| 【2025年版】フィッシング詐欺の最新事例|AI生成メール、QRコード詐欺、多要素認証バイパスの実態とは | |
|---|---|
| 作成日時 25/12/16 (08:22) | View 133 |
2025年のフィッシング詐欺は、もはや誤字だらけの稚拙な文面ではありません。生成AIの進化により、精巧かつ自然な文章が大量に作られ、見破るのが難しいメッセージが急増しています。
たとえば、経営者や取引先の文体を模したメール、役員の声を再現した電話、QRコードを使った巧妙な誘導など、攻撃手法は多様化しており、メールに限らず、あらゆるコミュニケーション手段が狙われています。
本記事では、進化するフィッシングの手口や攻撃者の心理的な誘導の仕方、実際に起きた被害事例、そして企業が取るべき具体的な対策を3つの視点から整理しています。次の標的にならないために、いま知っておくべき要点を網羅しました。
メール、SNS、QRコード、ディープフェイクなど、フィッシング攻撃の入口は年々増え続けています。2025年は特にAIによる高度化が顕著で、従来の「怪しいフォーマットや誤字で判断する方法」が通用しなくなり、情報システム部門にとって負担が一段と増しています。
まずは最新の全体動向から把握し、自社のリスクを明確にしていきましょう。
2025年の第1四半期から第2四半期までの間に、世界で確認されたフィッシング攻撃は200万件を超えました。
前年比で13%の増加となっており、これは単なる一時的な傾向ではなく、フィッシングが攻撃者にとって確立されたビジネスモデルになっていることを示しています。
その被害も深刻です。フィッシングが原因となるセキュリティ侵害による損害は、1件あたり平均129万ドル(約1億9,000万円)にのぼり、企業にとっては看過できないコストとなっています。
また、ランサムウェアの46%はフィッシングメールなどをきっかけに侵入しており、社員がうっかりリンクを1回クリックしただけで、企業全体のシステムが停止してしまう事例も相次いでいます。
かつては、文法の誤りや不自然な日本語から、フィッシングメールをある程度見抜けました。しかし、2025年の詐欺メールは様変わりしています。生成AIにより、ビジネスメールの文体や言い回しが精密に模倣され、読み手が違和感を覚える余地はほとんどありません。
攻撃者はSNSのプロフィール、企業の公式サイト、プレスリリース、市場レポートなどから情報を自動収集し、役職名や口調、さらには過去のメールに見られる癖までも再現します。その結果、極めて精密な「なりますしメール」が社員に届くといったケースも発生しています。
さらに、わずかに異なる内容のメールを数千通単位で自動生成する多形攻撃が急増しており、従来の静的な検知ルールでは対処が困難になっています。AIを悪用したフィッシング攻撃は前年比で1,265%という異常な増加を見せており、防御側は攻撃の速度・精度の両面で対応が追いつかない状況に陥っているのです。
フィッシング攻撃がやっかいなのは、技術そのものよりも、人間の心理を突く点にあります。特にAIは、人の感情や認知バイアスに合わせて文面を自動調整するため、注意深く見ても見抜くのが難しいほど自然なメールを生成します。
ここでは心理操作がどのように仕組まれているかを見ていきます。
AIが生成する詐欺メールは、人が反応しやすい心理パターンを学習しています。たとえば、アカウント停止を装った警告文では、対応期限や残り時間を巧妙に盛り込み、「今すぐ対処しなければ重大な不利益が生じる」と受け手に思わせる内容になっています。
また、上司や経営層の名前を使った依頼メールでは、過去の実際の文章を参照し、語尾や文構造まで模倣されるため、受信者は疑う前に行動に移してしまう傾向があります。2025年第2四半期のデータでは、BEC(ビジネスメール詐欺)メールの40%がAIによって生成されており、人間ではなくAIが心理操作の主役となっているのは明確な事実です。
なぜ同じ手口に何度も騙される?フィッシング詐欺から学ぶ「人の心理の穴」
