2025-2026年フィッシング攻撃のトレンド:企業セキュリティチームが知るべき7つの変化
正直なところ、2024年のフィッシング攻撃に関するデータには、私たちのチームも驚きました。
APWGの統計によると、2024年第1四半期だけで96万件を超えるフィッシング攻撃が記録され、過去3年間の最高記録を更新しました。さらに厄介なことに、フィッシングによる世界的な経済損失は174億ドルにまで急増しており、前年比で45%も増加しています。
これは決して大げさな話ではありません。私たちがクライアントのセキュリティインシデント対応を行う中で、攻撃者が明らかに巧妙化し、より忍耐強くなっていることを肌で感じています。
では、2025〜2026年はどうなるのでしょうか?私たちの観察と業界データに基づき、すべてのセキュリティチームが注目すべきトレンドをいくつかご紹介します。
1. AI生成フィッシングメールはもはや実験段階ではない
ChatGPTのリリース以降、フィッシングメールの件数は 1265% 増加しました。この数字は複数のセキュリティベンダーのモニタリングデータに基づくものであり、私たちが作り上げたものではありません。
以前は、フィッシングメールを見分ける簡単な方法がありました。文法ミスを探すことです。不自然な日本語や英語、おかしな呼びかけ、明らかな機械翻訳の痕跡——これらはかつてフィッシングメールの定番でした。
しかし、今は違います。
最近私たちが分析した国内金融機関を標的としたフィッシングメール群は、文章表現が流暢で自然、フォーマットもきちんとしており、署名欄の役職情報まで丁寧に作り込まれていました。送信元ドメインに問題がなければ、内容だけで真偽を判断するのはほぼ不可能でした。
攻撃者がAIを使って行っていることには、以下が含まれます:
- ターゲット企業の公開情報をもとにメール内容をカスタマイズ
- 特定の経営幹部のライティングスタイルを模倣
- 多言語バージョンを自動生成
- 部門ごとに文面を調整
私たちからの提案:もう従業員の「目視での判別」だけに頼るのはやめましょう。ドメイン監視 + 送信者認証 + コンテンツ分析による多層防御を導入すべきです。
2. QRコードフィッシング(Quishing)がアジア太平洋地域で急増
このトレンドは特に日本を含むアジア地域で顕著です。
考えてみてください。私たちは毎日何回QRコードをスキャンしているでしょうか?決済、注文、友達追加、フォーム入力……QRコードは生活の一部となっており、自然と警戒心が低くなっています。
攻撃者はこの点を突いて、大規模なQRコードフィッシングを展開し始めています。よくある手口には以下のようなものがあります:
偽の駐車違反通知や配達通知 車に貼り付けたり、荷物に紛れ込ませたりして、スキャンすると偽の決済ページにリダイレクトされます。
会議室の「Wi-Fiパスワード」 コワーキングスペースが特に狙われやすいです。攻撃者が偽のWi-Fi用QRコードを貼り、スキャンすると実際にはマルウェアのダウンロードやフィッシングページへの遷移が行われます。
社内の偽通知 IT部門を装った「システムアップデート通知」で、従業員にQRコードをスキャンさせて「パスワードを更新」させます。
QRコードフィッシングが防ぎにくい理由は、多くのセキュリティゲートウェイがメール本文内のリンクしか検査しない一方で、QRコードは画像であるため、従来の検知手段では識別できないことにあります。
私たちからの提案:セキュリティ意識向上トレーニングにQRコードのシナリオを明確に組み込みましょう。技術面では、QRコードの内容を解析できるメールゲートウェイの導入を検討してください。
3. MFAはもはや万能薬ではない
2年前、多くの企業は多要素認証を導入すれば安心だと考えていました。
現実は厳しいものです。私たちの観察によると、MFAをバイパスする攻撃は2024年に 146% 増加しました。攻撃者の主な手法はAiTM(Adversary-in-the-Middle、中間者攻撃)です。
仕組み自体はそれほど複雑ではありません。攻撃者がプロキシサーバーを構築し、被害者がフィッシングページでアカウント情報を入力してMFA認証を完了すると、攻撃者がリアルタイムでSession Cookieを傍受します。このCookieがあれば、パスワードやMFAコードを知らなくても、被害者のアカウントに直接ログインできてしまいます。
Microsoft、Googleなどの大手企業のアカウントでもバイパスされた事例があります。
私たちからの提案:
- デバイスベースの認証(例:FIDO2キー)を有効にする
- 異常なログイン行動を監視する(新しいデバイス、通常と異なる地域からのログインなど)
- アクティブなSessionを定期的にクリーンアップする
4. モバイルが主戦場に
2024年、モバイルデバイスを標的としたフィッシング攻撃はデスクトップを 25〜40% 上回りました。
このトレンドは続くでしょう。理由はシンプルです:
- スマートフォンの画面は小さく、URLを細かく確認しにくい
- SMSやメッセージアプリはメールより信頼されやすい
- モバイル端末のセキュリティ対策は企業のデスクトップ環境より一般的に弱い
攻撃者の新たな手口には以下が含まれます:
- 偽のアプリストアページで悪意あるアプリのダウンロードを誘導
- SMSフィッシング(Smishing)と偽の銀行・政府サイトの組み合わせ
- WhatsApp、LINEなどを通じたフィッシングリンクの拡散
私たちからの提案:モバイルデバイスを企業のセキュリティ管理の対象に含めましょう。BYOD環境では、最低限、従業員に企業セキュリティアプリのインストールを求めるべきです。
5. サプライチェーンフィッシングがより巧妙に
攻撃者は「迂回ルート」を使い始めています。
大企業を直接攻撃するのが難しくなったため、サプライヤー、外部委託チーム、パートナー企業にターゲットを移しています。まずサプライチェーンの弱い環節を突破し、正当なビジネスメールを踏み台にして標的企業への攻撃を仕掛けるのです。
この攻撃の恐ろしいところは、メールが知り合いや取引のある会社から、実際のビジネス用アカウントで送られてくることです。従業員がそれを疑う理由があるでしょうか?
