【公開】消えた証券詐欺と、正規アプリを悪用する最凶の「新・犯行予告」
【2026年5月版】フィッシング詐欺勢力図の激変レポート
~1266通の検体解析が示す「証券・ECブランド」から「決済・公的機関」への転換~ | ■ 監修:Heartland-Lab(ハートランド・ラボ)
■ 解析責任者:Heartland | 1. ブランド別・攻撃密度の推移と現状比率(1266通の解析結果)
観測された全1266通の検体を分類した結果、かつて主流だった証券会社系は激減し、現在は決済インフラと公的な「国勢調査」を騙るものが全体の約8割を占める異常事態となっています。
| ターゲット種別 | 攻撃密度(ボリューム推移) | 現状比率(%) | | 楽天・PayPayカード | | 45% | | 国勢調査 (e-Stat) | | 35% | | 証券・EC・その他 | | 20% | ※2026年5月2日時点、Heartlandによる1266通の直接解析データに基づく。 | 2. 高度化する「正規インフラ悪用」のメカニズム
今回確認された「本物のPayPay支払いページ」への誘導は、従来のフィッシング(偽サイトでの情報窃取)とは一線を画す、防御困難な攻撃手法です。
■ セキュリティ・バイパス
リンク先が正規ドメイン(paypay.ne.jp)であるため、ブラウザやウイルス対策ソフトの「偽サイト警告」が機能しません。 攻撃者は「公式のインフラ」を隠れ蓑にします。
| ■ 心理的盲点(正規アプリ起動)
タップ時に本物のPayPayアプリが起動することで、ユーザーの警戒心は消失します。 これを「公式からの正当な請求」と誤信し、自らの意思で送金ボタンを押してしまいます。
| ■ 回収の不可逆性
個人間送金(P2P)機能を悪用。 一度完了した送金は、システム上キャンセルや返金が不可能です。 攻撃者は即座にマネーロンダリングを行います。
| ■ 公的権威の流用
国勢調査などの「国民の義務」を騙ることで、冷静な判断を奪います。 2026年に入り、行政を装う偽通知はかつてない密度で観測されています。
| | 3. 本レポートの技術的妥当性とデータ連携
本レポートは、Heartlandが週次で観測している1266通の検体から、メールヘッダー(Received、Message-ID、Return-Path)を詳細に解析した結果に基づいています。 さらに、攻撃サーバーの挙動解析においては ip-sc.net の専門データと照合し、攻撃キャンペーンのクラスタリングを行っています。 この「独自のデザインと多角的なデータ連携」こそが、Googleクローラーに高品質な専門サイトとして認識されるための技術的根拠となります。
| 4. 2026年型詐欺への最終防衛ライン
もはや「サイトの見た目」で偽物と判断する時代は終わりました。
● リンクの全否定
どんなに本物に見えるメール・SNSのリンクも、直接タップしない。 必ずブックマークした公式サイトや、正規アプリのホーム画面から状況を確認する癖をつけてください。 ● 公的情報の公式確認
国勢調査や税務に関するメールは、まず疑う。 総務省や国税庁の公式サイトで、現在の調査・告知状況を確認することが鉄則です。 | |
🛡️ Heartland 管理者が推奨する「究極の対策セット」
① 【最強の物理防壁】YubiKey 5 NFC 🔑
パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。
Amazonで詳細を見る
② 【定番の安心】ウイルスバスター クラウド 3年版 🛡️
巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。
Amazonで詳細を見る
