出典: Securelist – https://securelist.com/email-phishing-techniques-2025/117801/
原題: The evolving landscape of email phishing attacks: how threat actors are reusing and refining established techniques
進化するメールフィッシング攻撃:既存手法の再利用と高度化の最新動向
サイバー脅威は日々進化しており、メールフィッシングも例外ではありません。攻撃者はセキュリティフィルターを回避し、ユーザーの警戒心を突破するために新たな手法を次々と生み出しています。一方で、過去に使われた手法も消え去ることなく、むしろ再び活用されるケースも増えています。この記事では、2025年に見られる最新のフィッシング攻撃の特徴と技術的背景を解説します。
主要なポイント
- PDFファイルの活用:QRコードとパスワード保護
フィッシングメールに添付されるPDFファイルの中で、従来のリンクに代わりQRコードを用いる手法が増加。QRコードはメール本文よりも検知が難しく、ユーザーをスマートフォンでリンクを開かせる狙いがあります。また、PDFをパスワードで保護し、パスワードを別メールで送ることで自動解析を困難にし、正当性を装う効果もあります。 - カレンダー通知を利用したフィッシングの復活
かつて2010年代後半に流行したカレンダーイベントを利用したスパム手法が2025年に再び活用されています。メールに添付されたカレンダーイベントにフィッシングリンクを隠し、ユーザーがイベントを承認するとリマインダー通知を通じてリンクに誘導される仕組みです。特にB2Bのオフィスワーカーを狙った攻撃が増加しています。 - アカウント検証を装う巧妙なフィッシングサイト
シンプルなメールから始まる攻撃で、CAPTCHAを用いた複数の検証ページを経て、Googleのログイン画面を模したフィッシングサイトへ誘導。入力されたメールアドレスの有効性をリアルタイムで判定し、正規のアドレスであればパスワード入力画面へ進ませ、どの入力も攻撃者に送信される仕組みです。 - MFA(多要素認証)回避を狙う高度な手口
多要素認証を突破するため、正規サービスとAPI連携しながらユーザーの入力をリアルタイムで検証するフィッシングサイトが登場。例えば、クラウドストレージサービスpCloudを装い、偽サイトでOTP(ワンタイムパスワード)を受け取りつつ正規サイトへ転送し、最終的にアカウントを乗っ取る手法です。
技術的な詳細や背景情報
フィッシング攻撃は単なるリンクの貼り付けから脱却し、多層的な回避技術を駆使しています。PDF内のQRコードは従来のURLよりも検知が難しく、スマートフォン利用を促すことで企業PCのセキュリティを回避します。パスワード保護されたPDFは自動解析ツールのスキャンを妨げ、別メールでのパスワード送付はユーザーに「安全性が高い」と誤認させます。
カレンダーイベントを利用した攻撃は、ユーザーがメール本文を開かなくともカレンダー通知でリンクを受け取るため、従来のメールフィルターを回避可能です。さらに、CAPTCHAを用いた検証ページは自動スキャンツールを欺き、攻撃サイトの検出を遅らせます。
MFA回避のためのAPI連携型フィッシングサイトは、ユーザーの入力をリアルタイムで正規サービスと照合し、誤入力時のエラーメッセージも本物そっくりに再現。これによりユーザーの疑念を減らし、攻撃成功率を高めています。
影響や重要性
これらの進化したフィッシング手法は、従来のセキュリティ対策やユーザー教育だけでは防ぎきれないリスクを孕んでいます。特に、パスワード保護された添付ファイルやカレンダーイベントを利用した攻撃は検知が難しく、企業の情報漏洩やアカウント乗っ取りの被害が拡大する恐れがあります。
また、多要素認証を突破する巧妙な手法は、MFAを導入している組織でも安心できない現実を示しています。攻撃者は常に防御の隙を突くため、最新の攻撃動向を把握し、対策を継続的に更新する必要があります。
まとめ
メールフィッシング攻撃は、QRコードやパスワード保護付きPDF、カレンダー通知、CAPTCHAによる検証ページ、多要素認証回避など、多様な技術を組み合わせて高度化しています。ユーザーは不審な添付ファイルやリンクに注意し、アクセス先のURLを必ず確認する習慣をつけることが重要です。
企業は従業員に対する定期的なセキュリティ教育を実施し、最新の攻撃手法に対応可能なメールセキュリティソリューションを導入することが求められます。例えば、Kaspersky Security for Mail Serverは本記事で紹介した攻撃手法を検知・ブロックできるため、効果的な防御策となるでしょう。
進化し続けるフィッシング攻撃に対抗するためには、技術的対策とユーザー教育の両輪が不可欠です。常に警戒心を持ち、最新情報をアップデートし続けることが安全な情報環境の維持につながります。
