フィッシングサイト件数が前月比309.6%増——見分ける力だけでは会社を守れない理由

「怪しいメールは、見れば分かる」

以前は、そう考えていた方も多いかもしれません。

確かに、不自然な日本語、怪しい差出人、明らかにおかしなURLなど、分かりやすいフィッシングメールもあります。

しかし最近は、状況が変わってきています。

フィッシング対策協議会の月次報告によると、2026年3月のフィッシングサイトURL件数は69,936件。前月から52,863件増加し、約309.6%増となりました。フィッシング報告件数も122,381件に達しています。

引用元：https://www.antiphishing.jp/report/monthly/202603.html

さらに2026年4月には、フィッシング報告件数が151,112件となり、前月比でさらに約23.5%増加しています。

つまり、フィッシングは「たまに届く怪しいメール」ではなく、日常的に大量発生するリスクになっています。

そして、ここで重要なのは、社員一人ひとりの見分ける力だけに頼るには、すでに限界があるということです。

フィッシングサイトURLが増えると、何が困るのか

フィッシングサイトURLが増えるということは、偽サイトへの入口が増えているということです。

攻撃者は、1つの偽サイトが止められても、別のURL、別のページ、別の誘導先を次々に用意します。

フィッシング対策協議会の2026年3月報告では、同じホスト名でパラメーターを変えるURLの増加や、docs.google.com、sendgrid.netなどの正規サービスを悪用してフィッシングサイトへ誘導するケースが増加傾向とされています。

2026年4月の報告でも、docs.google.com、sendgrid.net、azurewebsites.net、amazonaws.comなど、正規サービスやクラウド基盤に見えるURLを使った手口が多い状況が続いています。

これは、単に「怪しいURLを見分けましょう」では対応しにくい状況です。

なぜなら、リンク先が一見すると見慣れたサービスや正規のクラウドサービスに見えることがあるからです。

怪しいメールではなく、本物っぽい流れに混ざってくる

最近のフィッシングは、明らかに怪しいメールだけではありません。

たとえば、

• セキュリティ設定の確認

• 多要素認証の再設定

• 請求情報の確認

• 契約更新

• 配送状況の確認

• 支払い方法の確認

• アカウント停止の通知

• 不正ログインの注意喚起

のように、普段の業務や日常的なサービス利用に混ざりやすい内容で届きます。

特に中小企業では、経理、総務、営業、Web管理、クラウド管理を少人数で兼務していることも少なくありません。

忙しい中で、

「今すぐ確認してください」

「アカウントが停止されます」

「支払いに失敗しました」

「セキュリティ設定が必要です」

と表示されると、つい対応してしまうことがあります。

問題は、社員の注意力が足りないことではありません。

業務の流れに紛れ込まれると、人は判断を誤りやすいという前提で考える必要があります。

「見分ける力」だけに頼ると、現場が疲弊する

フィッシング対策として、

「怪しいメールに注意しましょう」

「URLを確認しましょう」

「差出人を確認しましょう」

と伝えることは大切です。

ただ、それだけでは不十分です。

毎日多くのメールを確認している社員に、すべてのメールを正確に判定してもらうのは現実的ではありません。

しかも最近は、

• 差出人名が本物っぽい

• 文面が自然

• ロゴやデザインが本物に似ている

• 正規サービスを経由しているように見える

• スマートフォンではURLが確認しづらい

というケースもあります。

つまり、会社として必要なのは、「見抜いてください」ではなく、「迷ったときにどう動くか」を決めることです。

本当に危ないのは、クリックよりも「入力」

フィッシングで特に危険なのは、メールを開いたこと自体よりも、その後の操作です。

特に次の操作は注意が必要です。

① ID・パスワードを入力する

偽サイトにIDとパスワードを入力すると、攻撃者が本物のサービスにログインできる可能性があります。

メール、クラウド、会計サービス、ネットバンキング、SNSなど、業務で使うアカウントほど影響が大きくなります。

② 認証コードを入力する

多要素認証を設定していても、偽サイトにワンタイムパスワードやSMS認証コードを入力してしまうと、攻撃者に悪用される可能性があります。

「認証コードが届いたから安全」ではなく、そのコードをどの画面に入力しているのかが重要です。

③ 支払い・契約変更を進める

請求書、振込先変更、支払い方法変更、契約更新などに関わるメールは、会社のお金や取引先との信用に直結します。

メールだけで判断せず、別ルートで確認する仕組みが必要です。

中小企業がまず決めたい「3つの仕組み」

高額なセキュリティ製品を入れる前に、まずは次の3つを決めるだけでも効果があります。

① メール内リンクからログインしない

フィッシング対策協議会は、サービスへログインする際、メールやSMS内のリンクではなく、公式アプリやブラウザーのブックマークなどからアクセスするよう案内しています。

