスワード・カード情報を入力してしまっても、すぐに行動すれば被害を抑えられる可能性があります。
対応1:すぐにパスワードを変更
気づいた瞬間に、該当サービスの本物のサイトまたはアプリからパスワードを変更します。同じパスワードを他のサービスで使っている場合は、そちらも全部変更しましょう。
対応2:カード会社・銀行に連絡
カード番号や口座情報を入力してしまった場合は、カード会社または銀行に即座に連絡し、カードの停止または口座の凍結を依頼します。
対応3:警察に被害届を出す
お金を盗まれた場合は、最寄りの警察署で被害届を提出します。被害届の受理番号が、後の補償申請に必要になります。
対応4:警察相談「#9110」と消費者ホットライン「188」
送金前に「これは詐欺かも」と気づいた段階なら、警察相談専用電話の「#9110」に連絡。送金してしまった後の悪質商法対応や消費者トラブルとしての相談は、消費者ホットラインの「188」に連絡できます。
対応5:フィッシング対策協議会に報告
引っかかった詐欺メールやSMSは、フィッシング対策協議会(info@antiphishing.jp)に転送・報告できます。これにより同じ被害を他の人にも防げる可能性があります。
11. 公式の安全機能を活用する
各サービスには、利用者を守るための公式の安全機能があります。日頃から設定しておくことで、万が一の被害を最小化できます。
機能1:多要素認証の有効化
ログイン時に、パスワード以外にSMSや認証アプリでの確認を必須にする設定です。パスワードが漏れても、本人のスマホがないとログインできないため、被害を防げます。ただし「リアルタイム型フィッシング」では多要素認証も突破される可能性があるため、油断は禁物です。
機能2:パスキー認証の利用
パスワードの代わりに、スマホの顔認証・指紋認証を使う最新の認証方式です。パスワード自体が存在しないので、フィッシングで盗まれることがありません。
機能3:取引通知の設定
口座やカードの利用通知を、メールやアプリで受け取れるよう設定します。身に覚えのない通知が来たら、即座に気づいて対応できます。
機能4:DMARC対応メールサービスの利用
Gmail・Yahoo!メールなどは、なりすましメールを自動的に判別するDMARCに対応しています。フィッシング判定されたメールは迷惑メールフォルダに振り分けられます。
12. 家族と一緒に守るために
フィッシング詐欺は、シニア世代だけでなく、若い世代にも被害が広がっています。家族で対策を共有することが、最大の防御策になります。
家族で共有したい3つのこと
- メールやSMSのURLは絶対に押さない習慣をつける
- ログイン・支払い情報の入力は必ず自分で公式アプリ・公式サイトを開く
- 少しでも不安なら、家族か#9110に相談する
実家の親に伝えたい3つのこと
- 「重要」「緊急」「未払い」と書かれたメールやSMSは、まず疑う
- URLを押さず、必ずアプリまたはブックマークから自分で開く
- 判断に迷ったら、必ず子供や家族に相談する
家族で見直すべき3つのチェック
- 各家族のスマホで多要素認証が有効になっているか
- 家族全員のパスワードが使い回しになっていないか
- カード・銀行・証券口座に不審な取引履歴がないか
13. 関連する詐欺手口にも注意
フィッシング詐欺は、他の詐欺手口と組み合わされることが増えています。関連する詐欺もあわせて知っておきましょう。
派生する詐欺手口
- サポート詐欺:パソコンに偽の警告を出して電話させる手口
- SNS型投資詐欺:SNSで近づき、フィッシングで証券口座を盗む
- ロマンス詐欺:恋愛感情を構築してから偽サイトに誘導
- 暗号資産詐欺:偽の取引所に誘導してウォレットを盗む
- 給付金詐欺:公的機関を装って個人情報を盗む
共通する見破り方
これらの詐欺に共通する見破り方は、ほぼ同じです。
- メールやSMSのURLは絶対に押さない
- 必ず公式アプリまたは公式サイトを自分で開いて確認する
- 「明日まで」「緊急」「最終通知」など焦らせる文言は要注意
- 少しでも不安なら家族か「#9110」に相談する
まとめ:URLを押さず、自分で公式アプリを開く習慣を
フィッシング詐欺は、2025年から2026年にかけて爆発的に増えており、誰もが被害者になり得る状況です。Amazon・Apple・銀行・証券会社・カード会社など、誰でも知っているブランドが悪用されています。しかし、たった1つの鉄則を守れば、家族の資産を守れます。
覚えておきたい3つのポイント
- メールやSMSのURLは絶対に押さない:本物の通知は公式アプリに届く
- 必ず自分で公式アプリ・公式サイトを開いて確認:URL経由は全て疑う
- 不安なら#9110、被害後は188:早めの相談が被害を最小化する
フィッシング詐欺は、誰にでも届く可能性があります。「自分は引っかからない」と思っている人ほど、焦った瞬間に騙されやすいのが現実です。日頃からの習慣作りが、最大の防御になります。
この記事を家族のLINEに送って、実家の親や大切な人と一緒に対策を共有しましょう。たった1分の確認が、家族の資産を守るきっかけになります。
情報源:警察庁サイバー警察局「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」(2025年9月18日発表)、金融庁「証券口座への不正アクセス・不正取引被害」(2025年6月発表・2025年1〜5月集計)、フィッシング対策協議会「2026年3月 フィッシング報告状況」(2026年4月21日公開)、フィッシング対策協議会「2025年12月・2026年1月・2月 月次報告書」、フィッシング対策協議会「PayPayアプリでの支払いへ誘導するフィッシング」(2026年4月2日)、警察庁 サイバー警察局、一般財団法人日本サイバー犯罪対策センター(JC3)、警察相談専用電話「#9110」、消費者ホットライン「188」
コメントを残す