フィッシング攻撃は、サイバーセキュリティ上の重大な脅威として長年にわたり存在し続けています。2024年に入っても、その手口はますます巧妙化し、被害は拡大傾向にあります。本コラムでは、最新のフィッシング攻撃の動向や手法、そして効果的な対策について詳しく解説します。
フィッシング攻撃の現状
報告件数の急増
フィッシング対策協議会の「フィッシングレポート 2024」によると、2023年のフィッシング報告件数は過去最高の100万件を超え、1,196,390件に達しました1。これは2022年と比較して約1.23倍の増加となっています。特に10月には月間で15万件を超える報告があり、月別でも過去最高を記録しました2。
この急増の背景には、フィッシングメールの配信量の増加だけでなく、一般ユーザーのフィッシング詐欺に対する認知度の向上も影響していると考えられます。
攻撃対象の多様化
2023年には212のブランドがフィッシング攻撃の対象となりました。
業種別の内訳は以下の通りです。
- 金融系:41ブランド
- クレジットカード・信販系:34ブランド
- 通信事業者・メールサービス系:25ブランド
- EC系:18ブランド
- オンラインサービス系:15ブランド
- 仮想通貨系:12ブランド
- 公共サービス系:10ブランド
- 官公庁系:9ブランド
- 決済サービス系:8ブランド
- その他:34ブランド
この多様化の背景には、従来から狙われてきた事業者がフィッシング対策を強化したことで、攻撃者が新たなターゲットを探していることが考えられます。
最新のフィッシング攻撃手法
QRコードを利用した攻撃
QRコードを利用したフィッシング攻撃(Quishing)が急増しています34。この手法は、メール本文中にURLを直接記載する代わりにQRコードを使用することで、迷惑メールフィルターを回避する狙いがあります。QRコードの普及により、ユーザーがQRコードをスキャンすることに慣れてきたことも、この攻撃手法の増加に寄与しています。現時点では主に一般のサイバー犯罪者が利用していますが、今後はAPT(高度持続的脅威)攻撃者による利用も懸念されています。
AIを活用した攻撃
生成AIの発展に伴い、AIを悪用したフィッシング攻撃も増加しています。
具体的には以下のような手法が確認されています。
- 音声フィッシング(ビッシング):AIを使って生成した音声を用いた詐欺
- ディープフェイク フィッシング:AIで作成した偽の映像や音声を使用した攻撃
これらの手法により、攻撃者はよりリアルで説得力のあるソーシャルエンジニアリング攻撃を実行できるようになっています。
中間者(AiTM)フィッシング
中間者(Adversary-in-the-Middle)フィッシング攻撃は依然として横行しています5。この手法では、攻撃者が正規のウェブサイトと被害者の間に介在し、通信を傍受・改ざんすることで認証情報を盗み取ります。
ブラウザーインザブラウザー(BitB)攻撃
ブラウザーインザブラウザー(Browser-in-the-Browser)攻撃は、新たな脅威として拡大しています。この手法では、攻撃者が正規のログインポップアップウィンドウを模倣し、ユーザーの認証情報を盗み取ります。
ランサムウェアとの関連
フィッシング攻撃は、ランサムウェア攻撃の初期侵入経路としても頻繁に利用されています。2024年前半に日本国内で被害をもたらした主なランサムウェアグループとして、LockBitと8baseが挙げられます6。LockBitによる主な被害事例は以下の通りです。
| 発覚/公表日時 | 被害組織の業種 | 侵入口 |
|---|---|---|
| 2023年7月 | 港湾業者 | VPN |
| 2023年12月 | 製造業者 | VPN |
| 2024年1月 | 卸・小売業者 | 不明 |
| 2024年2月 | 製造業者 | VPN |
| 2024年4月 | 卸・小売業者 | VPN |
| 2024年4月 | 製造業者 | 不明 |
これらの事例から、VPNが主要な侵入経路となっていることがわかります。フィッシング攻撃によってVPNの認証情報が盗まれ、それを利用してランサムウェア攻撃が行われるケースが多いと考えられます。
効果的な対策
フィッシング攻撃から組織を守るためには、多層的なアプローチが必要です。以下に主な対策を紹介します。
1. 従業員教育の強化
