フィッシング攻撃が急増する理由とは？AIとPhaaSで変わる2025年の脅威と対策

フィッシング攻撃の被害が過去最悪を更新し続けている

ここ数年、フィッシング攻撃の件数は右肩上がりで増え続けています。セキュリティ企業の調査では、2023年に企業の94%以上がフィッシングの被害を経験しました。さらに、前年比で約40%もの増加を記録しています。

なぜこれほどフィッシング攻撃が猛威を振るっているのでしょうか。その背景には、AIの進化とPhaaS（フィッシング・アズ・ア・サービス）という2つの大きな変化があります。

ChatGPTをはじめとする生成AIの普及は、サイバー犯罪にも大きな影響を与えています。かつてのフィッシングメールは不自然な日本語が特徴でした。つまり、注意深い人なら見抜けるものが多かったのです。

しかし、生成AIの登場で状況が変わりました。流暢で違和感のないフィッシングメールを大量に生成できます。さらに、ターゲットの業界や役職に合わせたカスタマイズも容易です。

また、ディープフェイク技術との組み合わせも厄介です。たとえば、2024年には経営幹部の声をAIで再現した「ボイスフィッシング」が複数報告されました。なお、香港では約38億円の被害が出た事件もありました。

もうひとつの大きな変化がPhaaSの普及です。これはフィッシング攻撃ツール一式をサブスク形式で提供するサービスです。具体的には、ダークウェブやTelegramで取引されています。

PhaaSを使えば技術的な知識がほぼ不要です。つまり、偽ログインページの作成からメール送信まで行えます。また、月額数千円程度から利用できるため参入障壁が極めて低いのです。

さらに、2024年に注目を集めた「Tycoon 2FA」はMFAを突破する機能を備えていました。そのため、MFAを設定しているから安全という認識はもはや通用しません。

AIとPhaaSの組み合わせは攻撃の「スピード」も変えました。たとえば、CrowdStrikeの障害発生からわずか数時間で偽復旧サイトが複数立ち上がりました。

また、パリオリンピックの際にも偽チケット販売サイトが大量に出現しました。なお、Google検索で上位に表示されるものもあり多くの被害が出ています。

2025年もフィッシング攻撃の進化は止まりません。特に注意が必要なのは以下のトレンドです。

QRコードフィッシング（クイッシング）の増加。メールにQRコードを埋め込む手法が急増しています。つまり、URLフィルタリングをすり抜けられます。さらに、物理的にQRコードを貼る手法も報告されています。

SNSやメッセージアプリ経由の攻撃。メール以外のチャネルを使ったフィッシング攻撃も増えています。具体的には、LINEやInstagramのDMを使った攻撃です。なお、メールほどセキュリティ対策が整っていないのが問題です。

サプライチェーンを狙った標的型フィッシング攻撃。取引先を装って請求書を送りつける手口は以前からあります。しかし、AIで文面の精度が格段に向上しています。また、過去のメールのやり取りを模倣するケースも確認されています。

フィッシング攻撃への対策は、技術と人の両輪で考える必要があります。

まず、OSやブラウザを常に最新の状態に保ちましょう。また、メールのリンクは安易にクリックしないことが基本です。

企業では、FIDO2準拠のパスキー導入が有効です。従来のSMS認証はAiTM攻撃で突破される可能性があります。そのため、フィッシング耐性のある認証方式への移行が急務です。

さらに、定期的なフィッシング訓練も欠かせません。「怪しいメールは報告する」という文化を根付かせましょう。なお、Chrome拡張機能の危険性についても知っておくことが大切です。

AIとPhaaSの進化でフィッシング攻撃は誰もが被害者になりうる脅威に変貌しました。つまり、「怪しいメールに注意」レベルの対策ではもはや不十分です。

最新の手口を知り技術的な防御を固めましょう。さらに、組織全体でセキュリティ意識を高めていくことが重要です。また、PyPIのサプライチェーン攻撃もセキュリティ対策として参考にしてください。なお、フィッシング対策協議会の情報も定期的に確認しましょう。