生成AIによる攻撃の「質」と「量」が増加 Zscalerがフィッシングレポートを公開：セキュリティニュースアラート

Zscalerは2025年版のフィッシングレポートを公開した。調査によると、AIを悪用したフィッシング攻撃の「質」と「量」は拡大傾向にあるという。利用者の油断を突くその悪質な手口が明らかになった。

[後藤大地，有限会社オングス]

　Zscalerは2025年6月13日、自社の脅威分析チーム「ThreatLabz」による2025年版フィッシングレポートを公表した。2024年1〜12月にかけて同社のセキュリティプラットフォーム「Zero Trust Exchange」でブロックした20億件超のフィッシングトランザクションを対象に、標的の傾向や攻撃手法の進化、対抗策について包括的に分析している。

生成AIを使った攻撃の「質」と「量」が拡大　その悪質な手口とは？

　フィッシング全体の件数は世界で20％、米国では32％近く減少したと報告されている。ブラジルや香港、オランダといった新興市場では急速なデジタル化と不十分なセキュリティ対策のギャップを突かれ、攻撃が増加傾向にある。インドやドイツ、英国など従来の主要標的国でも、文化的背景や時期に合わせた攻撃が観測されている。

　プラットフォームにおいては「Facebook」「Telegram」「Steam」などのソーシャルメディアが攻撃の基盤として悪用されている。これらはフィッシングサイトの模倣対象としてだけでなく、マルウェアの拡散チャネルや指令通信の隠蔽（いんぺい）経路、ターゲットの個人情報収集や信頼構築のためのソーシャルエンジニアリングツールとしても利用されている。加えて、ITサポート担当者を装ったテクニカルサポート詐欺や、魅力的な求人情報を装う詐欺が急増しており、2024年にはその件数が1億5900万件を超えている。

　攻撃者が生成AIを使って攻撃の質と量を以前より効率的に拡大している点も注目されている。偽のAIツールサイトを通じてユーザーを誘導し、資格情報や支払い情報の入力を促す詐欺が横行している。特に履歴書作成やグラフィックデザイン、ワークフロー自動化といった日常業務に直結する分野のAIサービスを装った悪質なサイトが確認され、利用者の油断を突く手口となっている。標的となる部門は業務上、重要データや財務処理に接しており、決裁権や支払指示の実行権限を持つ点からも、攻撃者にとって魅力的な対象となっている。

　Zscalerのディーペン・デサイ氏（最高セキュリティ責任者兼セキュリティリサーチ部門責任者）は次のように述べている。

　「フィッシングの状況は一変した。攻撃者は生成AIでほぼ完璧なコンテンツを作成してターゲットを引きつけ、AIベースの防御さえも出し抜いている。サイバー犯罪者はAIを武器として利用し、検出を回避しながらターゲットの行動を操作しており、組織がこのような新たな脅威に対応するには、同じように高度なAI活用型の防御を利用する必要がある。今回の調査結果は、急速に進化する脅威に効果的に対抗するために、堅牢（けんろう）なゼロトラストアーキテクチャとAIを活用した高度なフィッシング対策を組み合わせ、プロアクティブで多層的なアプローチをとることの重要性を強く示している」

　こうした高度な攻撃に対抗するため、信頼を前提とせず、全ての通信・接続を検証対象とすることで、AIが生成した巧妙な詐欺コンテンツに対し一定の防御力を確保できる。脅威の兆候を早期に検知し、動的なアクセス制御やマルウェア分析を通じてリスクを低減することが重要とされている。