30秒サマリー
- フィッシング件数は2年連続で約20%減少したが、2025年の被害額は前年比約3倍の約2億1584万ドルに急増
- 攻撃者は大量ばらまき型から標的を絞った精密攻撃にシフトし、成功率を高めている
- 生成AIの普及でフィッシング実施のハードルが下がり、攻撃の巧妙化が加速している
何が起きたか
セキュリティー企業の米Zscaler(ゼットスケーラー)が2026年6月上旬に発表したリポートによると、同社が2023年に確認したフィッシング件数は20億件を超えた。その後、2024年・2025年ともに前年比ほぼ20%減少しており、件数だけみれば攻撃は縮小しているように映る。
しかしゼットスケーラーは、件数減少を「攻撃者の撤退」ではなく「手口の変化」と分析している。メール配信事業者やISP、エンドポイント側の対策強化により、大量の偽メールを一斉配信する無差別攻撃が困難になったため、攻撃者はより標的を絞り込んだ精密攻撃へ移行し、1件あたりの成功率を高めているという。
この傾向は米連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)のデータでも裏付けられる。フィッシングによる被害額は2023年に約1873万ドルだったが、2024年には約7001万ドル、2025年にはさらに約3倍となる約2億1584万ドルに達した。件数が減る一方、1件あたりの被害規模が急拡大している構図だ。
原典ハイライト
Zscalerリポートは「件数の減少=攻撃の縮小」ではなく「精密化による成功率向上」への転換を明示。FBI・IC3データは2025年の被害額が2023年比で約11倍以上に膨らんだことを示しており、攻撃の質的変容を数値で裏付けている。
出典: 日経xTECH IT(報道)
So What?(なぜ重要か)
フィッシング対策を「受信メール件数」や「検知ブロック件数」だけで評価していると、実態を見誤るリスクがある。件数指標が改善していても被害額は急増しており、攻撃は「量から質」へと根本的に変質している。生成AIがこの精密化をさらに後押しする構造は当面続くとみられ、従来型の数量ベースのKPIに頼ったセキュリティー評価の見直しが急務だ。
日本企業への示唆
日本企業の経営・情報セキュリティ担当者は、フィッシング対策の成果指標を「ブロック件数の増減」から「実被害額・インシデントの深刻度」へ転換することを検討すべきだ。攻撃が少数精鋭型に移行している以上、役員・経営幹部・財務担当者など「高価値な標的」を狙ったスピアフィッシングへの備えを優先する必要がある。具体的には、重要ポジションへの標的型訓練の実施、多要素認証の徹底、AIを活用した不審メール検知ツールの導入などが有効な対策として挙げられる。
背景・経緯
生成AIの普及により、自然な文体の偽メール作成や個人に最適化したソーシャルエンジニアリングが容易になっている。一方、メールインフラ側の対策強化(送信ドメイン認証の普及など)が大量配信型攻撃の効果を低下させており、攻撃者が戦術を変える誘因となっている。なお、原文では続きが会員限定となっており、AIツールが作成したサイトの悪質率などの詳細データは本稿では確認できていない。
