Home / メールセキュリティ / 進化するメールフィッシング攻撃:既存手法の再利用と巧妙化の実態

進化するメールフィッシング攻撃:既存手法の再利用と巧妙化の実態

2025年10月30日

出典: Securelist – https://securelist.com/email-phishing-techniques-2025/117801/

原題: The evolving landscape of email phishing attacks: how threat actors are reusing and refining established techniques

進化するメールフィッシング攻撃:既存手法の再利用と高度化の現実

サイバー脅威は常に進化しており、メールフィッシングも例外ではありません。攻撃者はセキュリティフィルターを回避し、ユーザーの警戒心を突破するために新たな手法を次々と生み出しています。一方で、過去に使われた古典的な手法も姿を消すどころか、再び活用されるケースが増えています。本記事では、2025年に確認されたフィッシング攻撃の最新トレンドと技術的背景を解説します。

主要なポイント

  • PDFファイルの活用:QRコードやパスワード保護の導入
    フィッシングメールに添付されるPDFファイルは増加傾向にあり、従来のリンク埋め込みからQRコードの利用へと進化しています。QRコードはリンクを隠しやすく、スマートフォンでのアクセスを促すため、PCよりもセキュリティが甘い環境を狙う狙いがあります。また、PDF自体にパスワードを設定し、パスワードを別メールで送る手法も登場。これにより自動解析が困難になるだけでなく、受信者に対して「高いセキュリティ基準を守っている」という印象を与え、信頼感を醸成しています。
  • カレンダーイベントを利用したフィッシングの復活
    2010年代後半に流行したカレンダー招待を利用したスパム攻撃が2025年に再び活発化しています。メール本文は空でも、カレンダーイベントの説明欄にフィッシングリンクが隠されており、ユーザーがイベントを承諾するとリマインダー通知を通じて再度リンクに誘導されます。特にB2Bのオフィスワーカーを狙ったターゲット型攻撃として利用されている点が特徴です。
  • アカウント検証を装った巧妙なフィッシングサイト
    シンプルなメールから始まり、CAPTCHA認証を複数段階で設けることでセキュリティボットの検知を回避しつつ、Googleのログイン画面を模したページでユーザーのメールアドレスの有無を判別。正規のメールアドレスが入力されるとパスワード入力画面に進み、誤ったパスワードでも「無効」と表示し、再度ログイン画面に戻すことで複数の認証情報を収集します。
  • 多要素認証(MFA)を狙う高度なフィッシング
    MFAを導入しているユーザーを騙すため、正規サービスのAPIと連携しながらリアルタイムで認証情報を検証するフィッシングサイトが登場。例えば、pCloudのサポートチケット更新を装い、ユーザーのメールアドレスやワンタイムパスワード(OTP)を盗み取ります。サイトは本物そっくりに作られており、被害者が気付くのが遅れる恐れがあります。

技術的な詳細や背景情報

メールフィッシング攻撃は、単純なリンク誘導から複数の技術を組み合わせた複雑な手法へと進化しています。PDF内のQRコードは、メール本文のリンクよりも検知が難しく、スマートフォンでのアクセスを促すことでセキュリティ対策が弱い環境を狙います。パスワード保護されたPDFは、添付ファイルの自動解析を妨げるだけでなく、受信者に安心感を与える心理的効果も狙っています。

カレンダーイベントを利用した攻撃は、ユーザーがカレンダーアプリの通知を信用しやすい点を悪用しています。特にビジネスシーンでの利用が多いカレンダー機能を標的にすることで、被害拡大を狙っています。

CAPTCHAを複数段階で設置し、ボット検知を回避する手法は、フィッシングサイトの検出を難しくします。また、正規サービスのAPIと連携することで、入力された情報の正当性をリアルタイムで確認し、ユーザーの疑念を減らす巧妙な仕組みが導入されています。

影響や重要性

これらの進化したフィッシング手法は、従来のセキュリティ対策だけでは防ぎきれないリスクを孕んでいます。特に、パスワードだけでなく多要素認証の情報まで盗まれるケースが増加しており、被害者のアカウント乗っ取りや情報漏洩の危険性が高まっています。

企業においては、従業員への定期的なセキュリティ教育が不可欠です。また、メールサーバーのセキュリティ対策を強化し、最新の攻撃手法を検知・防御できるソリューションの導入が求められます。例えば、カスペルスキーのメールサーバー向けセキュリティ製品は、今回紹介した攻撃手法を検知・ブロックする機能を備えています。

まとめ

メールフィッシング攻撃は、既存の手法を再利用しつつ、より巧妙で検知困難な技術を取り入れて進化しています。PDF内のQRコードやパスワード保護、カレンダーイベントの悪用、CAPTCHAを用いた検知回避、多要素認証を狙う高度なフィッシングサイトなど、多様な手口が確認されています。

ユーザーは不審な添付ファイルやリンクに注意し、アクセス前にURLの正当性を必ず確認することが重要です。企業は従業員教育と技術的対策を両輪で強化し、最新の脅威に備える必要があります。

タグ付け処理あり:
security-user

Related Posts

ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発関与
2025年11月5日
オーククリフのカード詐欺団を率いるネイサン・マイケルの犯罪手口
2025年11月5日
英国の詐欺スパム業者に20万ポンドの罰金、借金者狙い約100万通送信
2025年11月4日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です