Home / サイバー攻撃手法 / 2025年最新:PDFとQRコードを駆使した進化するメールフィッシング攻撃

2025年最新:PDFとQRコードを駆使した進化するメールフィッシング攻撃

2025年11月2日

出典: Securelist – https://securelist.com/email-phishing-techniques-2025/117801/

原題: The evolving landscape of email phishing attacks: how threat actors are reusing and refining established techniques

2025年最新動向:PDFとQRコードを活用した進化するメールフィッシング攻撃

サイバー脅威は日々進化しており、特にメールを使ったフィッシング攻撃も新たな手口が次々と登場しています。2025年には、PDFファイル内のQRコードやパスワード保護、カレンダー通知の悪用など、従来の手法を刷新した巧妙な攻撃が増加しています。本記事では、最新のメールフィッシング攻撃の特徴とその背景、対策について解説します。

主要なポイント

  • PDFファイル内のQRコード活用:従来のメール本文に直接リンクを記載する手法から進化し、PDF添付ファイル内にQRコードを埋め込むことで、ユーザーをスマートフォンに誘導し、PCのセキュリティを回避する攻撃が増加しています。
  • パスワード保護されたPDFの利用:添付PDFにパスワードを設定し、パスワードを別メールで送ることで自動スキャンを困難にし、ユーザーに安全性を誤認させる手口が見られます。
  • カレンダー通知を悪用したフィッシング:メールにカレンダーイベントを添付し、イベント説明内にフィッシングリンクを隠す古典的な手法がB2B向けに復活。ユーザーがカレンダー通知を通じて不正サイトに誘導されるリスクがあります。
  • CAPTCHAを用いたボット回避とアカウント検証:シンプルなメールから始まり、CAPTCHA認証を複数段階で設けることでセキュリティボットを回避し、正規のメールアドレスかどうかを確認する巧妙なフィッシングサイトが登場しています。
  • MFA(多要素認証)回避の高度な詐称サイト:正規サービスのAPIと連携し、ユーザーの入力情報をリアルタイムで検証しながらOTP(ワンタイムパスワード)を盗み取る精巧なフィッシングサイトが確認されています。

技術的な詳細や背景情報

PDFファイルは従来、リンクを埋め込むだけの攻撃媒体でしたが、QRコードの導入により、ユーザーはスマートフォンで読み取ることを促されます。スマホは企業のPCよりもセキュリティ対策が甘い場合が多く、攻撃者にとって狙いやすい環境となっています。

また、パスワード保護されたPDFは、セキュリティソフトの自動解析を妨げる効果があり、攻撃メールの検知率を下げます。パスワードを別メールで送る手法は、ユーザーに「安全なファイル」と誤認させる心理的効果もあります。

カレンダー通知の悪用は、ユーザーがイベントを承認すると自動的にカレンダーにリンクが登録され、後日リマインダーで再度フィッシングサイトへ誘導される仕組みです。これにより、直接メールのリンクを開かなくても被害に遭う可能性があります。

CAPTCHAを複数段階で設けることで、セキュリティボットの自動検知を回避し、正規のメールアドレスかどうかを判別することで、より効率的に有効なアカウント情報を収集しています。

MFA回避のフィッシングサイトは、正規サービスのAPIを利用してユーザーの入力をリアルタイムで検証し、OTP入力画面まで偽装。ユーザーが入力した認証情報を攻撃者が取得できる高度な手法です。

影響や重要性

これらの進化したフィッシング攻撃は、従来のセキュリティ対策をすり抜ける可能性が高く、企業や個人の情報漏洩リスクを大幅に高めています。特に、B2B向けの攻撃やMFAを突破する手口は、重要な業務データや資産への不正アクセスを許す恐れがあります。

ユーザーが攻撃の巧妙さに気づかずに被害に遭うケースが増加しており、組織としては従業員教育や最新のセキュリティ対策の導入が急務です。

まとめ

2025年のメールフィッシング攻撃は、PDF内のQRコードやパスワード保護、カレンダー通知の悪用、CAPTCHAによる検知回避、MFA突破を狙う高度な詐称サイトなど、多様で巧妙な手法が特徴です。これらの攻撃を防ぐためには、以下のポイントを意識しましょう。

  • パスワード付きPDFやQRコードを用いた添付ファイルには特に注意し、不審な場合は開かない。
  • ウェブサイトのURLを必ず確認し、正規のサービスかどうかを見極める。
  • 定期的なセキュリティ教育を実施し、最新の攻撃手法に対する知識を社員に浸透させる。
  • メールサーバーのセキュリティ対策を強化し、Kaspersky Security for Mail Serverのような信頼できるソリューションを導入する。

攻撃者は常に新しい手口を模索していますが、ユーザーの警戒心と組織の対策が被害を防ぐ最善の防御策です。

タグ付け処理あり:
security-user

Related Posts

2025年最新:PDFやカレンダー活用の巧妙化するメールフィッシング攻撃手法
2025年11月1日
2025年最新:PDF・QRコード活用の進化するメールフィッシング手法
2025年10月31日
OMGケーブル開発者MGが語る驚異のハッキング技術
2025年10月31日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です