2026年のフィッシングに関する分析参考資料 - チャンネル進化データ、AIの影響分析、そして現代の詐欺における最大の攻撃ベクターについての数字が明らかにするもの。
フィッシングは2025年のソーシャルエンジニアリングベースの詐欺の84%を占め、このカテゴリは消費者とビジネスの詐欺の最大の攻撃ベクターであり、反フィッシングワーキング・グループは年間で約6.4百万のユニークなフィッシングサイトを記録しています。
測定可能な3つの変化が、2025年のフィッシング風景を定義しました。
| 次元 | 2022 | 2025 | 変化 |
|---|---|---|---|
| フィッシングのメールシェア | 78% | 61% | 17pp |
| SMS Phishing シェア | 9% | 23% | +14pp |
| Voice Phishing シェア | 8% | 11% | +3pp |
| 他のチャンネル(QR、ソーシャル) | 5% | 5% | 変更なし |
| フィッシングメールがコンテンツベースの検出を打ち負かす | ~24% | ~47% | 23pp |
| アクティブなフィッシングサイトを毎年確認 | ~3.5M | ~6.4M | +83% |
APWGとFTCのレポートから計算されたチャンネル割合は、複数のソース間のフィッシング未遂データを組み合わせたものであり、コンテンツベースの検出敗北率は、電子メールセキュリティアナリストの合計レポートを反映しています。
この変化は、3つの構造的パターンを明らかにする:フィッシングは単なる量の増加ではなく、新たなチャンネルで拡大し、AIが可能なコンテンツの品質は伝統的な検出信号を大幅に侵害し、検出インフラの改善にもかかわらず、オペレーションの絶対規模はほぼ倍増した。
パターンは、ほとんどの受信者が実際に偽装されたサービスとアカウントを持っているため、大規模な配布キャンペーンのかなりの割合に高い関連性を生み出す。
| ブランド | ブランド Impersonation | 主な口実 |
|---|---|---|
| Microsoft について | 24% | Office 365 パスワードの有効期限、アカウント停止 |
| アマゾン | 18% | 未承認注文、アカウント検証 |
| アップル | 11% | iCloud ストレージ、Apple ID 認証 |
| PAYPAL | 9% | アカウント制限、不審な活動 |
| Googleの | 7% | Drive Sharing、アカウントセキュリティ |
| Netflixについて | 5% | 支払い失敗、アカウント停止 |
| 銀行(総合) | 14% | アカウント検証、詐欺警報 |
| 他の | 12% | さまざまな小売業者、サービス |
ブランドの偽装レポートの合計割合 多くのフィッシング操作は、キャンペーン波にわたって複数のブランドの口実を使用します。
テクノロジープラットフォーム(マイクロソフト、アップル、Google)の集中は、その普遍的な範囲を反映しています - ほぼすべての米国の成人がこれらのプロバイダと少なくとも1つのアカウントを持っています。
銀行フィッシングのサブセットは、成功した試みごとにより高い損失(直接的な金融アクセスのせいで)、初期のメール/SMS連絡後より大きな音声フォローアップの使用、偽造された銀行電話番号を含むより複雑なインフラストラクチャを示しています。
SMSフィッシングは他のどのフィッシングカテゴリーよりも速く成長し、2022年のフィッシングレポートの9%から2025年の23%に拡大しています。
| 要因 | 効果 |
|---|---|
| 電子メールフィルタインフラストラクチャ | メールより高い配達率 |
| モバイル緊急事態 | 慎重な評価に対する迅速な行動を奨励する |
| 短いメッセージ形式 | ユーザーが評価できる視覚信号の制限 |
| 広く利用可能な個人携帯電話番号 | データ侵害によるターゲットインフラの改善 |
| Sender ID spoofing 機能 | 正当なブランドを含むあらゆるソースから表示することができます。 |
| キャリアレベルの詐欺検出が未熟 | 電子メールインフラ インフラストラクチャ |
2025年SMSフィッシングパターンの配布:
| パターン | Smishing Reports について | 典型的な捕獲目標 |
|---|---|---|
| パッケージ配達 | 34% | 「REDELIVERY FEE」を通じてのお支払い情報 |
| 銀行警報 | 21% | ボイスフォローアップによるアカウント認証 |
| 税務当局 | 14% | 個人情報、支払い |
| 家族緊急事態 | 11% | Wire Transfer、ギフトカード支払い |
| 関税/駐車違反 | 9% | 支払い情報 |
| アカウントチェック(さまざま) | 7% | クレジット |
| 他の | 4% | 様々な |
