1. 概要

 2025年4月、フィッシング対策協議会から2025年3月のフィッシング報告数が過去最高との発表がありました[1]。以前から存在するフィッシング攻撃ですが、より巧妙化した攻撃手法が登場し、依然猛威をふるい続けています。また新たに、AI技術を悪用したフィッシング攻撃の危険性についても指摘されています。
 本稿では、多様化するフィッシング攻撃の手法とAIを悪用したフィッシング攻撃、対策についてご紹介します。

 

2. フィッシング(Phishing)とは(CVE-2025-42599)

 フィッシングとは、実在する組織や人物を騙り重要な情報をだまし取ることです。主に狙われる情報は、認証情報(サービスへログインするためのIDやパスワード)や個人情報(住所や氏名、誕生日など)、または金銭に関する情報(クレジットカード情報や口座番号など)が挙げられます。
 典型的なフィッシング攻撃の例として、銀行やクレジットカード会社を騙り、偽サイトへ誘導するメール(フィッシングメール)を送る手法があります。【図1】で示した攻撃の流れは下記です。
 ① 攻撃者が偽サイトのURLリンクをフィッシングメールに含めて利用者に送信
 ② 利用者が①で送られたメールにあるURLリンクから偽サイトにアクセス
 ③ 利用者が偽のログイン画面や入力フォームに、自身の認証情報や個人情報等を入力
 ④ 攻撃者が③で入力された認証情報や個人情報等を詐取

2025_4_secnews1

【図1】:フィッシング攻撃の流れ

 

3. 多様化するフィッシング攻撃

 上記のように、銀行やクレジットカード会社を騙る場合が多いフィッシングですが、騙られる事業者の種類は増加傾向にあり、通信事業者やEC系など多種多様な事業者が報告されています。また、近年日常の多くの場面でQRコードを目にすることが増えましたが、これらを悪用したフィッシングも確認され、攻撃手法が多様化しています。
 ここでは実例と共に「宅配便事業者を騙るフィッシング」と「QRコードを使用したフィッシング(クイッシング)」を紹介します。

(1)宅配便事業者を騙るフィッシング

 宅配便事業者を騙ったメール/SMSを利用者に送り、偽サイトへ誘導して利用者の情報を詐取することが目的です。メールの文面や誘導される偽サイトが実際の宅配便事業者からのメールやサイトに酷似していることから、利用者が気づかずに自身の情報を入力してしまい、攻撃者に情報を詐取されるケースが後を絶ちません。実際に、ヤマト運輸を騙ったフィッシングメール/SMSが確認されており、注意喚起がされています[2]。

 ■ヤマト運輸を騙ったフィッシングメールの事例
 ・件名:お荷物お届けのお知らせ、配送先住所が間違っています など
 ・メール内容:再配達の依頼に関する内容、住所間違いによる住所確認を求める内容 など
 ・メールやサイト内のドメイン:公式サイトを装ったドメインが確認されている
 [公式]
 ~@kuronekoyamato.co.jp
 [偽サイトのドメイン例]
 ~@kuro●●●●yamrt.com

2025_4_secnews2

(出典:ヤマトホールディングス公式HP)

 上記の事例のように、メールの件名やアドレスからではフィッシングメールかどうかは区別がしにくく、誘導された偽サイトも、本物のデザインが使用されているため、一目で判断することは困難であることが分かります。

(2)QRコードを利用したフィッシング(クイッシング)

 従来のフィッシングメールは、メール記載のURLリンクから偽サイトへ誘導していましたが、クイッシングでは代わりにQRコードを使用します。【図2】のように、利用者にQRコードを読み込ませることで偽のサイトへ誘導し、個人情報を詐取することを目的としています。

2025_4_secnews3

【図2】:クイッシングの手口

 

 ■Amazonを騙ったクイッシングの事例。
 フィッシング対策協議会によりますと、2023年1月に以下のようなAmazonを騙ったクイッシングが報告されています。[3]。
 ・件名:プライムの自動更新設定を解除いたしました
 ・メール内容:Amazonを騙り、メール本文に記載されているQRコードをスキャンするような文言。
 ・メール内のドメイン例
 https://zjg●●●●/jp
 https://cd-●●●●.com/jp
 http://www.amazon-●●●●.biz/