「サイバーセキュリティもAIで進化しているから大丈夫」と思われる方はいるでしょう。
しかし近年では、文章の一部を言い換えたり語順を変えることで、AIによる検知を回避する「Adversarial Perturbation(敵対的摂動)」という手法が増加しています。
実際に検知AIの弱点を学習させたAIを使って文章を微調整し、検出率を98%から40%まで大幅に低下させるケースも確認されています。つまり、2025年のフィッシング攻撃は「人間対AI」ではなく、「AI対AI」の攻防に移行しているのです。
貴社で導入しているメールフィルタリング技術も、静的なルールのみに依存している場合、すでにその効果を十分に発揮できていない可能性があります。
多要素認証(MFA)を導入しているから安心だと感じている方も多いのではないでしょうか。しかし2025年の攻撃者は、MFAを正面から突破するのではなく、通信の間に割り込むことでワンタイムパスコードを横取りするAiTM攻撃へ手法を切り替えています。
この攻撃は高度というよりも、設計上の盲点を突いているため、気づいたときにはすでに侵害が進んでいることも珍しくありません。ここでは、AiTMについて見ていきましょう。
多要素認証(MFA)の種類と選び方:初心者にもわかりやすく徹底解説
AiTM攻撃とは、ユーザーと本物のサービスとの通信のあいだに攻撃者が入り込み、ログイン情報や多要素認証のトークンまで盗む手口です。
ユーザーは正しいサイトにアクセスしているつもりでも、実際には攻撃者が用意した中継サーバーを経由しています。そのため、ユーザーが入力した情報はそのまま攻撃者に渡ってしまう仕組みです。
さらに、セッションCookieという一時的なログイン情報を盗まれると、たとえパスワードを変更しても、そのセッションは攻撃者側で使い続けられます。つまり、一度入り込まれると完全に防ぐのは難しくなります。
そのため、パスワード管理だけでなく、セッションの保護やリアルタイムでの監視など、複数の視点から防御する対策が必要です。
近年、Tycoon 2FAやEvilProxyといったフィッシング攻撃の自動化ツールが広まり、専門的な知識がなくても、画面上の操作だけで攻撃を仕掛けられるようになっています。
中でもTycoon 2FAは、2025年1月時点で全PhaaS(Phishing as a Service)攻撃の約89%を占めており、低コストかつ成功率の高さを武器に、攻撃手段がビジネスとして成立する段階に入っています。
こうした脅威に対応するため、FIDO2キーを使ったパスワードレス認証が国際標準として整備されているため、ハードウェアベースの認証方式への移行を進める必要があるでしょう。
すべてのアカウントを一度に切り替えるのが難しい場合、特に重要なアカウントだけでも優先的に導入することで、実質的な被害の軽減につながります。
多くの企業はメール対策に注力していますが、攻撃者はすでにメール以外のチャネルにも攻撃範囲を拡大しています。特に音声・動画、QRコード、SNS、SMSなどは、従来のメールフィルタリングでは防御が難しく、組織にとって見落とされがちな盲点となっています。
ここでは、チャネルが多様化するフィッシング攻撃について解説します。
AIによる音声生成技術が進化したことで、上司や経営層の声をほぼ完全に再現する音声詐欺(ビッシング)が急増しています。
たとえば、CFOの声で「至急の送金を頼む」と言われた場合、それが偽物だと気づかず、すぐに応じてしまうのも不思議ではありません。
実際に香港では、ディープフェイク映像を使った偽のオンライン会議によって、約2500万ドルの送金詐欺が発生しました。映像と音声の両方が、本物の役職者そっくりに再現されており、見抜くのは非常に困難です。
2024年時点で、ディープフェイクを使ったCEO詐欺は10万件を超えており、2025年にはさらに増加しています。
このような状況では、音声による確認だけではもはや十分とは言えません。被害を防ぐには、二重の承認手続きや信頼できる送信元を事前登録するといった対策が欠かせません。