パッケージ配送パターンの支配性は、効果的な心理的ターゲティングを反映します - ほとんどのアメリカ人は、どのタイミングでパッケージを輸送しているので、「配送問題」メッセージのための高い基準の関連性を生み出します。これらのメッセージの典型的な緊急性のフレームアップ(「あなたのパッケージは24時間以内に返されます」)は、慎重な検証を超えて即座に行動することを奨励します。
2025年は、フィッシングの効果に測定可能なAIの影響を示す最初の年でした。
| ヒューリスティック検出 | 2022 効率化 | 2025 効率化 |
|---|---|---|
| 「信号としての文法の誤り」 | 高い | 低い(ほとんど時代遅れ) |
| 「Awkward phrasing detection」 | 高い | 低い |
| 「Brand Template Mismatch」 | 適度 | Low (AI replicates accurately) |
| 「Generic greeting suspicion」 | 適度 | 低レベル(個性化) |
| 「Reverse-image-search 検証」 | 高い | 低い(合成写真) |
| 「Voice Cloning Resistance」 | N/A | Low (Accessible Cloning Tools) |
伝統的なフィッシング検出パラダイムは、表面レベルのコンテンツ品質の信号に依存していました - typos、不便な表現、明らかに偽りのフォーマット。
文法とフラッシュ: Grammar and phrasing: AI ツールは流暢でプロフェッショナルなコピーを生成します 2025 フィッシングメールは正当なコミュニケーションのように読みます メールセキュリティアナリストは、コンテンツベースの検出を打ち負かすフィッシングメールの割合が2023年以来約2倍に増加したと報告しています。
ビジュアルデザインの複製: AI による設計ツールは、ブランドの正確な複製を可能にします 2025 フィッシングメールの視覚的な体験は、機能的に正当なブランドコミュニケーションと同一です。
声のクローン化: ボイスフィッシングは、アクセス可能なクローニングによって変革されました。詐欺師は現在、公開されているソーシャルメディアコンテンツから説得力のある声サンプルを生成することができます。孫の偽装パターン(犠牲者の95%60、平均損失9000ドル)は、AIへのアクセシビリティの後の効果を劇的に増加させました。
個性化スケール: マスターゲティングフィッシングキャンペーンは現在、公開情報に基づいて個々の受信者向けのコンテンツをカスタマイズするためにAIを使用しています。以前は高価値のターゲットにターゲットフィッシングを限定していた経済的障壁は、ほとんど解消されました。
ビジネス電子メールの妥協(BEC) - ビジネス金融取引をターゲットにしたフィッシング - は、消費者のフィッシングとは本質的に異なる運用経済学を持つ異なるサブカテゴリを表しています。
BECは、いくつかの異なる攻撃パターンを通じて動作します。
| パターン | BECレポート | メディア損失 |
|---|---|---|
| CEO/Executive Impersonation(CEO/エグゼクティブ・インパーソナリティ) | 32% | $32,000 |
| 売り手の支払いルート変更 | 28% | $45,000 |
| クライアント詐欺賠償 | 17% | $18,000 |
| HR/Payroll情報のご要望 | 12% | $8,000 |
| 弁護士 / 弁護士 偽装 | 7% | $28,000 |
| 他の | 4% | 様々な |
ベンダー支払いルーティングの変更パターンは、最高のメディア損失(4万5000ドル)を生成し、最も洗練されたBECバージョンを表しています 運用順序:詐欺師はターゲット企業の電子メールまたはベンダーの電子メール(しばしば以前のフィッシングを通じて)、通信を監視して支払いワークフローを理解し、正当な請求書支払いと一致するタイミングで詐欺的な「我々は我々の銀行の詳細を変更した」メッセージを注入します。
BECは、事業経済における消費者フィッシングとは根本的に異なります。 1件当たりの損失(パターンタイプで25,000~45,000ドルメディア)は、ターゲット化された研究を経済的に実現させます。 消費者のフィッシングが大量配布の低変換経済学で動作する場合、BECはターゲット化された研究の高変換経済学で動作します。
音声フィッシング(vishing)はAI機能と共に増加しているが、電子メールやSMSフィッシングの量は依然として低いものの、事故当たりの損失は顕著に高くなっている。
| パターン | 主な人口 | AVG 損失 | トレンド |
|---|---|---|---|
| テクニカルサポート詐欺 | 73% 年齢 50+ | $1,395 | 安定 |
