出典: Securelist – https://securelist.com/email-phishing-techniques-2025/117801/
原題: The evolving landscape of email phishing attacks: how threat actors are reusing and refining established techniques
進化するメールフィッシング攻撃:PDFやカレンダーを悪用する新手法の実態
サイバー攻撃は日々巧妙化しており、特にメールを利用したフィッシング攻撃は依然として大きな脅威です。近年では、PDFファイルやカレンダー通知といった一見安全に見える手段を悪用し、ユーザーの警戒心をかいくぐる新たな技術が登場しています。本記事では、2025年に観測された最新の攻撃手法とその背景、そして対策について解説します。
主要なポイント
- PDFファイルの巧妙な利用:フィッシングリンクを直接含む代わりに、QRコードを埋め込んだり、パスワード保護されたPDFを添付する手法が増加。これにより自動検知を回避し、ユーザーの信頼を得やすくしている。
- カレンダー通知を使ったフィッシングの復活:かつて流行したカレンダーイベントを利用した攻撃が、B2B向けに再び活用されている。ユーザーがイベントを承諾すると、リマインダー経由でフィッシングサイトへ誘導されるリスクがある。
- 高度なアカウント検証ページの導入:CAPTCHAを用いた複数段階の検証ページを設け、セキュリティボットの検知を回避。さらに、入力されたメールアドレスの有効性をリアルタイムで判別し、ユーザーを巧みに誘導する。
- 多要素認証(MFA)を狙う巧妙なフィッシング:正規サービスと見分けがつかない偽サイトを構築し、OTP(ワンタイムパスワード)も含めた認証情報を盗み取る手口が増加。API連携で本物のサービスと通信し、ユーザーの疑念を払拭する。
技術的な詳細や背景情報
PDFファイルは長らくフィッシングの媒介として使われてきましたが、最近ではQRコードを埋め込むことで、メール本文に直接リンクを記載するよりも検知を回避しやすくなっています。QRコードはモバイル端末で読み取られることを想定しており、職場のPCよりもセキュリティが甘いスマートフォンを標的にする狙いがあります。また、パスワード保護されたPDFは、添付ファイルの自動スキャンを困難にし、別メールでパスワードを送ることで攻撃の正当性を装います。
カレンダー通知を悪用した攻撃は、メールに添付されたカレンダーイベントが自動的にユーザーのカレンダーに登録される仕組みを利用します。イベントの説明欄にフィッシングリンクを隠し、リマインダー通知でユーザーを誘導。2010年代後半に流行した手法ですが、2025年にはB2B向けにターゲットを絞った形で復活しています。
アカウント検証の段階では、CAPTCHAを用いて自動化されたセキュリティボットを排除し、実際の人間のみをフィッシングサイトに誘導します。さらに、Googleのサインインフォームを模したページでメールアドレスの有効性を判別し、有効なアドレスにはパスワード入力を促しますが、どの入力でも「パスワードが無効」というメッセージを返すことでユーザーの注意をそらし、複数の情報を収集します。
多要素認証を回避するためのフィッシングサイトは、正規サービスのAPIと連携してリアルタイムで認証情報の正誤を判定します。これにより、ユーザーは本物のサービスとやり取りしていると錯覚し、OTPやパスワードを入力してしまいます。偽サイトはオリジナルのデザインを忠実に再現し、ユーザーが疑念を抱くのを遅らせる高度な作りとなっています。
影響や重要性
これらの進化したフィッシング手法は、従来のセキュリティ対策をすり抜け、ユーザーの認識を巧みに操作するため、被害拡大のリスクが高まっています。特に多要素認証を突破する手口は、企業や個人の重要なアカウント情報を奪取し、不正アクセスや情報漏洩につながる恐れがあります。また、PDFやカレンダー通知の利用は、ユーザーが安全だと誤認しやすい点で危険です。
組織においては、従業員のセキュリティ意識向上と最新の攻撃手法に対応したトレーニングが不可欠です。メールサーバーのセキュリティ強化も重要であり、例えばカスペルスキー セキュリティ フォー メールサーバーのような高度な検知機能を持つソリューションの導入が推奨されます。
まとめ
メールフィッシング攻撃は、PDFのQRコード利用やパスワード保護、カレンダー通知の悪用、CAPTCHAを用いた検証ページ、多要素認証を騙す巧妙な偽サイトなど、多様かつ高度な技術を駆使して進化しています。ユーザーは不審な添付ファイルやリンクに注意し、認証情報入力前にはURLの正当性を必ず確認することが重要です。組織も定期的な教育と最新のセキュリティ対策を講じ、被害を未然に防ぎましょう。