私たちが対応した事例では、攻撃者がまずある企業の外部委託先の会計事務所に侵入し、その会計事務所の名義で顧客に「請求書確認」メールを送信しました。リンクは精巧に作られたOneDriveの偽ページに遷移し、Microsoftアカウントの認証情報の入力を誘導するものでした。
私たちからの提案:
- 高リスクな操作(支払い先の変更、システム権限の変更)には人的確認プロセスを追加する
- サプライヤーとのセキュリティ連絡体制を構築し、不審な状況を迅速に確認できるようにする
6. ディープフェイクがソーシャルエンジニアリング攻撃に活用され始めている
ビデオ会議が新たな攻撃の入口になっています。
Deepfakeを使った大規模フィッシングはまだ一般的ではありませんが、標的型攻撃の事例はすでにいくつか確認されています。攻撃者はAIで経営幹部の映像や音声を生成し、ビデオ会議でなりすましたり、偽の音声メッセージで緊急送金を要求したりしています。
香港のある企業が2億香港ドルを騙し取られた事例はご存知の方も多いでしょう。攻撃者がDeepfakeで複数の経営幹部のビデオ会議映像を偽造し、財務担当者を見事に欺きました。
この種の攻撃のコストは急速に低下しています。以前は信憑性の高いDeepfake動画を作るには大量のサンプルと計算リソースが必要でしたが、今では公開されている数本の動画素材だけで十分です。
私たちからの提案:資金移動や機密操作に関わるビデオ会議のリクエストについては、追加の本人確認メカニズム(例:別のチャネルでの確認)を設けましょう。
7. PhaaS(Phishing-as-a-Service)が攻撃の敷居を下げている
ダークウェブ上のフィッシングツールキットはますます成熟し、価格も下がり続けています。
わずか数百ドルで、以下を含む完全なフィッシングキットが手に入ります:
- 主要サービスの偽装ページテンプレート
- 認証情報の自動収集・整理
- CAPTCHAやセキュリティ検知を回避するツール
- さらには「アフターサポート」まで
つまり、フィッシング攻撃を仕掛けるのにもはや技術力は不要です。犯罪の動機さえあれば、誰でも簡単に始められます。
攻撃者の数が増え、攻撃の質も向上している——これは最悪の組み合わせです。
企業はどう対応すべきか?
ここまでトレンドについてお話ししてきましたが、最後に対策について考えましょう。
第一に、従来の手法が通用しなくなっていることを認める
メールゲートウェイ+セキュリティ意識向上トレーニングだけではもう十分ではありません。より能動的な防御手段が必要です:
- ドメイン監視を導入し、偽サイトを早期に発見する
- ハニーポット技術で攻撃者を追跡する
- 脅威インテリジェンスのチャネルを確立し、自社業界を標的とした攻撃の動向を把握する
第二に、対応時間を短縮する
フィッシングサイトの平均存続時間はわずか24〜48時間ですが、もたらされる被害は長期に及ぶ可能性があります。脅威の発見から対処完了までの時間をできる限り短くすること。自動化がカギとなります。
第三に、防御をサプライチェーンまで拡張する
サプライヤーのセキュリティ能力を評価し、契約にセキュリティ条項を盛り込み、緊急連絡体制を構築しましょう。
第四に、従業員のセキュリティ意識への投資を継続する
年に一度のトレーニングではなく、継続的かつシナリオベースの演習を行いましょう。従業員がフィッシング攻撃がどのようなものか、身をもって体験できるようにすることが重要です。
フィッシング攻撃がなくなることはありません。進化し続けるだけです。防御する側の私たちにできることは、攻撃者よりも速く学び、適応することです。
より能動的なアンチフィッシングソリューションをお探しなら、OpenBaitのScoutモジュールをぜひご覧ください。フィッシングサイトが公開された瞬間にそれを検知するお手伝いをします。
ご質問がありましたら、お気軽にお問い合わせください:[email protected]