自動音声を併用するボイスフィッシングが多発 ~ネットバンキングの法人口座を守る~
QRコードは画像として扱われるため、メールのセキュリティシステムでは検知されにくくなっています。2025年には、こうした攻撃が前年比で11%増加しており、とくにDHLやMicrosoftなど、信頼度の高いブランドが狙われました。
具体的な手口の一例として、車のフロントガラスに偽の駐車違反通知を貼り付け、そこに印刷されたQRコードを読み取らせることで、不正な支払いページへと誘導するケースがあります。
このように、現実の空間とサイバー空間が組み合わさった攻撃は、現場での対応が難しいという課題があります。
【悪意のQRコード】街中やメールに潜む危険な罠!スキャンする前に確認を
銀行や宅配業者、官公庁を名乗るSMSによるスミッシングが再び増加中です。さらに、LinkedInを通じて送られる偽の会議招待も広がりを見せています。
これらの攻撃では、CloudflareのCAPTCHA画面やMicrosoftのログイン画面を真似た精巧なデザインが使われており、多くのユーザーが不審に思わずに情報を入力してしまいます。
攻撃の手口はメールだけにとどまらず、SNSやモバイル端末など、多様なチャネルに広がっています。そのため、メール対策だけでなく、スマートフォンの管理やSNSの利用ルールなどを含めた、包括的な対策体制の構築が必要でしょう。
攻撃者は一見無差別に攻撃しているように見えますが、実際には利益が最大化できる業界やブランドを極めて計画的に選んでいます。自社がどの分類に該当するかを把握することで、想定される攻撃手口をより正確に見極めることが可能です。
下表は、2025年時点でフィッシング詐欺の標的になりやすい業界を、攻撃の割合や要因とともに示したものです。
|
業界 |
攻撃割合 |
主な要因 |
|
金融・保険 |
24% |
送金処理や顧客データの価値が高い |
|
医療 |
17% |
個人情報を多く扱い、業務に緊急性がある |
|
教育 |
11% |
セキュリティ予算や専門人材が不足しがち |
|
製造業 |
74,000件超 |
サプライチェーンを経由した攻撃が増加傾向 |
金融・保険業界は依然として最も狙われやすく、送金や口座管理などに直結する業務の特性上、被害が深刻化しやすい分野です。
医療業界では、医療記録や保険情報といった機密性の高いデータに加え、緊急性のある業務プロセスが、攻撃成功率の高さにつながっています。
さらに、製造業ではサプライチェーン全体を標的とする攻撃が目立ち、間接的な侵入経路として利用されやすい状況です。
攻撃者は、信頼性の高いブランドに偽装することで、ユーザーの警戒心を下げようとします。特に以下の5つのブランドが、模倣される頻度が高いとわかっています。
|
ランキング |
ブランド |
攻撃シェア |
備考 |
|
1位 |
Microsoft |
25% |
TeamsやOneDriveなど、日常業務に直結するツールが狙われる |
|
2位 |
Google |
11% |
サインイン画面を模したフィッシングが多発 |
|
3位 |
Apple |
9% |
iCloudやApp Storeの通知を装った詐欺 |
|
4位 |
DHL |
23%(クイッシングで最多) |
配送通知や請求書を装ったQRコード詐欺が急増中 |
|
5位 |
高級ブランド(Gucciなど) |
1,200件超 |
ブラックフライデーや年末商戦など、季節イベントに便乗 |
もっとも多く模倣されているのは Microsoft で、全攻撃の25%を占めています。
業務利用の多さから社員が違和感を抱きにくく、サインイン詐欺や共有ファイル通知を装った手口が多く確認されています。
英国の大手小売企業M&S(Marks & Spencer)およびCo-opでは、ITヘルプデスクを装った巧妙なサイバー攻撃が発生しました。