| 子どもの偽装 | 95% 年齢 60+ | $9,000+ | SHARPLY RISING (AI VOICE CLONING) |
| Medicare/SSA インパルソニズム | 87% 60歳以上 | $1,800 | 安定 |
| IRS 仮定 | ミックス | $1,200 | 減少(意識) |
| 銀行詐欺「調査員」 | ミックス | $4,800 | 昇格 |
子どもの偽装とメディカレ/SSAの詐欺は、特に高齢成人の人口統計を中心に設計されており、被害者の分布は、ランダムな脆弱性ではなくターゲット化を反映しています。
孫の仮定パターンの2025年の急激な上昇は、AIの音声クローニングのアクセシビリティを追跡しています。
詐欺師は現在、公開されているソーシャルメディアコンテンツから説得力のある音声サンプルを生成することができます - 公共のTikTokビデオ、Podcastの出現、または家族ビデオはクローンするのに十分なオーディオを提供します。
テクノロジーサポートの詐欺パターンは構造的に安定していますが、一貫した人口集中で動作します。ポップアップ警告、「サポート技術者」からの冷たい呼び出し、偽のサポート電話番号の検索エンジンの広告はすべて、リモートアクセスのソフトウェアのインストール、製造された診断「発見」、偽のサービスの支払いに向かっています。
フィッシングが成功する理由を理解する - 特に「よりよく知るべき」人々に対して - 表面検出のアドバイスを超える効果的な防御情報を提供します。
品質は検出を超えて本当に向上しました。 伝統的な懐疑主義のフレームワークは表面信号(文法、フォーマット、不快さ)に依存していました。これらの信号のAIの排除は、フレームワークが今、高い割合で偽ネガティブを生成することを意味します。
時間圧力は批判的思考を回避する。 ほぼすべての有効なフィッシングパターンには、緊急性フレーム化が含まれています。2025年の成功したフィッシングの分析は、緊急性の一貫した要素を明らかにします。
| 緊急タイプ | 成功したフィッシングの割合 |
|---|---|
| 「アカウントは [時間] で停止されます」 | 34% |
| 「(結果を)避けるために必要な即時支払い」 | 26% |
| 「不審なアクティビティが検出された - 今すぐ確認してください」 | 22% |
| 「期間限定のオファーは今日で終了します」 | 11% |
| 「パッケージは送信されない場合に返品されます」 | 7% |
The familiarity heuristic works against detection. 知恵のヒューリスティックは検出に反する。 「Microsoft Office 365」フィッシングメールは、実際にMicrosoft 365ユーザーである受信者の大幅な割合に到達します。初期の仮定正当性は、フィッシングが文脈を悪用するときに強化されます - 実際にパッケージを期待している間に「配信問題」のSMSを受け取る場合、または正当な疑わしい行為(旅行購入など)の直後に「疑わしい活動」の警告です。
パーソナライゼーションはジェネリック検出に打ち勝つ。 実際の個人情報を参照するフィッシング - 雇用者の名前、最近の購入、家族 - は「これは大量のメールのように見える」検出ヘウリスティックを打ち破ります。
2025年のいくつかのパターンは、2026年のフィッシングの風景を定義する可能性があります。
AIの高度化は探知を引き続き上回るだろう。 2022年から2025年の軌道は、コンテンツベースの検出が ~76%の効率から ~53%の効率に悪化していることを示しています。
QRコードのフィッシングは一つのカテゴリーとして成長します。 「クイッシング」パターン - 電子メールのQRコード、物理的なサイン、またはフィッシングサイトへのメール - はQRコードの視覚的な性質を悪用し、ユーザーはスキャン前にターンURLを見ることができません。 レストランメニュー、駐車メーター、および類似の正当な文脈はQRコードの使用を正常化し、詐欺的な変数をカバーしました。 カテゴリは2025のフィッシングの約2%でしたが、軌道は大幅な成長可能性を示唆しています。
複数のチャンネルで調整された攻撃が標準となる。 複雑なフィッシング操作はますますチャンネル間で調整されています - 最初のメールはコンテキストを作成し、SMSの強化、それから以前のコミュニケーションの知識を持っている「サポート代表」からの音声通話です。
声のクローニングは、の成長を加速させるでしょう。 AIの音声クローニングによる孫の仮装パターンの有効性により、パターンは犯罪の拡大にとって経済的に魅力的なものとなり、期待される結果:この人口統計をターゲットとする作戦が増え、クローニングが改善するにつれて事故当たりの損失が増加し、「私は彼らの声を認識しただろう」防衛の侵害が起こる。
パーソナライゼーションは、ターゲット攻撃を民主化し続けるでしょう。 AIで可能な大規模なパーソナライゼーションは、大規模なフィッシングとターゲットフィッシングの間の経済的障壁を解消しました。
