実在する企業や団体を装って、クレジットカード情報や個人情報を窃取するフィッシングメールによる被害が拡大している。2025年3月ごろから、日本を標的としたフィッシングメールは顕著に増加しており、証券口座の乗っ取りといった被害が確認されている。これまでは一般消費者を狙うことが多かったフィッシングメールだが、現在では、企業の従業員アカウント情報を狙う手口も出てきており、盗まれたアカウント情報が原因となった事件が発生するなど、企業にも対策の強化が求められている。巧妙化するフィッシングメールの現状と対策を分析する。
(取材・文/岩田晃久)
日本を狙う攻撃が急増
フィッシングメールは、2000年代前半から確認されている比較的古い手口のサイバー攻撃である。近年、フィッシングメールが多く確認されるようになった背景として、コロナ禍でECやサブスクリプションサービスの利用が拡大したことや、スマートフォンの普及によりインターネットを活用する人が増えた点などが挙げられる。セキュリティーベンダーやメールサービス事業者、通信事業者などで構成されるフィッシング対策協議会には、消費者からフィッシングに関する報告が寄せられており、同協議会の吉岡道明・事務局長は「ばらまかれるフィッシングメールが増えたことで、被害が拡大している。それに伴いフィッシングの認知度が上がり、報告件数が増加している」との見方を示す。
とりわけ25年3月以降は、同協会への報告件数が月あたり20万件を超え急増傾向にある(図参照)。その中で目立つのが、証券口座を乗っ取られ、株を勝手に取引される被害で、大手を含む複数の証券会社が、不正アクセスによる株の取引があったことを公表している。今回のケースは、攻撃者は乗っ取った口座で株を大量購入し、株価をつり上げたタイミングであらかじめ保有していた株を売却して利益を得ているとされており、情報を盗み取ること自体を目的とした従来のフィッシングとは異なる傾向があることに注意が必要だ。
メールセキュリティーベンダーの米Proofpoint(プルーフポイント)は、グローバルで多くの企業に製品が利用されているため「世界のメールトラフィックの約4分の1をチェックしている」という。同社によると、全世界で24年12月から新種のメール攻撃が爆発的に増加し、25年5月の新種の攻撃メールは7億7000万通を確認し過去最大の攻撃量を更新した。そのうち81%が、日本をターゲットにしたものだったという。
では、なぜ日本が標的となっているのか。日本プルーフポイントの増田幸美・チーフエバンジェリストは「AIによる言語の壁がなくなったことが大きい」と指摘する。以前のフィッシングメールの文面は、日本語の表現として不自然な言い回しなど、見ただけで分かる内容のものが多かったため引っかかる人は少なかったが、攻撃者が生成AIを使うことで、違和感がない日本語で文章を作成できるようになった。増田チーフエバンジェリストは「生成AIが登場して以降、フィッシングメールの精度が上がり、攻撃が増えている。(生成AIにより)きれいに人をだませるようになり、攻撃者にとってフィッシングは“投資対効果”が高い攻撃になってしまっている」と分析する。
日本プルーフポイント
メールに記載されているURLを正規のサイトと類似させ、リンク先も正規のサイトをミラーリングしているなど、手法が巧妙化していることも、セキュリティーへの意識が高いとはいえない日本人が被害に遭う要因の一つと考えられる。
さらに、「フィッシングキット」と呼ばれるフィッシング攻撃を行うためのツールが進化しているのも、増加する要因となっている。その中でも「CoGUIフィッシングキット」は、高度な検知回避技術を用いてつくられており、ユーザーが講じたセキュリティー対策を回避できるという。特徴として、IPアドレスの地理的ロケーション、ブラウザーの言語設定などからプロファイリングして、特定の国や地域を標的にフィッシング攻撃を行えるとしている。また、多要素認証を迂回する、「EvilProxy」や「Adversary-in-the-Middle」といった手法が用いられるケースも増加している。これらの手法では、攻撃者のサーバー上にミラーリングしたサイトを構築し、そこから認証を通過したセッションクッキーを取得する。フィッシング攻撃のためのツールは安価で売買されているため、容易に攻撃できる環境を整えることが可能となる。
フィッシング対策協議会の吉岡事務局長は「攻撃者側では、メールを送る人、偽サイトを構築する人、搾取した情報を不正する人など分業化が進んでおり、脅威が拡大している」と傾向を語る。
企業向けサービスになりすまし
フィッシング攻撃は一般消費者に向けたものが多かったが、日本プルーフポイントの増田チーフエバンジェリストは「企業向けサービスの認証情報窃取を目的とした攻撃が増えている。今後はこちらがメインになっていくのではないか」との見解を示す。実際、24年に大手出版社のKADOKAWAを襲ったサイバー攻撃では、従業員のアカウント情報が窃取されたことが原因と推測されている。
