マカフィー、2026年のサイバーセキュリティ脅威予測を発表

オンラインのセキュリティ対策製品を提供しているマカフィー株式会社（本社：東京都千代田区）は、本日、McAfee Labsの最新調査「2026年度版 詐欺の世界(State of the Scamiverse)」及び、2025年に実施した調査で判明した事例に基づき2026年に予測される詐欺手口をまとめた「2026年のサイバーセキュリティ脅威予測」を発表しました。

「2026年度版 詐欺の世界」調査によると、日本人の半数（50％）がオンライン詐欺を実際に経験・遭遇したことがあると回答しており、1日に受け取る詐欺メッセージは平均9件（メール5件、テキストメッセージ/SMS 2件、ソーシャルメディア2件）にのぼることが判明しています。なお、各チャネルで報告されている上位3つの詐欺手口は以下の通りです。

• メール

1. アンケートやプレゼントを装ってカード情報を入力させる詐欺（83%）

2. 注文していない商品の請求書を装った詐欺（80%）

3. フィッシングリンク付きの特別オファー／取引詐欺（77%）

• テキストメッセージ（SMS）

1. 上司や同僚を装ったビジネスメール詐欺（45％）

2. 家族や友人を装い、緊急事態を理由に金銭を要求する詐欺（38％）

3. 有名人による商品推薦やプレゼント企画を装った詐欺（33％）

• ソーシャルメディア

1. 寄付や支援を求める偽のニュース動画（48％）

2. 自動車保険の詐欺（40％）

3. 有名人による商品推薦やプレゼント企画を装った詐欺（38％）

こうしたトレンドは、オンライン詐欺が日本においてすでに日常生活に深く根付いていることを示しています。日本人は、オンライン上で「何が本物か」を見極めるために、年間で平均55時間を費やしていることが分かりました。また、4人に1人（25％）は、1年前と比べて詐欺を見抜く自信が低下していると感じ、約半数（44％）が、この1年でAIを活用した詐欺（AI生成または改変された動画や音声）が増えていると感じていることも明らかになりました。一方で、18％はそう思わない、38％は判断がつかないと回答しており、多くの人がAIによって生成されたコンテンツと、本物を見極めることへの確信が十分ではないことを示唆していると考えられます。

今回の調査では、「詐欺の世界（State of the Scamiverse）」が、最も注意深いユーザーを上回るスピードで進化していることが明らかになりました。詐欺はますます巧妙かつ現実味を帯び、人々は「誰を、そして何を信頼すべきか」について、以前よりも自信を失いつつあります。

詐欺の未来：調査が示す2026年の脅威

詐欺の手口は、従来の単発的なメッセージ中心の手法から、より長期的かつ日常的なデジタル上の行動に自然に溶け込む形へと進化しています。McAfee Labsの調査によると、2025年に観測された複数のトレンドから、2026年における詐欺の動向が浮き彫りになりました。特に注目すべき点は、詐欺師が人々から最も信頼されているデジタル上のワークフローを巧妙に模倣する手法を一層強化していることです。

日常的なオンラインストレージを装った詐欺：次なる主要な脅威

こうした変化を最も明確に示しているのが、クラウドストレージやアカウント通知を装ったなりすまし詐欺の増加です。Google ドライブ、iCloud、Dropbox などのクラウドストレージサービスは、重要な書類や大切な家族写真といったあらゆるデータの保存や共有に日常的に活用されており、詐欺師にとって格好の標的となっています。McAfee Labsの調査によると、2025年10月から11月にかけて、クラウドサービス事業者を装った詐欺が大幅に増加していることが確認されました。これらのメッセージは、本物と非常に類似したデザインで作られており、受信者に対して即時の対応を迫る内容となっています。例えば、以下のような通知が挙げられます。

• アカウントのストレージ容量がいっぱいです

• パスワードの有効期限が切れています

• 新しいデバイスからサインインがありました

• ファイルが共有されました

これらの詐欺が成立してしまう理由の一つは、日常的に受け取る通常の通知と非常によく似ている点にあります。メールや写真、認証、ドキュメントといったクラウドサービスは現代生活に深く根付いており、多くの人が通知を目にした際、その内容が正当なものかどうかを慎重に確認することなく対応してしまう傾向があります。

