Home / 認証セキュリティ / 進化するメールフィッシング攻撃:既存手法の再利用と高度化の実態

進化するメールフィッシング攻撃:既存手法の再利用と高度化の実態

2025年10月30日

出典: Securelist – https://securelist.com/email-phishing-techniques-2025/117801/

原題: The evolving landscape of email phishing attacks: how threat actors are reusing and refining established techniques

進化するメールフィッシング攻撃:既存手法の再利用と高度化の現実

サイバー脅威は日々進化しており、メールフィッシング攻撃も例外ではありません。攻撃者はセキュリティフィルターを回避し、ユーザーの警戒心を突破するために新たな手法を次々と生み出しています。一方で、過去に使われた手法が再び活用され、さらに洗練されているのが現状です。本記事では、2025年に見られる最新のフィッシング攻撃の特徴と技術について解説します。

主要なポイント

  • PDFファイルの活用:QRコードやパスワード保護
    フィッシングメールに添付されるPDFファイルは増加傾向にあり、従来のリンク埋め込みからQRコードの利用へと進化しています。QRコードはメール本文に直接記載するよりも偽装が容易で、ユーザーをモバイル端末でのアクセスに誘導しやすくなっています。また、PDFにパスワードを設定し、パスワードを別メールで送る手法も登場。これにより自動スキャンが困難になり、受信者には正当性があるように見えるため信頼されやすくなっています。
  • カレンダー通知を使ったフィッシングの復活
    2010年代後半に流行したカレンダーイベントを利用したスパム手法が2025年に再び活用されています。メールに添付されたカレンダー招待にフィッシングリンクを隠し、ユーザーがイベントを承認するとカレンダーアプリのリマインダーでリンクを開くよう促されます。今回はB2B向けに特化し、オフィスワーカーを狙った攻撃が増加しています。
  • アカウント確認を装う巧妙なフィッシングサイト
    シンプルなメール本文からリンク先に誘導し、CAPTCHA認証を複数回クリアさせることで自動検知を回避する手法が見られます。最終的にGoogleのログイン画面を模したページに誘導し、入力されたメールアドレスの有無をリアルタイムで判定。正規のメールアドレスが入力されるとパスワード入力画面が表示され、誤ったパスワードでも再入力を促す仕組みで、複数の認証情報を窃取します。
  • MFA(多要素認証)回避を狙う高度な攻撃
    多要素認証を導入しているユーザーを狙い、パスワードだけでなくワンタイムパスコード(OTP)も盗み取る手口が高度化しています。例えば、クラウドストレージサービス「pCloud」を装ったメールで、正規サイトそっくりの偽サイトに誘導。API連携により入力情報の正当性をリアルタイムで確認し、OTP入力まで巧妙に騙し取ります。攻撃者は本物そっくりの画面を用意し、被害者の気づきを遅らせています。

技術的な詳細や背景情報

メールフィッシング攻撃は、単なるリンクの埋め込みから多様な技術を駆使した複合的な手法へと進化しています。QRコードの利用は、URLを直接見せずにユーザーを誘導できるため、セキュリティ製品の検知を回避しやすい特徴があります。パスワード保護されたPDFは、添付ファイルの自動解析を困難にし、受信者には「安全性を考慮した正規の文書」と誤認させます。

カレンダー通知を利用した攻撃は、メール本文にリンクがなくてもユーザーのカレンダーアプリを介してフィッシングサイトへ誘導できる点が特徴です。これにより、メールの直接的なリンク検知を回避します。

CAPTCHAを複数回通過させることで、ボットによる自動検知を回避し、人間のユーザーのみをターゲットにする高度な攻撃も増えています。また、リアルタイムで入力されたメールアドレスの有無を検証することで、無駄な情報収集を減らし、効率的に有効なアカウント情報を盗み取る仕組みが採用されています。

MFA回避攻撃では、攻撃サイトが正規サービスとAPI連携し、入力情報の正当性をリアルタイムで確認します。これにより、ユーザーは偽サイトであっても正規の認証プロセスを進めていると錯覚し、最終的にアカウントを完全に乗っ取られてしまいます。

影響や重要性

これらの進化したフィッシング攻撃は、従来のセキュリティ対策だけでは防ぎきれないリスクをもたらします。特に、多要素認証を突破する手法は、企業や個人の重要な情報資産を危険にさらす可能性が高いです。さらに、カレンダー通知やパスワード保護PDFのような一見無害に見える手法は、ユーザーの警戒心を緩め、被害拡大を助長します。

企業は従業員への定期的なセキュリティ教育を強化し、最新の攻撃手法を理解させることが不可欠です。また、メールサーバーのセキュリティ対策を強化し、高度な検知機能を持つソリューションの導入が推奨されます。

まとめ

2025年のメールフィッシング攻撃は、過去の手法を再利用しつつ、技術的に高度化・巧妙化しています。QRコード付きのPDFやパスワード保護、カレンダー通知の悪用、CAPTCHAを利用した検知回避、そしてMFAを突破するリアルタイム認証連携など、多様な手口が確認されています。

ユーザーは不審な添付ファイルやリンクに注意し、URLの正当性を必ず確認する習慣をつけることが重要です。企業は最新の攻撃動向に対応した教育と技術的対策を講じ、被害を未然に防ぎましょう。

タグ付け処理あり:
security-user

Related Posts

ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発関与
2025年11月5日
オーククリフのカード詐欺団を率いるネイサン・マイケルの犯罪手口
2025年11月5日
英国の詐欺スパム業者に20万ポンドの罰金、借金者狙い約100万通送信
2025年11月4日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です