従業員のアカウント情報が盗まれた場合、攻撃者はメールやカレンダー、ストレージなどさまざまな情報にアクセスできるようになり、システムの設定を変えたり、アプリケーションを追加したりできるほか、APIで連携しているほかのサービスの情報の窃取、アカウント情報がシングルサインオン(SSO)に利用されていた場合は、SSOの対象となっているサービスへのログインが容易に行えるようになる。そのほかにも窃取したアカウント情報を、サプライチェーンを侵害するための足掛かりにするといったリスクが想定されるなど、フィッシングによって従業員のアカウント情報が盗まれるのは、企業にとって深刻な問題だということが分かる。
多くの企業がEDR(Endpoint Detection and Response)などの検知・対応製品を利用するようになっているものの、窃取されたアカウント情報は正規のもののため、それが不正に使われたとしても、EDRなどでは検知するのが難しいという。
現状では、利用する企業が多い「Microsoft 365」や「Google Workspace」などの企業向けサービスを装ったフィッシングメールが多く確認されている。今後はなりすましに利用されるサービスが拡大することが懸念される。
今後もフィッシングの巧妙化は進んでいくとされる。増田チーフエバンジェリストは「『Teams』や『Slack』といったチャットツールやコラボレーションツールにURLを送ってくるケースが出てきている」と述べる。そのほかにも、AIに人物の声を学習させ、電話を使って個人情報や金融情報を盗む「ボイスフィッシング」を使う攻撃者が出てきており、日本語が使われたケースも観測しているという。増田チーフエバンジェリストは「AIはビジネスだけでなく犯罪にも使われるだろう」と警戒する。
企業、人、それぞれで対応を
巧妙化するフィッシングに対しては、さまざまな面からセキュリティー対策を施していく必要がある。まず、サービスを提供する企業側にとっては、攻撃者が自社になりすましたフィッシングメールを送ることで、企業イメージの低下やブランド毀損につながってしまう。なりすまし対策として有効になるのが、送信ドメイン認証技術の「DMARC(Domain-based Message Authentication, Reporting and Conformance)」である。
DMARCは、正規のIPアドレスからメールが送信されたかを認証する技術であるSPF(Sender Policy Framework)と、電子署名を用いた認証技術であるDKIM(DomainKeys Identified Mail)を用いて、メールの「From」ヘッダーに含まれる送信元アドレスのドメインがなりすまされていないか、信頼できるものかどうかを判断する。送信側のドメイン所有者は、認証に失敗したメールをどう処理すべきかについて、None(何もしない)、Quarantine(迷惑メールフォルダーなどに隔離する)、Reject(配信しない)の三つのポリシーのいずれかを受信側に通知できるので、自社とは無関係の第三者によるなりすましメールで何らかの被害が発生するのを未然に防ぐ効果が期待できる。
さらに、DMARCで認証成功したメールにロゴを表示させる「BIMI(Brand Indicators for Message Identification)」を利用することで、受信者がそのメールが正規なものかを視覚的に判断できるようになる。ロゴは商標登録などがされている必要があるほか、認証局による確認の上で証明書が発行されるため、なりすましが難しくなるのが特徴だ。
提供するサービスに対して多要素認証を実装するのも基本となる。最近の証券会社の事件のケースでは、被害の発生後に多要素認証を実装した証券会社もあった。株取引というスピードが要求されるサービスの性質上、ユーザーの利便性が低下する面はあるが、それでもセキュリティーの観点からは多要素認証は必須だ。
ユーザー側も、フィッシング被害に遭わないために対策していく必要がある。例えば、公開鍵と秘密鍵、生体認証など活用するパスキーや、デバイス固有の識別情報などを利用するデバイス認証により、パスワードレスの認証を行うのが有効だ。しかしパスキーの場合、現在は対応しているデバイスやサイトが限られているため、今後の普及が期待される。
このほかにも、メールを開く前に前述のBIMIが表示されているのかを確認する、メール内のURLは確実に安全なもの以外クリックしないなど、意識を高めていくことも大切となる。フィッシングメールに対応したメール訓練サービスなどがあるため、これらを利用するのも有効だ。
実際にフィッシングメールによりアカウントを乗っ取られた時の対応について、増田チーフエバンジェリストは「パスワードをリセットするだけで終わってしまうことが少なくない。アカウントが乗っ取られた後に追加された設定を明らかにして、クリアにするところまで取り組まなければならない」と述べる。