フィッシング攻撃の多くは、人間の判断ミスを利用しています。そのため、従業員に対する定期的なセキュリティ教育が非常に重要です7。具体的には以下のような内容を含めるべきです:
- フィッシングメールの特徴と見分け方
- 不審なリンクや添付ファイルの取り扱い方
- 個人情報や機密情報の適切な管理方法
- 最新のフィッシング手法に関する情報共有
2. 多要素認証(MFA)の導入
多要素認証を導入することで、仮にパスワードが盗まれても、追加の認証要素があるため不正アクセスを防ぐことができます8。特に、フィッシング耐性の高いFIDO2準拠のセキュリティキーの使用を推奨します。
3. メールセキュリティの強化
以下のようなメールセキュリティ対策を実施することで、フィッシングメールの検出・ブロックが可能になります。
- SPF、DKIM、DMARCなどの送信ドメイン認証技術の導入
- AIを活用した高度なスパム・フィッシングフィルターの導入
- 添付ファイルの自動サンドボックス解析
4. ウェブフィルタリングの導入
ウェブフィルタリングを導入することで、既知のフィッシングサイトへのアクセスをブロックし、未知のサイトについても評価・分析を行うことができます。
5. セキュアなVPN環境の構築
ランサムウェア攻撃の侵入経路としてVPNが悪用されているケースが多いため、以下のような対策が重要です。
- VPNの脆弱性を迅速に修正する
- 強力なパスワードポリシーを適用する
- 可能な限り多要素認証を導入する
- 不要なVPNアカウントを削除する
6. インシデント対応計画の策定
フィッシング攻撃を完全に防ぐことは困難であるため、攻撃を受けた際の対応計画を事前に策定しておくことが重要です。計画には以下の要素を含めるべきです。
- 攻撃の検知方法
- 初動対応の手順
- 被害の影響範囲の特定方法
- 関係者への連絡体制
- 復旧手順
- 再発防止策の検討プロセス
まとめ
フィッシング攻撃は2024年も引き続き大きな脅威となっています。QRコードやAIを利用した新たな手法の出現、ランサムウェア攻撃との連携など、攻撃はますます巧妙化・複雑化しています。組織がこれらの脅威から身を守るためには、技術的対策と人的対策の両面からアプローチする必要があります。最新のセキュリティ技術の導入、従業員教育の徹底、インシデント対応計画の策定など、総合的なセキュリティ対策を講じることが重要です。また、フィッシング攻撃の手法は日々進化しているため、常に最新の脅威情報を収集し、対策を更新し続けることが求められます。セキュリティは終わりのない取り組みですが、継続的な努力によって、組織の重要な資産を守ることができるのです。
- https://scan.netsecurity.ne.jp/article/2024/06/12/51132.html ↩︎
- https://www.antiphishing.jp/report/phishing_report_2024.pdf ↩︎
- https://www.trendmicro.com/ja_jp/jp-security/24/f/expertview-20240624-01.html ↩︎
- https://enterprisezine.jp/news/detail/19164 ↩︎
- https://www.zscaler.jp/blogs/security-research/phishing-attacks-rise-58-year-ai-threatlabz-2024-phishing-report ↩︎
- https://www.trendmicro.com/ja_jp/jp-security/24/f/expertview-20240617-01.html ↩︎
- https://www.pacola.co.jp/%E5%A2%97%E5%8A%A0%E3%81%99%E3%82%8B%E3%83%95%E3%82%A3%E3%83%83%E3%82%B7%E3%83%B3%E3%82%B0%E6%94%BB%E6%92%83%E3%81%AB%E4%BC%81%E6%A5%AD%E3%81%8C%E5%8F%96%E3%82%8B%E3%81%B9%E3%81%8D%E6%9C%80%E6%96%B0/ ↩︎
- https://blog.smtps.jp/entry/2024/04/16/130953 ↩︎