 上記のように、メールにQRコードを添付する手口以外にも、チラシや飲食店などに存在するQRコード上に、物理的に偽のQRコードを貼り付ける手口などが挙げられます。また、攻撃者がQRコードを使用する利点としては以下が考えられます。
 ・QRコードを使用することで、迷惑メールフィルタを回避する。
 ・URLリンクと違い、一目で本物か偽のサイトへのリンクか区別がしにくく、利用者を誘導しやすい。

 

4. AIを悪用したフィッシング

 現在、OpenAI社のChatGPTやGoogle社のGeminiなど、多くの生成AIサービスが登場しています。私たちの生活が便利になる反面、これらAIの悪用についても危険視されています。実際に、トレンドマイクロが公開している「2025年トレンドマイクロ セキュリティ脅威予測」によると、2025年にはさらにAIを悪用したサイバー攻撃が増加することが予測されています[4]。ここではAI技術を悪用したフィッシング攻撃についていくつか紹介します。

(1)ディープフェイクを使ったフィッシング

 ディープフェイクとはAI技術を利用して、本物と酷似した動画や写真を作成する技術のことです。この技術を悪用した事例として、2024年1月末に香港にて約38億円が詐欺グループに詐取された被害事例があります[5]。

 ■香港のディープフェイクを使ったビデオ詐欺の概要
 ①会計担当者のもとに英国を拠点とするCFO(最高財務責任者)を騙ったメールが届く。
 メールの内容は、送金が必要・ビデオ会議への出席依頼といったもの。
 ②当初、会計担当者はメールの内容に対し不審に思い、詐欺を疑っていた。
 ③会計担当者がビデオ会議に出席すると、自身が知っている同僚が何人か映り、声も本人のそのものだったため、
 出席者全員本物と思い、2億香港ドル(約38億円)を送金。
 ④後日、会計担当者が本部に確認すると、偽のCFOだったことが明らかになった。

 この事例では、ビデオ会議で確認した出席者の映像は、すべてディープフェイクによって作られた偽の映像でした。
 一度は不審に思っていたにも関わらず、本物そっくりの映像に騙されてしまったことから、ディープフェイクによるフィッシングかどうかを見極めるのは困難であると考えられます。

(2)AIによるフィッシングメールの作成

 身に覚えのないメールが届いたときに、メール本文の文法・内容が不自然であることからフィッシングメールであると気づいたことも少なくないかと思います。近年ではAIを悪用することで、容易に自然な文面のフィッシングメールが作成される可能性があると指摘されています。この対策として、以下の【図3】に示すとおり、「フィッシングメールを作成してください」といった指示(プロンプト)に対し、応えない仕組み(ガードレール)が一部のAIサービスには施されています。

2025_4_secnews4

【図3】:ChatGPTで「フィッシングメールを作成して下さい」と入力した場合

 

 しかし、【図4】のように、プロンプトを修正して入力すると、メールの文面例が出力されます。このように、プロンプトを工夫することでこの仕組みを潜り抜け、フィッシングメールに悪用される可能性も考えられます。

2025_4_secnews5

【図4】:プロンプトを修正した場合

 

 また、2024年11月30日に公開されたFred Heiding氏、 Simon Lermen氏、 Andrew Kao氏、 Bruce Schneier氏、 Arun Vishwanath氏による論文で、AIが作成したフィッシングメールのリンククリック率は50%を超えるとの研究結果が発表されました[6]。
 この研究では、AI搭載のフィッシング自動化ツールが用いられています。プロセスは以下のとおりです。
 ・ターゲットの情報収集:ターゲットの詳細なプロファイルを作成
 ・フィッシングメールの作成:ターゲットに合わせたメールを作成
 ・フィッシングメールの送信
 ・追跡と結果の分析:ターゲットがクリックしたかどうかを記録、結果を分析し自己学習を行う