2026年には、こうした詐欺は単発の通知に依存する手口から、複数の段階を踏む高度ななりすまし手法へと進化すると予測されています。詐欺師は、単一の行動を誘導するのではなく、通常のクラウドサービス利用時の流れを再現することで、次のような段階的なやり取りを仕掛けてくる可能性があります。

例：アカウントに関する警告 → ログインの要求 → 二要素認証（2FA）を装った確認 → ドキュメントのプレビュー表示

各工程が自然で日常的に見えるため、全体が詐欺であることには気づきにくい点が特徴です。各段階を個別に見る限りでは、どれもごく普通のやり取りに思えるため、疑念を抱きにくくなります。さらに、プロセス全体が複雑で精巧に構築されていることで、あたかも「正式なもの」のように見えてしまい、その結果、消費者は詐欺を示唆するわずかな違和感や兆候を見過ごしてしまう可能性があります。

将来的なリスクを示す詐欺パターン

1. 政府機関を装った詐欺の脅威

   2025年、米国ではFTC（連邦取引委員会）に提出された報告の中で、DMV（車両管理局）や有料道路関連を装った詐欺が劇的に増加しました。日本でも、厚生労働省が、同省の職員や関連機関を名乗る不審な電話やメールが多数報告されているとして、注意喚起を発出しています。法務省もまた、自省の名称や関連する識別情報を不正に使用した架空請求に関する警告を公表しました。こうした傾向から、同様の手口は、税金、各種ライセンス、給付金といった、もともと手続きが複雑で緊急性を帯びやすい領域へと拡大していく可能性があります。

2. 求人詐欺は、さらに個別化が進む

   2025年には、米国でFTC（連邦取引委員会）に報告された被害額が前年比で約40％増加し、2024年の5億4,300万ドルから2025年には7億5,200万ドルへと急増しました。McAfee Labsの分析によると、こうした詐欺はより標的型に進化しており、詐欺師が特定の職種、業界、キャリア段階に合わせて接触方法をカスタマイズしていることが判明し、また2025年にこうした個別最適化された求人詐欺が増加していることが明らかになりました。2026年には、詐欺師がAIツールを活用し、求人情報、入社手続き手順、さらには契約書までも、被害者の実際の経歴や業界に合わせて作り込む可能性があります。労働市場がますます競争激化する中、副業やスキルアップを謳う求人詐欺は、求職者にとって現実的なリスクとなるでしょう。

3.  悪意のある広告は、今後増加する

   ディープフェイク広告や著名人になすました偽の推薦はすでに広く普及し、その品質も向上しています。これらは、詐欺目的の投資プラットフォーム、偽のダウンロードサイト、あるいは認証情報を盗み取るページへ人々を誘導するために悪用される可能性があります。

4. 単純な会話を起点とする長期型の詐欺が、今後さらに一般的になる可能性が示唆

   現在、「こんにちは」「お元気ですか？」といった簡単なメッセージから始まり、数日から数週間にわたって展開される関係構築型の詐欺が多く見受けられます。これらの警告は、差し迫った警告を発するのではなく、継続的なやり取りを通じて恋愛関係に発展させたり、投資話を持ちかけたりする形へと変化していきます。McAfee Labsの調査によると、日本人の57％が、このような詐欺にメールを通じて遭遇したと回答しています。また、警察庁によれば、SNS上で繰り返しやり取りを行い、信頼関係を構築した後に実行された詐欺による被害総額は、2024年に127億4,000万円に達し、2023年の77億6,000万円と比べて約1.6倍となりました。一度被害者が返信すると、iOSやAndroidではその番号が「不明な送信者」とは異なる扱いとなり、より信頼されたメッセージとして認識されます。その結果、以降の詐欺メッセージがメインの受信箱に届きやすくなる仕組みです。これにより詐欺師は、会話の文脈を維持しながら信頼を構築した上で、リンクの送信やコードの要求、金銭の要求などを、突然の詐欺行為としてではなく、継続中の会話の一部であるかのように持ちかけることが可能になります。