合計分析の結論:フィッシングは、コンテンツの品質、ブランドテンプレート認識、音声認識、一般的なコンテンツの疑いが同時に悪化しています。
フィッシングは、ソーシャルエンジニアリングに基づく詐欺の約84パーセントを占め、消費者と企業の詐欺における最大の攻撃ベクターであり続けています。
SMSフィッシングは、2022年のフィッシングレポートの9パーセントから2025年の23パーセントに増加しました - 他のどのチャンネルよりも速く成長を推進する構造的要因:電子メールのフィルタリングインフラストラクチャ(より高い配信率)、モバイルコンテキストが迅速な行動を奨励し、ユーザーが評価できる可視信号の短いメッセージ形式の制限、データ侵害を通じて広く利用可能な個人モバイル番号、送信者IDの詐欺機能、およびキャリアレベルの詐欺検出が電子メールインフラストラクチャよりも不成熟です。
2025年には、マイクロソフト(24%)、アマゾン(18%)、アップル(11%)、PayPal(9%)、Google(7%)、Netflix(5%)、銀行(14%)、およびその他の小売業者/サービス(12%)がブランドキャリアを占める。
2025年は、測定可能なAIの影響を示す最初の年でした。コンテンツベースの検出効率は、2022年の76%から2025年の53%に減少しました。特定の影響:文法/表現は、AIによる設計を通じてほとんど完璧なビジュアルブランドの複製をほとんど排除し、音声クローニングは説得力のあるバイシャル通話を可能にし、合成プロフィール写真は反対画像検索を打ち負かし、スケールでのパーソナライゼーションは一般的なコンテンツ検出を打ち負かしています。
パッケージ配送詐欺は、2025年のSMSフィッシングレポートの34%を占め、最大の単一カテゴリである。パターンは、ほとんどのアメリカ人がいつでも送信中のパッケージを持っているため、高基準の関連性を生み出すため働く。緊急フレームリング(24時間以内に返還)は即時行動を奨励します。小額の手数料($2.99-$5.99)は疑念の限界を打ち破ります。
BECは2025年に米国のビジネス損失で14億ドルを生み出した。消費者フィッシングの損失は劇的に高く、メディア損失はパターンによって異なります:ベンダー支払いルーティングの変更(4万5000ドル)、CEO/エグゼクティブの偽装(3万2000ドル)、弁護士/弁護士偽装(28000ドル)、顧客返金詐欺(18000ドル)、HR/賃金情報要求(8000ドル)。
人口集約は、ランダムな脆弱性ではなく、ターゲットインフラを反映します。テクノロジーサポートの詐欺: 73% 年齢 50 + 孫の仮定: 95% 年齢 60 + Medicare/SSA 仮定: 87% 年齢 60 + これらのパターンは、特に高齢者および成人の人口統計を中心に設計されています - スクリプトのコンテンツ、権威の参照パターン、およびテクノロジーのエラーメッセージの未知の仮定は、すべてこのコホートにカリブレートされます。
孫の偽装パターンの2025年の急激な上昇は、AIの音声クローニングのアクセシビリティを追跡しています。詐欺師は現在、公開されているソーシャルメディアコンテンツから説得力のある音声サンプルを生成することができます - 公衆のTikTokビデオ、Podcastの外観、または家族のビデオはクローンするのに十分なオーディオを提供します。
ほぼすべての有効なフィッシング攻撃には緊急フレームリングが含まれています。2025年の成功したフィッシングの分析:「アカウントが停止される」(34%)、「即時支払いが必要」(26%)、「疑わしい活動が検出された──今すぐ確認」(22%)、「時間限定オファーが今日終了する」(11%)、「パッケージが返される」(7%)。
QRコードが電子メール、物理的な標識、または印刷されたメールに埋め込まれた新興のカテゴリで、このパターンは、QRコードの視覚的性質を悪用します - ユーザーはスキャン前に目的地URLを見ることができません。レストランメニュー、駐車場メーター、および類似の正当な文脈は、QRコードの使用を正常化し、詐欺的な変数をカバーしています。
2022年から2025年までの実効性の軌道は、コンテンツベースの検出が76%から53%に悪化していることを示しています。Generative AIは、従来のコンテンツ信号を体系的に打ち負かし、文法とフレーズは排除され、ビジュアルブランドの複製はほぼ完璧で、反対画像の検索は合成写真によって打ち負かされ、音声クローニングはオーディオの熟知信号を排除し、カスタマイズは規模で一般的なコンテンツの検出を打ち負かす。
消費者フィッシングは、大量配布の低コンバージョン経済学に基づいて動作します - 成功率が低い何百万ものメッセージが総収益を生み出す。BECは、ターゲット化された研究の高コンバージョン経済学 - 特定のビジネスターゲットに対する研究集中の作戦と、インシデントごとに高い抽出に基づいて動作します。