攻撃者はまず、正規のIT部門を名乗って社員に接触。多要素認証(MFA)の一時解除やアカウント操作の許可を求めることで、正規の認証プロセスを回避し、社員アカウントのアクセス権を不正に取得しました。
その後、攻撃者は取得した権限を利用して企業内のシステムに侵入。内部ネットワークを通じてランサムウェアを展開しました。これにより、大量の顧客データが外部に流出し、被害額は推定で2億7000万〜4億4000万ポンドにのぼると報告されています。
今回の攻撃で特に注目すべき点は、「内部の人間になりすます」というソーシャルエンジニアリングの巧妙さにあります。ITヘルプデスクは業務上、ユーザーアカウントやシステム権限に深く関与するため、ここを突破口とされると、短時間で広範囲に影響が及びます。
このような手口は、どの企業にとっても無関係ではありません。従来のID・パスワード管理やMFAの導入だけでは不十分であり、社内ヘルプデスクやITサポートに対する認証フローや対応手順の見直しが急務となっています。
フィッシング攻撃は年々手口が巧妙になっており、これまでのような単純な対策では防ぎきれない時代に入っています。ただツールを導入するだけではなく、攻撃の仕組みに合わせて、守り方そのものを見直すことが必要になってきています。
ここでは、「技術」「運用」「教育」の3つの視点から、今すぐ実践できる対策を整理しました。
はじめに検討すべきなのは、FIDO2という仕組みによるパスワードレス認証の導入です。これは、従来のパスワードに代わり、専用端末や生体認証などを使ってログインする方法で、セキュリティ面で非常に優れています。
特に、SMSや電話を使った従来の多要素認証は、盗聴されたり、中間者攻撃(AiTM)によって情報が奪われたりするリスクがあります。FIDO2を使うことで、こうした手口に強くなります。
また、社内の管理者アカウントには、ハードウェアキーと呼ばれる物理的な認証デバイスを使うことで、攻撃者による不正アクセスの成功率を大きく下げられます。
高度なフィッシング攻撃に対抗するには、従来のセキュリティ対策だけでは不十分です。
特に重要なのが、文脈や違和感を読み取れるAIの活用です。たとえば、通常とは異なる時間帯にメールが送られていたり、書き方が少しだけ変わっていたりするような、わずかな違いをAIが見つけ出します。社員一人ひとりの行動パターンを学習し、不自然な動きを早期に検知できる仕組みが必要です。
社員のセキュリティ意識を高めることは、これからも対策の中心になります。
効果的なのが、年に2回以上のフィッシング訓練です。訓練の中では、どれくらいの社員が不審なメールをクリックしてしまうかなどの指標を定期的に測定することで、組織全体のリスクレベルを可視化できます。
また、メール文の誤字脱字を探すような表面的な確認ではなく、なぜこのメールが怪しいのか、どのように人の判断をあやつろうとしているのかといった心理的な誘導に気づく訓練が欠かせません。
徹底した従業員教育を行えば、AIが生成したような精巧なフィッシングにも、対応できるようになります。
2025年のフィッシング詐欺において、本当の脅威となっているのは、技術の高度さそのものではありません。
攻撃者は、人の心理や行動パターンを巧みに読み取り、ほんの数秒で判断をゆがめるような心理操作を仕掛けてきます。その背後では、AIが感情や反応を分析し、人間の行動をコントロールする仕組みが動いています。
このような環境下で、企業が守るべき対象はシステムだけではありません。日々の業務の中で意思決定を行う従業員ひとりひとりを、どう守るかがこれからのセキュリティ対策の中心になるでしょう。
さらに、ダークウェブ上では盗まれたアカウント情報や内部データが日常的に売買されています。情報が流出してからでは対処が難しいケースも多いため、自社に関する情報が出回っていないかを継続的に監視する体制(ダークウェブモニタリング)の構築も欠かせません。
重要なのは、攻撃の事例や仕組みを正しく理解し、それを現場の業務や運用ルールに落とし込むことです。対策を実践に結びつけられるかどうかが、進化し続ける脅威への最大の防御となります。
