出典: Securelist – https://securelist.com/email-phishing-techniques-2025/117801/
原題: The evolving landscape of email phishing attacks: how threat actors are reusing and refining established techniques
進化するメールフィッシング攻撃の現状:脅威アクターによる既存手法の再利用と高度化
サイバー脅威は常に進化しており、メールフィッシング攻撃も例外ではありません。攻撃者はセキュリティフィルターを回避し、ユーザーの警戒心をすり抜けるために新たな手法を次々と生み出しています。一方で、過去に使われた手法や忘れ去られた戦術も再び活用されており、2025年にはこれらが新たな形で復活しています。
主要なポイント
- PDFファイルの活用:QRコードとパスワード保護
フィッシングメールに添付されるPDFファイルは増加傾向にあり、従来のリンク埋め込みからQRコードの利用へと進化しています。QRコードはメール本文に直接リンクを記載するよりも目立ちにくく、スマートフォンでの閲覧を促すことでセキュリティ対策の薄い環境を狙います。また、PDFファイルをパスワードで保護し、パスワードを別メールで送る手法も登場。これにより自動解析が困難になるだけでなく、受信者に安全性の高いファイルと誤認させる効果もあります。 - カレンダー招待を利用したフィッシング
2010年代後半に流行したカレンダーイベントを利用したスパム手法が2025年に復活。メール本文は空でも、カレンダーイベントの説明欄にフィッシングリンクを隠し、ユーザーがイベントを承諾するとリマインダーで再度リンクを提示します。今回は主にB2B向けでオフィスワーカーを狙った巧妙な攻撃が増加しています。 - アカウント検証を装った多段階フィッシング
単純なメールに見えても、リンク先はCAPTCHA認証を複数段階で要求するなどボット検知を回避する仕組みを備えています。最終的にGoogleのログイン画面を模したページに誘導し、入力されたメールアドレスの有効性をリアルタイムで判定。正規のアドレスを入力するとパスワード入力画面に進み、誤ったパスワードでも再入力を促すため、複数の認証情報が攻撃者に渡ってしまいます。 - MFA(多要素認証)回避の高度なフィッシング
多要素認証が普及する中、攻撃者はワンタイムパスコード(OTP)も盗み取ろうとしています。特にpCloudのサポートを装ったメールでは、正規サイトそっくりの偽サイトに誘導し、APIを介して入力情報の真偽をリアルタイムで検証。ユーザーがOTPを入力すると攻撃者はそれを取得し、最終的に本物のサービスにアクセス可能な状態を作り出します。
技術的な詳細や背景情報
QRコードは視覚的にリンクを隠せるため、従来のURL検出技術を回避しやすい特徴があります。パスワード保護されたPDFは、メールセキュリティソフトが添付ファイルを自動解析する際の障壁となり、悪意あるコードやリンクの検出を遅らせます。
カレンダー招待の悪用は、メールクライアントやカレンダーアプリの機能を逆手に取ったもので、ユーザーが気づかないうちにフィッシングリンクを繰り返し通知させる点が巧妙です。
CAPTCHAは通常、ボットと人間を区別するための仕組みですが、攻撃者はこれを利用して自動解析ツールを回避し、より多くのユーザーを騙すことに成功しています。
MFA回避の手法は「リレー攻撃」と呼ばれ、偽サイトがユーザーの入力をリアルタイムで正規サービスに送信し、認証を通過させる高度な技術です。これにより、単純なパスワード盗用を超えた被害が発生します。
影響や重要性
これらの進化したフィッシング手法は、企業や個人の情報漏洩リスクを大幅に高めます。特にB2B環境を狙った攻撃は、業務の継続性や機密情報の保護に深刻な影響を及ぼす可能性があります。また、多要素認証を突破されると、従来のセキュリティ対策が無効化されるため、被害の拡大が懸念されます。
ユーザーが攻撃の手口を理解し、疑わしいメールや添付ファイルに慎重になることが不可欠です。企業は定期的なセキュリティ教育とともに、メールサーバーの高度な防御ソリューション導入を検討すべきです。
まとめ
2025年のメールフィッシング攻撃は、過去の手法を再利用しつつも、技術的に高度化・巧妙化しています。QRコード付きのPDFやパスワード保護ファイル、カレンダー招待の悪用、多段階認証ページ、MFA回避のリレー攻撃など、多様な手口が確認されています。
ユーザーは不審な添付ファイルやリンクに注意し、URLの正当性を必ず確認する習慣をつけましょう。企業は最新の攻撃手法に対応したセキュリティ対策と教育を強化し、被害を未然に防ぐことが求められます。