 人間の専門家が作成したメールと、このAIフィッシングツールで作成されたメールを比較した結果、両者ともに同等のパフォーマンスを発揮することが示されています。さらに、従来のフィッシングメールのリンククリック率は12%であり、AIフィッシングツールのパフォーマンスの高さが浮き彫りとなっています。効率面からみても、AIフィッシングツールを使用した場合だと、手動で作成するより約92%の時間短縮したとの結果を得ています。
 同研究ではAIによるフィッシングメールの検知についても言及しており、大規模言語モデルのClaude 3.5 Sonnetで実験したところ、フィッシングメールの検出率は97.25%、正当なメールを疑わしいと判断した誤検知は0%でした。
 AIを悪用したフィッシングは効率的で成功率が高く、私たちにとっても脅威となりえますが、今後の展望として、AIによる防御、検知も有効な手段と考えられます。

 

5. フィッシング対策

 個人利用者向けの対策としては以下が挙げられます。
  ・メールフィルタなどのセキュリティ対策製品を導入する
  全ての攻撃を防ぐことは難しいですが、基本対策として有効です。
  ・不審なメール・SMSのURLリンクは開かない
  メールやSMSのリンクからではなく、公式アプリやブラウザから公式サイトへアクセスすることで、
  偽サイトへアクセスするリスクが低くなります。
  ・フィッシング攻撃の最新手口を知り、動向をチェックする
  ・認証情報やクレジットカード情報など重要な情報を入力する際に、正規のサイトかどうかを確認する

 事業者向けの対策としては以下が挙げられます。
  ・送信元を偽装するなりすましメール対策として、SPF/DKIM/DMARCのような送信ドメイン認証の導入を検討する
  ・ID/パスワード以外の認証方法(パスキーなど)も追加する、重要な箇所は二段階認証を適用するなど、認証強化を検討する
  ・自社が運用するWebサイトに対する定期的な脆弱性診断を行う

 

6. まとめ

 今回、フィッシング攻撃の手法を実例と共にいくつかご紹介しましたが、上記以外の様々な事例も発生しています。被害に遭わないためには、最新の動向や攻撃手法を理解し対策をすることが重要です。
 利用者個人の対策を徹底するとともに、事業者側がフィッシング攻撃に利用されないようにすることも、被害を拡大させないために必要です。例えば、運用中のWebサイトに存在する脆弱性をつかれ、攻撃者によって正規の送信元になりすましたフィッシングメールが送られてしまう、といった可能性も考えられます。弊社の脆弱性診断サービスでは、このようなフィッシング攻撃に関連する脆弱性も含め、多種多様な脆弱性カテゴリの診断をしていますので、是非弊社の脆弱性診断をご検討ください。

 

7. SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

 コロナ禍を経て急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
 SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。

セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment

 

8. 参考資料

 [1] フィッシング対策協議会 Council of Anti-Phishing Japan | 2025/03 フィッシング報告状況 2025年4月18日閲覧
 https://www.antiphishing.jp/report/monthly/202503.html

 [2] ヤマト運輸の名前を装った「迷惑メール」が多発しています。「なりすましサイト」への誘導に十分ご注意ください 2025年4月14日閲覧
 https://www.yamato-hd.co.jp/important/info_181212.html

 [3] フィッシング対策協議会 Council of Anti-Phishing Japan | Amazon をかたるフィッシング 2025年4月14日閲覧
 https://www.antiphishing.jp/news/alert/amazonQR_20230105.html

 [4]トレンドマイクロ、2025年セキュリティ脅威予測を公開 2025年4月17日閲覧
 https://www.trendmicro.com/ja_jp/about/press-release/2024/pr-20241224-01.html

 [5]会計担当が38億円を詐欺グループに送金、ビデオ会議のCFOは偽物 香港  2025年4月17日閲覧
 https://www.cnn.co.jp/world/35214839.html

 [6]Evaluating Large Language Models' Capability to Launch Fully Automated Spear Phishing Campaigns: Validated on Human Subjects 2025年4月18日閲覧
 https://arxiv.org/html/2412.00586v1

 

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

ssk_logo.pngサービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
       TEL 03-4500-4255
       FAX 03-6824-9977
       sales@ssk-kan.co.jp