5. 標的化は今後さらに高度化していく

   AIツールは、公開されているソーシャルメディア上のコンテンツを容易に収集し、写真や投稿、オンラインで共有された情報をもとに詳細なプロフィールを作成することを可能にします。この技術により、より説得力のあるなりすましや、個人に関連性の高い接触が実現し、さらにその人物の習慣や嗜好に合わせてカスタマイズされたように見える詐欺を仕掛けることが可能になります。

6. 仮想通貨や金融関連の詐欺は、今後一層激化する可能性がある

   市場が不安定な時期は、投資詐欺が増加する絶好の機会となります。偽の仮想通貨プラットフォームや偽の取引アプリ、さらには誤解を招く金融広告など、詐欺師は経済的な不確実性を巧みに悪用し、これらの手口を活発化させる可能性があります。

7. VPNの誤用は新たな詐欺の侵入経路を生み出す

   VPNは引き続き重要なプライバシー保護ツールであり、特に安全性が不明なネットワーク環境において、信頼性の高いVPNの利用が不可欠です。一方で、最近導入された成人向けコンテンツに関連する年齢確認法の影響により、地域制限を回避しようとする消費者の間でVPN利用が急増しています。この需要の高まりを受けて、詐欺師は偽のVPNアプリや悪意のあるブラウザ拡張機能、さらにそれらに類似したダウンロードサイトを悪用し、利用者を狙う手口を拡大しています。

これらの傾向が消費者に意味すること

詐欺は、日常的に人々が利用するツールに巧妙に組み込まれ、ますます体系的かつ適応的な手法へと進化しています。これにより、消費者は従来の明確な警告サインに頼ることが難しくなり、実際の通知やメッセージ、プロンプトと外見や挙動が非常に似たものを自ら判断する必要性に迫られています。

2026年に向けて注目すべき点は明確です。詐欺が、消費者が無意識に利用する信頼性の高いデジタルワークフローをますます模倣することで、さらに見分けがつきにくくなるということです。

詐欺が見分けにくい時代に自分を守る方法

詐欺がますます現実味を帯び、日常のデジタル環境に巧妙に溶け込む中で、防御のアプローチも進化を求められています。従来のように明確な警告サインだけに頼るのではなく、微妙ながら本物ではないことを示す手がかりを見抜く力が重要です。2026年以降の効果的な保護対策では、文法やスペルの誤り、粗末な模倣サイトといった分かりやすい特徴を探すことだけでは不十分です。これからは、複数のプラットフォームにまたがる微細な不一致点を検出できる高度な自動化ツールに加え、個人の慎重さや懐疑心を組み合わせることが欠かせません。

現代の詐欺は、メールやテキストメッセージ（SMS）、ソーシャルメディア、電話、QRコードなど、多岐にわたるチャネルを駆使して実行されるため、消費者はリアルタイムの詐欺検知、本人確認の監視、AIを活用した分析などを提供するサイバーセキュリティツールを積極的に活用するようになっています。こうした多層的な対策は、人間の目だけでは見抜けない部分、特に詐欺が自然に溶け込んでいる場合において、その効果を発揮します。

一方で、従来型の詐欺を見抜くための指標が不要になったわけではありません。依然として初期段階の防御策として有効であり、多くの従来型詐欺も依然として存在します。伝統的な特徴は第一歩として役立つものの、それだけでは十分ではない状況が増えつつあります。

1. メッセージに返信する前に

   たとえ見覚えのあるメッセージであっても、送信者の身元を確認することが不可欠です。また、「確認」や「緊急」といった体裁で送られてくる不要な要求には返信しないようにしましょう。リンクが含まれていないメッセージでも、文脈にそぐわない場合には注意が必要です。不明または信用できない送信者とのやり取りは避けるべきです。

