出典: Securelist – https://securelist.com/email-phishing-techniques-2025/117801/
原題: The evolving landscape of email phishing attacks: how threat actors are reusing and refining established techniques
2025年最新:PDFおよびQRコードを活用した進化するメールフィッシング手法
導入部
サイバー攻撃は日々進化しており、特にメールフィッシングは巧妙化しています。2025年には、攻撃者がPDFファイルやQRコードを駆使し、従来の手法を再利用しながらも新たな技術で検出回避を試みています。本記事では、最新のメールフィッシング手法とその背景、対策について詳しく解説します。
主要なポイント
- PDFファイル内のQRコード活用とパスワード保護
攻撃者はメールに添付したPDFファイル内にQRコードを埋め込み、ユーザーをフィッシングサイトへ誘導します。さらに、PDFをパスワードで保護し、パスワードを別メールで送ることで自動解析を困難にし、ユーザーに正当性を感じさせる手法が増加しています。 - カレンダー通知を利用したフィッシングの復活
かつて流行したカレンダーイベントを悪用したスパム手法が、2025年にB2B向けに復活。メール本文は空白でもイベント説明欄にフィッシングリンクを隠し、ユーザーがカレンダーに追加したリマインダーから誘導される危険性があります。 - 既存アカウントの検証を装った巧妙な認証ページ
ボイスメッセージ通知を偽装したメールから、CAPTCHA認証を複数段階で設けたフィッシングサイトへ誘導。Googleのログインフォームを模倣し、入力されたメールアドレスの有効性を判別しつつ、パスワードを何度も試させて情報を盗みます。 - 多要素認証(MFA)を回避する高度なフィッシング
pCloudのサポート通知を装い、正規サイトそっくりの偽サイトに誘導。API連携で本物のサービスと通信しつつ、ワンタイムパスワード(OTP)も盗み取る手口で、多要素認証の壁を突破しようとしています。
技術的な詳細や背景情報
PDFファイル内のQRコードは、従来のメール本文のリンクよりも検出が難しく、スマートフォンでのアクセスを狙うため効果的です。パスワード保護されたPDFは、メールセキュリティ製品の自動解析を妨げ、ユーザーに「安全なファイル」という印象を与えます。
カレンダー通知を利用した手法は、メールを開かなくてもカレンダーにイベントが追加されるため、ユーザーが気づかずにフィッシングリンクを受け取るリスクがあります。特にB2B環境では、業務メールに紛れ込みやすい点が問題です。
既存アカウントの検証を装うフィッシングサイトは、CAPTCHAを用いることで自動検知ボットのアクセスを防ぎ、人間のユーザーだけをターゲットにします。さらに、メールアドレスの有効性をリアルタイムで判別し、無効なアドレスにはエラーを返すことで疑念を減らします。
多要素認証回避の手法は、正規サービスのAPIを悪用し、ユーザーが入力した認証情報を中継する「リレーフィッシング」と呼ばれる技術です。これにより、攻撃者はユーザーの認証情報をリアルタイムで取得し、不正ログインを可能にします。
影響や重要性
これらの進化したフィッシング手法は、個人だけでなく企業のセキュリティにも深刻な影響を及ぼします。特にB2Bフィッシングは、業務システムや顧客情報への不正アクセスを招き、企業の信用失墜や経済的損失につながる恐れがあります。
多要素認証の普及にもかかわらず、リレーフィッシングなどの高度な攻撃により突破されるリスクがあるため、単一の防御策に依存しない多層的なセキュリティ対策が求められます。
まとめ
2025年のメールフィッシング攻撃は、PDF内のQRコード利用やパスワード保護、カレンダー通知の復活、巧妙な認証ページ、多要素認証回避など多様な技術を駆使して進化しています。ユーザーは不審な添付ファイルやリンクに注意し、URLの正当性を必ず確認することが重要です。
組織は従業員への最新攻撃手法の教育と、メールサーバーの高度なセキュリティ対策導入を推奨します。例えば、カスペルスキー セキュリティ フォー メールサーバーは本記事で紹介した攻撃手法を検知・ブロック可能であり、効果的な防御手段となります。
