出典: Securelist – https://securelist.com/email-phishing-techniques-2025/117801/
原題: The evolving landscape of email phishing attacks: how threat actors are reusing and refining established techniques
進化するメールフィッシング攻撃:古典的手法の再利用と高度化の実態
サイバー脅威は日々進化しており、メールフィッシング攻撃も例外ではありません。攻撃者はセキュリティフィルターを回避し、ユーザーの警戒心を突破するために新たな手法を次々と開発しています。一方で、過去に使われた古典的な手法も姿を消すどころか、再び活用されているのが現状です。本記事では、2025年に確認された最新のフィッシング攻撃の特徴と技術的背景を解説します。
主要なポイント
- PDFファイルの活用:QRコードとパスワード保護
フィッシングメールに添付されるPDFファイルが増加しており、従来のリンク埋め込みからQRコードの利用へと進化しています。QRコードはメール本文に直接記載するよりも偽装が容易で、スマートフォンでのアクセスを促す狙いがあります。また、PDFにパスワードを設定し、パスワードを別メールで送る手法も登場。これにより自動スキャンが困難になり、受信者には正当なセキュリティ対策のように見えるため信頼を得やすくなっています。 - カレンダー通知を利用したフィッシング
2010年代後半に流行したカレンダーイベントを利用したスパム手法が2025年に復活。メール本文が空でも、カレンダーの予定詳細にフィッシングリンクを隠し、ユーザーが予定を承諾するとリマインダー通知で再度リンクに誘導されます。今回は主にB2B向けで、オフィスワーカーを標的にしています。 - アカウント検証を装う多段階フィッシングサイト
シンプルなメールから始まり、CAPTCHA認証を複数段階で要求するフィッシングサイトが確認されています。これによりセキュリティボットの検出を回避しつつ、Googleのログインフォームを模倣したページで有効なメールアドレスを判別。正しいメールアドレスを入力するとパスワードの誤入力を繰り返させることで、複数の認証情報を盗み取る巧妙な手口です。 - MFA(多要素認証)回避を狙った高度なフィッシング
多要素認証を突破するため、正規サービスとAPI連携しながらリアルタイムで認証情報を盗むフィッシングサイトが出現。例えば、クラウドストレージpCloudを装い、正規のOTP(ワンタイムパスワード)入力フォームを偽装。ユーザーが入力した情報は即座に本物のサービスに送信され、認証を通過したかのように見せかけてアカウントを乗っ取ります。
技術的な詳細や背景情報
PDFファイルにQRコードを埋め込む手法は、従来のハイパーリンクよりも検知が難しく、スマートフォンでのアクセスを誘導することで企業のセキュリティ対策を回避します。パスワード保護されたPDFは、添付ファイルの自動解析を妨げるため、アンチウイルスやメールゲートウェイの検出率を下げる効果があります。
カレンダー通知の利用は、ユーザーが予定を承諾することでリンクがカレンダーアプリに登録され、リマインダー通知で再度フィッシングサイトへ誘導される点が特徴です。これにより、ユーザーの警戒心が薄れたタイミングで攻撃が仕掛けられます。
多段階認証を装うフィッシングサイトは、CAPTCHAを用いて自動検出を回避し、正規のログインフォームを模倣。メールアドレスの有無をリアルタイムで判別し、正しい情報を入力させることで被害を拡大します。さらに、多要素認証のコードもリアルタイムで取得し、攻撃者がアカウントにアクセス可能となります。
影響や重要性
これらの進化したフィッシング手法は、従来のセキュリティ対策やユーザーの警戒心を巧みにかいくぐるため、被害が拡大するリスクが高まっています。特に多要素認証を突破する手口は、セキュリティの最後の砦とされるMFAの信頼性を揺るがす深刻な問題です。
企業においては、従業員への定期的なセキュリティ教育が不可欠であり、最新の攻撃手法を理解させることが重要です。また、メールサーバーのセキュリティ対策を強化し、添付ファイルの検査やリンクの安全性確認を自動化することも求められます。
まとめ
2025年のメールフィッシング攻撃は、古典的な手法の再利用と新たな技術の組み合わせによって高度化しています。PDF内のQRコードやパスワード保護、カレンダー通知の悪用、多段階認証を装うサイト、そして多要素認証の回避といった多様な手口が確認されました。
ユーザーは不審な添付ファイルやリンクに慎重に対応し、アクセス前にURLの正当性を必ず確認することが重要です。企業は従業員教育とともに、信頼性の高いメールセキュリティソリューションを導入し、これらの脅威に備える必要があります。