2.  クリックやスキャンをする前に

   QRコードを使用する際は、信頼性の高いQRスキャナーを活用して事前に内容を確認し、正規のコードに上書きされた偽のコードでないことを必ず確認してください。チラシや駐車場、飲食店のテーブル、その他不特定多数が利用可能な場所に設置されたQRコードはスキャンしないようにしましょう。また、DM通知に含まれるログインや支払いリンクもクリックしないように心がけましょう。

3. アカウントを設定する際

   各アカウントには固有のパスワードを使用し、パスワード管理ツールの利用も検討しましょう。可能であれば二要素認証（2FA）を有効にして、追加のセキュリティ層を構築することが重要です。

4. 個人情報を共有する前に

   認証コード、パスワード、二要素認証（2FA）の承認は、誰にも共有しないでください。政府関連の通知は、受け取ったメッセージに頼るのではなく、公式ウェブサイトで確認するようにしましょう。銀行やサービスを提供する事業者に連絡する場合は、メッセージ内の番号ではなく、公式ウェブサイトに記載されている電話番号を使用してください。

5. 顔や声を信用する前に

   「緊急」と称して、家族を名乗り金銭を要求する突然の電話には注意が必要です。そのような電話を受けた場合は、一度切断し、確認済みの電話番号を使って折り返し連絡してください。外見や声だけを信じてはいけません。ディープフェイク技術により、どちらもまるで本物のように再現される可能性があります。

6. ソーシャルメディアのプライバシー設定を確認

   重要なアカウントには二要素認証（2FA）を有効にし、強くて固有のパスワードを使用してください。新しいログイン、パスワード変更、アカウント復旧の試みの際に通知を受け取る設定も有効にしましょう。

7. McAfeeでさらに保護を強化

   マカフィー®リブセーフ、トータルプロテクション、McAfee+ は、リンクが見えない場合でも危険なテキストメッセージ（SMS）を検出して安全を守ります。個人情報の流出や認証情報の漏洩も監視し、さまざまな機能で高度化する詐欺の脅威からも保護します。

2026年に気を付けるべき行動

• リンクがないから安全だと思わないこと。リンクなしの詐欺も一般的になっています。

• 「緊急」というだけで行動しないこと。焦らせるのが詐欺の手口です。

• 見知らぬQRコードをスキャンしないこと。特に公共の場では注意。

• 発信者の番号や写真、声を信用しないこと。すべて偽物である可能性があります。

• メッセージ内のアカウント通知のリンクをクリックしないこと。公式サイトに直接アクセスしましょう。

• ログイン情報や認証コードを共有しないこと。

• アカウント間でパスワードを使い回さないこと。1つの情報漏えいで全てのアカウントが危険にさらされます。

• 「自分は騙されない」と過信しないこと。現代の詐欺は、その自信を狙って仕組まれています。

レポートの全文は以下のリンクからもご確認いただけます。（英語のみ）

https://www.mcafee.com/blogs/wp-content/uploads/2026/01/Scamiverse.pdf 

「2026年度版 詐欺の世界(State of the Scamiverse)」調査方法

2025年11月に、アメリカ、イギリス、オーストラリア、ドイツ、フランス、日本、インドの18歳以上の7,592人を対象に、オンライン詐欺およびそれが消費者に与える影響に関する調査を実施しました。

マカフィーについて

マカフィーは、消費者と中小企業向けのオンライン保護のグローバル・リーダーです。デバイスだけでなく人を保護することにも重点を置くマカフィーの消費者および中小企業向けのソリューションは、常時オンラインの世界におけるユーザーのニーズに適応し、適切なタイミングとセキュリティで家族、地域社会、ビジネスを保護する、総合的で直感的なソリューションを通じて、ユーザーが安全に生活できるよう支援します。

詳細情報については、https://www.mcafee.com/ja-jp/index.html をご覧ください。

*McAfee、マカフィー、McAfeeのロゴは、米国およびその他の国における米国法人 McAfee, LLCまたはその関連会社の商標又は登録商標です。