【セキュリティレポート】セキュリティ強化の動きを逆手に取る
証券会社を装うフィッシングが急増
～ 国内組織に届くメールの4通に1通が悪性メール ～

情報セキュリティメーカーのデジタルアーツ株式会社（本社：東京都千代田区、代表取締役社長：道具 登志夫、以下 デジタルアーツ）は、2025年12月から2026年5月までに国内950組織で受信した約3億8,300万通のメールを分析したセキュリティレポートを公開しました。
調査の結果、受信メールの25％が悪性メールであり、そのうち90％をフィッシングメールが占めることが判明しました。
また、悪性メール全体に占める証券会社を装うフィッシングメールの割合は、前回調査では1％未満でしたが、今回調査では約8.5％まで増加していることを確認しました。
さらに、2026年4月以降は決済アプリの正規機能を悪用した送金詐欺に関連するメールも増加しており、社会的な動きや利用者行動に便乗したフィッシング攻撃が活発化しています。

詳細なセキュリティレポートはこちら
https://www.daj.jp/security_reports/56/

国内組織に届くメールの4通に1通が悪性メール

今回の調査では、国内950組織で受信した約3億8,300万通のメールを分析しました。その結果、受信メール全体の25％が悪性メールであることが判明しました。前回調査の42％から割合は低下しましたが、前回調査では年末年始にAmazonを装うフィッシングメールが極端に多く観測され、悪性メール割合を押し上げていました。今回は前回ほどの極端な増加は見られなかったため、割合は低下しています。
ただし、今回も依然として4通に1通が悪性メールであり、企業・団体の業務環境には多くの脅威が届いている状況が続いています。
また、悪性メールのうち90％がフィッシングメールであり、国内組織を狙うメール攻撃の中心が引き続きフィッシングであることが確認されました。

▲ 正常メールと悪性メールの割合、月別の推移

証券会社を装うフィッシングメールが急増

今回の調査で特に顕著だったのが、証券会社を装うフィッシングメールの増加です。前回調査では1％未満だった割合が、今回調査では約8.5％まで増加しました。
背景には、2025年以降に証券会社各社で進められた多要素認証やパスキーの必須化があります。攻撃者はこうしたセキュリティ強化の周知に便乗し、「多要素認証の設定のお願い」や「パスキー設定のご依頼」といったメールで利用者をフィッシングサイトへ誘導する手口を展開しています。
利用者は認証設定を求めるメールを受け取った場合でも、メール内のリンクからアクセスせず、公式サイトや公式アプリから直接確認することが重要です。

▲証券会社を装うフィッシングメール

決済アプリ（PayPay）送金詐欺に関連するメールも増加

2026年4月から5月にかけて、決済アプリ（PayPay）を悪用した送金詐欺に関連するメールの増加も確認されました。
この攻撃では、楽天やPayPayを装ったメールで受信者を誘導し、決済アプリの正規機能を利用して攻撃者へ送金させます。従来のフィッシングのように認証情報を盗むのではなく、利用者自身に正規操作を行わせる点が特徴です。
正規サービスの機能が使われるため不審に気づきにくく、支払い・送金に関するメールを受け取った場合は、メール内のリンクを開かず、必ず公式アプリや公式サイトから確認することが重要です。

▲上位15ブランドの月別推移

今回確認された証券会社を装うフィッシングメールや決済アプリ送金詐欺に関連するメールは、いずれも利用者が実際に利用するサービスや社会的な動きに便乗している点が特徴です。
こうした攻撃を支える背景のひとつとして、PhaaS（Phishing as a Service）や生成AIの悪用があります。攻撃者は、フィッシングサイトやメール文面の作成、ブランド模倣、ローカライズにかかる手間や時間を減らしやすくなっています。
そのため、日本国内の制度変更や企業のセキュリティ対策の周知、季節イベント、サービス仕様の変更などに合わせた攻撃を短期間で展開しやすくなっています。

業種別では「建設業」「教育・学習支援業」で悪性メール割合が高い傾向

業種別の分析では、「建設業」「教育・学習支援業」で悪性メールの割合が高い傾向が見られました。一方、「情報通信業」「金融業、保険業」では比較的低い傾向が確認されました。
ただし、同じ業種内でも組織ごとのメール利用状況には差があるため、本結果は参考値として捉える必要があります。

▲業種別の受信メールに占める悪性メール割合※1

※1
・サンプル数が少ない業種は除外しています。
・業種ごとの組織数は開示していません。図に掲載した各業種は、いずれも20組織以上を対象としています。
・業種の分類に関しては、日本標準産業分類を参考にしながら、業態にあわせて独自に分類しました。

まとめ

今回の調査では、国内950組織に実際に届いた受信メール約3億8,300万通を分析した結果、受信メールの25％が悪性メールであり、その90％をフィッシングメールが占めていました。
前回調査と比較すると悪性メールの割合は低下したものの、依然として受信メールの4通に1通が悪性メールであり、多くの脅威が企業・団体に届いています。
今回特に目立ったのは、証券会社を装うフィッシングメールの増加と、決済アプリ（PayPay）送金詐欺に関連するメールの増加です。PhaaSや生成AIの悪用により、攻撃者は社会的な動きや利用者行動に合わせた攻撃を短期間で展開しやすくなっています。
一方で、企業・団体が注意すべき脅威はフィッシングメールだけではありません。サポート詐欺への誘導、CEO詐欺（ニセ社長詐欺）、マルウェア感染を目的としたメールなども継続的に観測されています。
企業・団体では、過去に多かったブランドや手口だけを警戒するのではなく、社会的な動きや利用者行動に合わせて変化する攻撃を前提に、フィッシングに限らずメールセキュリティ対策と従業員への注意喚起を継続することが重要です。

デジタルアーツの取り組み

デジタルアーツは、こうした悪性メールにも対応するセキュリティ製品の提供を通じて、企業・団体における安全なメール利用環境の実現を支援しています。

■メールセキュリティソリューション「m-FILTER」
「m-FILTER」では、スパムメール対策やフィッシングメール対策に加え、添付ファイルやメール本文内URLの検査を行い、悪性メールの到達を防止します。
https://www.daj.jp/bs/mf/

デジタルアーツは今後も最新の脅威動向の分析と発信を継続するとともに、安全なインターネット利用環境の実現に貢献してまいります。