2025年に警戒すべきフィッシング攻撃一覧 AIやPhaaSで手口はより高度化：セキュリティニュースアラート

バラクーダネットワークスはフィッシング・アズ・ア・サービス（PhaaS）に関する調査結果を発表した。PhaaSの利用が進むことで、2025年はより高度なフィッシング攻撃が仕掛けられる可能性が高い。警戒すべき攻撃を紹介しよう。

[後藤大地，有限会社オングス]

　バラクーダネットワークスは2025年2月13日、フィッシング・アズ・ア・サービス（PhaaS）に関する最新の調査結果を発表した。

　この調査によると、認証情報を狙ったサイバー攻撃におけるPhaaSの利用割合について2024年は30％だったが、2025年に50％へと増加する見込みとされ、新たなフィッシングキット「Tycoon 2FA」がセキュリティ検査を回避するよう進化していることが分かった。

手口はより巧妙化　2025年に警戒すべきフィッシング攻撃一覧

　Tycoon 2FAの主な戦術は以下の通りだ。

• 攻撃を仕掛けるために、合法的な（恐らくは侵害された）電子メールアカウントを使用する
• Webページの解析を妨害するために、特別に作成されたソースコードを使用する
• 自動セキュリティスクリプトや侵入テストツールの使用をブロックする
• Web検査を示唆するキーボードでの入力を監視し、それ以降の活動をブロックする
• Webページの本当の目的が分かってしまう可能性のある右クリックメニューを無効にする
• オフラインでの解析のために、ユーザーがWebページから意味のあるテキストをコピーすることをブロックする

　バラクーダネットワークスはPhaaSの進化に伴い、2025年にはさらに高度なフィッシング攻撃が増加すると警鐘を鳴らしている。調査ではフィッシング攻撃がより巧妙化し、攻撃者は新たな戦術を採用すると予測されている。

　2025年に警戒すべきフィッシング攻撃は以下の通りだ。

• 認証情報の盗難攻撃：　2024年には顧客を標的としたフィッシング攻撃の85％以上が認証情報の盗難を目的としていたが、今後1年でこの割合は90％以上に増加する可能性がある。また、PhaaSキットによる認証情報の盗難攻撃の割合が50％を占めるようになり、多要素認証（MFA）コードの盗難に進化する
• 正当なURL保護サービスの悪用：　認証情報を盗むことを目的とした攻撃において大手セキュリティベンダーを含む信頼されたURL保護サービスを悪用し、フィッシングリンクを隠蔽（いんぺい）していることが確認された。この戦術は現在も実施されている
• QRコードおよびボイスメールのフィッシング：　この攻撃は検知されたフィッシング全体の約20％を占めている。既にASCII／Unicodeテキストブロックを使用して作成されたQRコードの出現が確認されており、今後もこの手口は進化し続けるだろう。また、ASCIIベースのQRコードや特別に細工されたBlob URIリンクの使用は検知を回避するように設計され、回避技術の開発と使用が継続して増加すると予想されている
• 人事部へのなりすまし：　人事部を装ったフィッシング攻撃が増加すると予測。検知された攻撃の約10％を占めており、特に税金の申告期限の頃に増加する可能性がある
• コンテンツ作成および公開プラットフォームの悪用：　フィッシングページをホストするCCP（コンテンツ作成プラットフォーム）やDDP（デジタル文書発行）サイトの利用を拡大させる
• 悪意のある添付ファイル：　フィッシングコンテンツは電子メール本文から添付ファイルに移動すると考えられている。この行動は機械学習に基づく本文の分析を回避しようとする試みであると推測され、この種の攻撃が増加する
• パーソナライズされた恐喝：　2024年に顧客を標的とした何百万件もの恐喝攻撃を観測している。自宅や周辺の道路が映った「Google ストリートビュー」や写真を使用して顧客を脅迫する攻撃が進化しており、2025年にはさらにパーソナライズされ、より高額な支払いが要求されるようになる
• 全てにAIを搭載：　フィッシング攻撃をできるだけ本物らしく見せるためにAIや正規のWebサイト、リダイレクトがますます活用される。特にAIによって正規の電子メールと見分けがつかないフィッシングメールを生成することが予想されている

　バラクーダネットワークスはフィッシング攻撃の多様化と高度化に対応するためには、多層防御戦略および組織全体でのセキュリティ意識の向上が不可欠であると強調している。2025年以降もAIやPhaaSを活用した新たな攻撃手法が登場すると予想され、企業や個人は最新の脅威動向に注視するとともにセキュリティ対策を強化することが求められている。