これは中小企業でもすぐに実践しやすい対策です。

銀行、会計サービス、クラウド、ECサイト、管理画面などは、メール内リンクからではなく、普段使っている公式ルートから開くようにします。

② お金・契約・アカウント変更は二重確認する

次のような内容は、メールだけで判断しないルールにします。

• 振込先変更

• 請求書の差し替え

• 支払い方法の変更

• 契約更新

• 管理者アカウント変更

• パスワード再設定

• 多要素認証の再登録

確認するときは、メールに書かれた電話番号やリンクではなく、以前から使っている連絡先や公式サイトから確認します。

③ 迷ったら相談する場所を決める

「このメール、本物ですか？」

「入力してしまったかもしれません」

「認証コードを入れてしまいました」

こうしたときに、誰へ連絡するか決まっていないと、対応が遅れます。

中小企業なら、専門部署を作る必要まではありません。

まずは、

• 社内の確認担当者

• 利用中サービスの問い合わせ先

• 金融機関やカード会社の窓口

• 取引のあるITベンダー

• 外部IT担当者

を整理しておくだけでも違います。

技術的な対策も、「社員任せ」を減らすために使う

フィッシング対策は、社員教育だけではなく、技術的な仕組みも組み合わせる必要があります。

たとえば、

• 迷惑メールフィルター

• メールセキュリティ設定

• 多要素認証

• パスワードマネージャー

• パスキー

• ブラウザーやOSの更新

• SPF・DKIM・DMARCなどの送信ドメイン認証

• 不審メールの社内共有ルール

などです。

重要なのは、社員に完璧な判断を求めるのではなく、間違えにくい環境を作ることです。

「注意してください」だけでは、忙しい現場では限界があります。

だからこそ、リンクを押さなくても確認できる運用、迷ったときに相談できる窓口、重要操作を一人で完結させないルールが必要になります。

見分ける力より「確認する仕組み」

フィッシングサイトURLが前月比309.6%増という数字は、単に「詐欺が増えています」という話ではありません。

それだけ多くの偽サイトや誘導経路が作られ、社員の判断に入り込もうとしているということです。

これからのフィッシング対策で大切なのは、

• 怪しいメールを見抜く

• URLを確認する

• 差出人を見る

だけではありません。

むしろ、

• メール内リンクからログインしない

• 公式アプリやブックマークから確認する

• お金や契約に関わる操作は二重確認する

• 認証コードを入力する前に立ち止まる

• 迷ったら相談する

• 自社ドメインのなりすまし対策も確認する

という、会社としての仕組みです。

フィッシングは、社員一人の注意力の問題ではありません。

会社のお金、アカウント、取引先との信用を守るための運用設計の問題です。

「うちのフィッシング対策、大丈夫かな？」と思ったら

「社員に注意喚起はしているけれど、具体的な確認ルールがない」

「メール内リンクからログインしない運用に変えたい」

「MFAやメール設定を確認したい」

「自社ドメインのなりすまし対策が不安」

そんな場合は、ぜひ一度ご相談ください。

ITワークラボでは、中小企業の外部IT担当者として、メール・アカウント・クラウド・ネットバンキング周りの確認ルールづくりから、SPF/DKIM/DMARCなどの基本設定確認まで、現場に合わせてサポートしています。

怪しいメールを見抜く力に頼りきるのではなく、まずは迷ったときに安全に確認できる仕組みを一緒に整理していきましょう。

📖 あわせて読みたい

関連ページ

• IT・セキュリティ体制構築の支援内容は、「サービスページ」でご案内しています。

• 実際のご相談事例は、「導入事例」でもご紹介しています。

• ITワークラボの考え方は、「ITワークラボについて」をご覧ください。