2025年Q4フィッシング攻撃37%急増、インシデント件数1.3倍の深刻な実態

2025年第4四半期のサイバーセキュリティ情勢が深刻化している。JPCERTコーディネーションセンターが発表した最新統計によると、インシデント件数が前四半期比約1.3倍に急増し、特にフィッシング攻撃の激増が際立っている。この数値は、日本のサイバーセキュリティ環境が新たな局面を迎えていることを示唆している。

フィッシング攻撃の爆発的増加が示す脅威の変化

JPCERTコーディネーションセンターの統計によると、2025年第4四半期におけるフィッシングサイトの報告件数は1万2397件に達し、前四半期の9063件から37%という大幅な増加を記録した。この数値は全インシデントの91.6%を占めており、フィッシング攻撃がサイバー脅威の主流となっていることを明確に示している。

重複を除いたインシデント件数は1万3537件となり、前四半期の1万0379件から約1.3倍に拡大した。一方で、重複を含む報告総数は2万0336件で、前四半期の2万3857件から14.8%減少している。この数値の乖離は、同一の脅威に対する複数の報告が減少し、より多様化した攻撃が展開されていることを示唆している。

月別動向に見る攻撃パターンの特徴

月別の報告状況を詳しく見ると、10月と12月はそれぞれ6000件台で推移したものの、11月には7000件を超える報告が寄せられた。この11月の急増は、年末商戦期を狙った攻撃者の戦略的な動きを反映している可能性が高い。フィッシング攻撃は特に、消費者の購買活動が活発化する時期に合わせて展開される傾向があり、攻撃者がより計画的かつ組織的に活動していることがうかがえる。

インシデント対応を依頼した調整件数は2875件となり、前四半期から約1割減少している。これは、組織のセキュリティ対応能力が向上し、自力での対処が可能なケースが増加していることを示している一方で、深刻度の高いインシデントに対する対応リソースの集中化が進んでいる可能性もある。

フィッシング攻撃の手法高度化と対策の課題

フィッシング攻撃が全インシデントの9割以上を占める現状は、攻撃手法の変化を如実に表している。従来のマルウェア感染やシステム侵入といった技術的な攻撃から、人間の心理的な隙を突く社会工学的攻撃へのシフトが顕著になっている。この変化は、技術的な防御策だけでは対応が困難であることを意味しており、組織全体での意識改革と教育の重要性が高まっている。

特に注目すべきは、フィッシング攻撃の37%増加という数値の背景にある質的な変化である。攻撃者は単に量的な拡大を図るだけでなく、より精巧で信憑性の高いフィッシングサイトの構築や、標的型攻撃の要素を取り入れた個別化された攻撃を展開している。これにより、従来の一般的なセキュリティ教育では対応が困難な状況が生まれている。

企業・組織に求められる新たな対応戦略

この統計が示すフィッシング攻撃の激増に対し、企業や組織は従来の対策の見直しを迫られている。技術的な対策として、メールセキュリティゲートウェイの強化、URLフィルタリングの精度向上、多要素認証の徹底などが挙げられるが、これらだけでは不十分である。

より重要なのは、従業員教育の質的向上と継続性の確保である。定期的なフィッシング訓練の実施、最新の攻撃手法に関する情報共有、インシデント発生時の迅速な報告体制の構築など、人的要素を重視した対策が不可欠となっている。また、経営層のセキュリティ意識向上も重要な要素であり、組織全体でのセキュリティガバナンスの強化が求められている。

2026年に向けたサイバーセキュリティの展望

2025年第4四半期の統計が示すフィッシング攻撃の急増傾向は、2026年のサイバーセキュリティ情勢に重要な示唆を与えている。攻撃者の手法がより巧妙化し、標的も多様化する中で、従来の境界防御型セキュリティから、ゼロトラストアーキテクチャへの移行が加速すると予想される。

また、AI技術の発達により、フィッシング攻撃の自動化と大規模化が進む一方で、防御側でもAIを活用した脅威検知と対応の自動化が進展するであろう。この技術競争の中で、最終的な決定要因となるのは、組織の対応速度と従業員のセキュリティ意識の高さである。JPCERTの統計は、この現実を改めて浮き彫りにしており、すべての組織にとって対策の見直しが急務であることを示している。