Home / サイバー攻撃手法 / 2025年最新:PDFやカレンダー活用の巧妙化するメールフィッシング攻撃手法

2025年最新:PDFやカレンダー活用の巧妙化するメールフィッシング攻撃手法

2025年11月1日

出典: Securelist – https://securelist.com/email-phishing-techniques-2025/117801/

原題: The evolving landscape of email phishing attacks: how threat actors are reusing and refining established techniques

2025年最新動向:PDFやカレンダーを悪用した巧妙化するメールフィッシング攻撃手法

導入部

サイバー攻撃は日々進化しており、特にメールを使ったフィッシング攻撃は巧妙化しています。2025年には、PDFファイルやカレンダー通知を悪用した新旧の手法が組み合わさり、ユーザーの警戒心を巧みにすり抜ける攻撃が増加しています。本記事では、最新の攻撃手法とその背景、影響について詳しく解説します。

主要なポイント

  • PDFファイルの活用とQRコードの普及
    攻撃者はメールに添付するPDFファイル内にQRコードを埋め込み、ユーザーをフィッシングサイトへ誘導します。QRコードは直接リンクよりも検出が難しく、特にモバイル端末でのアクセスを狙うため効果的です。また、PDFをパスワード保護し、パスワードを別メールで送ることで自動解析を回避し、ユーザーに正当性を感じさせる手口も増えています。
  • カレンダー通知を利用したフィッシングの再流行
    かつて流行したカレンダーイベントを利用したスパム手法が、2025年にB2B向けに再び使われています。メール本文は空白でも、カレンダーのイベント説明にフィッシングリンクを隠し、ユーザーが予定を承諾するとリマインダー経由でフィッシングサイトに誘導される仕組みです。
  • 既存アカウントの検証を狙う巧妙なフィッシングサイト
    攻撃者は音声メッセージを装ったシンプルなメールから、CAPTCHAを用いた複数段階の検証ページへ誘導し、ユーザーのメールアドレスの有効性を確認します。複数回の試行を通じてパスワード情報も盗み取り、被害拡大を狙う高度な手法が観測されています。
  • 多要素認証(MFA)を回避する精巧なフィッシング攻撃
    MFA導入が進む中、攻撃者は正規サービスそっくりの偽サイトを作成し、ユーザーのワンタイムパスワード(OTP)やパスワードをリアルタイムで中継しながら盗み取ります。pCloudを例に、URLの微妙な違いを見抜くことが重要です。

技術的な詳細や背景情報

PDFファイル内のQRコードは、従来のメール本文内リンクよりも検出が難しいため、セキュリティ製品の回避に有効です。パスワード保護PDFは、添付ファイルの内容をスキャンできなくし、受信者に「セキュリティ上の配慮」と誤認させる狙いがあります。

カレンダー通知を利用した攻撃では、メール自体にリンクがなくても、カレンダーアプリのリマインダー機能を悪用し、ユーザーの注意を引きつけます。特に企業のオフィスワーカーを狙ったB2B攻撃で再び注目されています。

既存アカウント検証のためのフィッシングサイトは、CAPTCHAを導入しボット検出を回避することで、より多くの実際のユーザーを騙すことに成功しています。複数の検証ページを経由させることで、ユーザーは何度も認証情報を入力させられます。

MFA回避の手法は、正規サービスのAPIと連携しながらリアルタイムで認証情報を盗むため、単純なパスワード盗用よりも被害が深刻です。攻撃者はドメイン名のわずかな違い(例:pcloud.com vs p-cloud.online)を利用し、ユーザーの見落としを狙います。

影響や重要性

これらの進化したフィッシング手法は、従来のセキュリティ対策をすり抜けやすく、ユーザーの認識や警戒心を巧みに利用しています。特に多要素認証を導入している組織でも、認証情報が盗まれるリスクが高まっており、被害は深刻化しています。

企業にとっては、従業員のセキュリティ教育の強化やメールサーバーの高度な防御策の導入が急務です。また、ユーザー自身もメールの添付ファイルやリンクの正当性を慎重に判断し、URLの細かな違いに注意を払う必要があります。

まとめ

2025年のメールフィッシング攻撃は、PDF内のQRコードやパスワード保護、カレンダー通知の再利用、CAPTCHAを用いた多段階検証、そしてMFAを回避する高度な手法など、多様かつ巧妙な技術が組み合わさっています。これにより、従来の検出方法では防ぎきれないケースが増加しています。

ユーザーは不審なPDF添付やカレンダー通知に警戒し、認証情報を入力する際はURLの正当性を必ず確認しましょう。組織は最新の攻撃手法を踏まえた定期的なセキュリティトレーニングと、強力なメールセキュリティ対策の導入が不可欠です。例えば、カスペルスキー セキュリティ フォー メールサーバーはこれらの攻撃を検知・ブロック可能であり、有効な防御手段となります。

タグ付け処理あり:
security-user

Related Posts

2025年最新:PDFとQRコードを駆使した進化するメールフィッシング攻撃
2025年11月2日
2025年最新:PDF・QRコード活用の進化するメールフィッシング手法
2025年10月31日
OMGケーブル開発者MGが語る驚異のハッキング技術
2025年10月31日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です