フィッシング攻撃が急増しています。2024年、AI生成フィッシングメールは全体の73.8%に達しました。しかも、PhaaS(Phishing as a Service)という新たな脅威も拡大しています。つまり、誰でもフィッシング攻撃を実行できるサービスです。しかし、適切な対策で防御は可能です。そこで今回は、最新の手口と効果的な対策を解説します。
AI悪用によるフィッシングの進化
生成AIがフィッシング攻撃を劇的に変えています。従来のフィッシングメールには文法ミスがありました。しかし、AIが生成する文面は自然で違和感がありません。実際、IBMの実験では衝撃的な結果が出ています。
具体的には、AIはわずか5つのプロンプトと5分で効果的なフィッシングを作成できました。さらに、ターゲットに合わせたパーソナライズも容易です。つまり、攻撃の品質と速度が格段に上がっています。特に、多言語対応のフィッシングが増加しています。なぜなら、AIは翻訳も得意だからです。
PhaaS(サービス型フィッシング)とは
PhaaSは月額制のフィッシング攻撃プラットフォームです。まず、偽サイトのテンプレートが提供されます。また、メール送信インフラも用意されています。さらに、収集したデータの管理画面も含まれます。
しかし、最も問題なのはMFAバイパス機能です。具体的には、二要素認証を突破するリバースプロキシ技術が組み込まれています。つまり、従来のセキュリティ対策では防げないケースがあります。特に、Evilginx2やModlishkaなどのツールが悪用されています。なお、月額数百ドル程度で利用可能です。
最新のフィッシング手口
いくつかの新しい手口が確認されています。まず、QRコード型フィッシング(Quishing)が増加しています。また、ブラウザ内ブラウザ(BiTB)攻撃も巧妙です。さらに、SNSを使ったフィッシングも増えています。
具体的には、偽のログイン画面をブラウザ内に描画する手法が使われています。しかし、URLバーまで偽造するため見分けが困難です。つまり、見た目だけでは判断できない攻撃が主流になっています。特に、多要素認証の突破を狙う攻撃が最も深刻です。実際、セッションクッキーの窃取が増加しています。
効果的な対策
いくつかの対策が推奨されます。まず、FIDO2/WebAuthnベースの認証を導入しましょう。また、セキュリティ意識向上トレーニングも重要です。さらに、メールフィルタリングの強化も効果的です。
しかし、最も重要なのはパスキーの導入です。なぜなら、フィッシングに対して根本的な耐性があるからです。つまり、偽サイトに認証情報を送信しない仕組みです。特に、企業はFIDO2対応を優先すべきです。なお、従業員教育とテクノロジーの両面からの対策が最も効果的です。
まとめ
フィッシング攻撃はAI悪用とPhaaSにより急速に進化しています。しかし、FIDO2やパスキーなどの対策で防御は可能です。特に、MFAバイパスへの対応が喫緊の課題です。また、従業員のセキュリティ教育も不可欠です。実際、テクノロジーと教育の両輪で組織を守ることが重要です。