フィッシング対策を強化します。こういうニュース、たまに見ます。で、正直ちょっと思うわけです。「また『怪しいメールに注意』って言うやつかな」と。もちろん注意は大事です。でも最近のフィッシングは、注意だけで全部防げるほど素朴じゃありません。
2026年3月31日にImpress Watchが報じたのは、国内クレジットカード会社13社とACSiON、フィッシング対策協議会、日本クレジットカード協会が、共同でフィッシングサイト閉鎖の取り組みを拡大するという話です。本題は「みんなで頑張る」ではなく、カード会社を騙るサイトだけでなく、ECや配送や交通を装う偽サイトから盗まれるカード情報までまとめて潰しにいく仕組みに変わったことです。
国内クレジットカード会社13社などが共同でフィッシングサイト閉鎖の取り組みを拡大し、被害抑止を強化する。
今回の登場人物
- フィッシング: 本物そっくりの偽サイトや偽メッセージで、IDやパスワード、カード番号を盗む手口です。
- JCCA: 日本クレジットカード協会です。今回の共同対策の中心にいる業界団体です。
- ACSiON: 金融犯罪対策に強い民間企業で、フィッシングサイトの検知や対応を支える側です。
- フィッシング対策協議会: フィッシングの動向を集め、注意喚起や技術面の検討を行う団体です。
- 「サイト閉鎖」: 偽サイトを見つけた後、ホスティング事業者などに働きかけて落とす対応です。被害が広がる前に店じまいさせるイメージです。
何が起きたか
Impress Watchによると、2025年4月から始まっていたカード会社8社による共同対策に、新たに5社が参加し、2026年4月以降は13社体制になります。さらにフィッシング対策協議会も参画し、情報共有や周辺企業への支援まで含めて取り組みを広げます。
JCCAの発表では、2025年のクレジットカード不正利用被害は510.5億円。しかもその約75%がフィッシングに起因すると推計されています。年間のフィッシング報告件数は約245万件。だいぶ嫌な規模です。
一方で、2025年4月から12月末までの共同対策で閉鎖したフィッシングサイトURLは約5万件。閉鎖対象企業のフィッシングサイトURL件数は、取り組み開始前の2025年3月と比べて半減したとされています。つまり、完全勝利ではないけれど、「閉鎖をまとめてやると、ちゃんと効く」は確認できたわけです。
本題
今回の本題は、利用者への注意喚起を強めることではありません。そこも大事ですが、もっと効くのは、カード会社を名乗らないフィッシングサイトまで視野に入れて閉鎖対象を広げたことです。
これが何を意味するか。最近のフィッシングは、銀行やカード会社そのものを騙るとは限りません。通販、配送、航空、交通、ポイントサービス。読者が日常で触るブランドの顔を借りて、最終的にカード番号を抜きに来る。つまり「私はカード会社の偽メールには引っかからないから大丈夫」が、あまり大丈夫じゃないんです。
JCCAの発表では、今回の拡大で、金融機関以外を装うフィッシングサイト銘柄の9割超をカバーできるとしています。ここが大きい。敵が正面から来なくなったので、守る側も正面玄関だけじゃなく裏口まで見にいくようになった、ということです。
どこが効いて、どこは残るのか
サイト閉鎖はかなり有効です。偽サイトが消えれば、そこで新たに騙される人は減る。JCCAも、取り組み開始前と比べて対象企業のフィッシングサイトが半減したと説明しています。
ただし、これだけで被害がゼロになるわけではありません。なぜなら、フィッシングは作っては消され、消されてはまた作られるからです。しかも攻撃者は、サイトだけでなく、SMSやメール文面、送信元偽装、生成AIっぽい自然な日本語まで使ってきます。閉鎖は大事。でもモグラたたきのハンマーが大きくなっただけで、モグラが絶滅したわけではない。
だから今回の共同対策で本当に効く部分は二つです。ひとつは、怪しいサイトを早く閉鎖できること。もうひとつは、報告が多い企業にノウハウを提供し、自分で閉鎖対応や予防策を回せるようにすることです。業界全体で「被害を受けた会社だけが頑張る」構図から、「巻き込まれやすい企業も含めて守る」構図へ少し動いた。ここが本質です。
利用者は何を見ればいいのか
このニュースを読んで「よし、業界が頑張るなら私は何もしなくていいな」は、さすがに違います。共同対策は利用者の後ろ盾になりますが、最後の1クリックはどうしても本人が握っています。
とはいえ、利用者にできることを根性論で並べるだけでは意味がありません。実際に大事なのは、SMSやメールのリンクから直接ログインしない、カード会社や通販の通知は公式アプリやブックマークから開く、本人認証の設定変更通知を見逃さない、くらいです。要するに「急かされても、その場で飛ばない」。これだけでだいぶ違います。
今回の共同対策が意味するのは、利用者の注意不足を責める段階から、業界の防御を厚くする段階へ少し進んだことです。そこは前向きに見ていい。ただ、攻撃者も前向きに悪知恵を伸ばしてくるので、こちらも油断はできません。前向きの方向が最悪な人たち、ほんと勘弁してほしい。
ここでもう一つ大事なのは、今回の「半減」や「9割超カバー」という数字の意味を雑に読まないことです。JCCAが言う半減は、閉鎖対象企業について報告されたフィッシングURL件数の話で、被害額全体が半減したという意味ではありません。同じく9割超カバーも、金融機関以外を騙るフィッシングの「銘柄」カバー率の話です。URL全部でも、被害額全部でもない。数字は十分すごいですが、盛り過ぎると逆に実態が見えなくなるので、ここは丁寧に読む必要があります。
さらに、カード業界の防御はこれだけで完成ではありません。経済産業省はEC加盟店側に、EMV 3-Dセキュア導入だけでなく、脆弱性対策や不正ログイン対策も求めています。要するに、カード会社が偽サイトを閉鎖する、加盟店がサイト自体を強くする、利用者が不用意にリンクを踏まない。この三つがそろわないと、被害は本気で減りません。サッカーで言えば、前線、中盤、最終ラインの全部が必要で、キーパーだけ気合いを入れても勝てないのと同じです。
だから今回のニュースは、利用者向けの豆知識記事ではなく、決済インフラの守り方が「個社の自衛」から「業界の共同防衛」に少し進んだニュースだと見ると分かりやすいです。カード番号は、いまや財布の中の数字というより、生活の通行証みたいなものです。それを守る仕組みが厚くなるのは、かなり生活直結の変化です。
そして、ここが地味に重要ですが、共同対策は参加企業が増えるほど効きやすい構造です。攻撃者は、守りが薄いブランドや対応の遅い会社を狙いがちだからです。8社で抜けていた穴を13社で埋める意味は、単純な足し算以上にあります。「隣の家の鍵が甘いからそこから入る」が通りにくくなる。業界横断の防御には、そういう嫌らしい突破口を減らす効果があります。
まとめ
クレカ13社の共同フィッシング対策強化は、「注意してください」を大きな声で言い直したニュースではありません。カード会社を騙るサイトだけでなく、配送やECなどを装ってカード情報を盗む偽サイトまで含め、業界横断で閉鎖しにいく守り方へ変わったニュースです。
見るべきは、13社になったことそのものより、閉鎖対象の広がりと、金融機関以外を騙るフィッシングの9割超をカバーできるようになった点です。利用者の気合いだけに頼らない防御が、ようやく少し厚くなった。そこが今回のいちばん大きい前進です。