攻撃者は新たな釣り堀を見つけています
マルチチャネルへの攻撃には、新しい考え方や戦略での対応が必要です
CISOには、新たなプレイブックが今すぐ必要です。彼らは、しばしば自社の組織のデジタルセキュリティの灯台として、新たに出現する脅威に対し果敢かつ見事に光を当ててきました。しかし彼らが得意とした戦略の多くは、クラウド移行やデジタルサービスが存在した過去の時代に開発されたものです。そのような時代はもう終わりました。その結果、多くのCISOのツールボックスにあるツー��ルは、経年劣化し、錆びつきつつあります。
このことは、フィッシング対策において最も顕著であり、世界中の企業はこの対策に年間500億ドル以上の費用を費やしています。
最初の現代的なフィッシング攻撃は1990年代に発生しました。当時、ダイヤルアップインターネットのユーザーが初めてメールの驚異を体験していた頃です。それから数十年経った今でも、メールはサイバー犯罪者が好んで用いる攻撃手段であり続けています。実際、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によると、成功したサイバー攻撃の90%以上がフィッシングメールから始まっています。
しかし、今日のフィッシングメールは、昨日のフィッシングメールとは異なります。その件数は膨大(サイバー犯罪者は、毎日何十億件ものフィッシングメールを送信していると推定されている)であるだけではなく、もっともらしい内容になっています。コロンビア大学の研究者によれば、その主な理由の一つに、人工知能を挙げています。2025年7月、彼らは迷惑メールの51%以上がAIを使用して生成されていることを示す画期的な研究を発表しま�した。
本研究の筆頭著者Wei Hao氏は、「今回の結果から、攻撃者は主にAIを使って攻撃戦略を変更するのではなく、メールの品質を向上させる、つまりタイプミスや文法ミスを減らすためにAIを使っていることが明らかになりました。これにより、スパム検出がより困難になり、受信者にとってより説得力ある内容になっている可能性があります」と、プレスリリースで述べています。
新種のフィッシング攻撃に対抗するにあたり、CISOが古い戦術を使っているとすれば、それは庭のホースで大規模火災に立ち向かっているようなものです。
さらに、問題はAIだけではありません。リーチとリターンの両方を拡大するため、サイバー犯罪者は、テキストメッセージ、音声通話、QRコード、ソーシャルメディアなど、ますます多様化する新しい通信チャネルをフィッシング攻撃に利用しています。CISOは、あらゆる面でフィッシングを阻止するために、自動化、リアルタイムの脅威分析、トレーニングといった最新セキュリティ対策への投資を増やす必要があります。
フィッシング戦術がいかに進化しているか
フィッシングメールを捕捉するにあたり、スパムフィルターを設定するだけでは不十分です。現代の攻撃者は、さまざまな方法で標的を捕らえようとしています。例えば、攻撃ベクトルとして、スミッシング、ビッシング、クイッシング、企業コミュニケーションプラットフォーム、そしてソーシャルメディアが増加しています。しかし、これらは、CISOとそのチームが従来フィッシング攻撃を阻止するために用いてきた多くの一般的な検出・緩和方法を回避します。
「マルチチャネル」フィッシング攻撃の登場は、サイバー犯罪における新たな時代の到来を告げるものです。この新しい時代におけるサイバー犯罪者の活動状況を理解することは、進化する脅威に対応したいCISOにとって不可欠です。特に、現代のフィッシングにおいて、最も効果的なCISOが認識すべき3つの側面は、AI、ソーシャルエンジニアリング、そして情報収集です。
AIフィッシング
AIのおかげでフィッシング攻撃の認識が難しくなりました。コロンビア大学の研究者が正しく指摘したように、AIにより、かつてはフィッシングの明らかな兆候であったスペルミスや文法ミスが一掃されるようになったからです。
AIは、詐欺師の文章力を向上させているだけで�はありません。営業担当者としても向上しているのです。攻撃者は、生成AIツールやエージェントAIツールの助けを借りて、特定のグループや個人に合わせたフィッシングメッセージを作成することができます。例えば、AIディープフェイクやボイスクローニングは、現代の攻撃者の武器の重要な一部になっています。それにより、専門家でさえ本物と偽の違いを区別するのが難しいほど現実的な画像や動画を作成することができます。
攻撃者が企業のCEOになりすましたメールアドレスからマルウェア入りのPDF添付ファイルを従業員に送信し、その後、クローン化された音声で電話をかけたとします。それによって、企業にどのような損害を与える可能性があるか、想像してみてください。この手のフィッシング攻撃は、今日すでに発生しています。
AIがより普及するにつれて、誰でも簡単に効果的なフィッシング詐欺を仕掛けることができるようになるでしょう。サイバー犯罪者は、AIを使用して、複数の経路を利用してフィッシング攻撃の規模を拡大させる可能性があります。一方、Spectrumでは、技術に疎い従業員でもAIを使ってスピアフィッシングキットを構築し、組織内の資産を狙うことが可能です。そのことが内部リスクに新たな領域を生み出しています。
さらに、スピードという要素もあります。AIを活用するサイバー犯罪者は、これまでにな�く迅速にフィッシングキャンペーンやメッセージを作成できます。そして、そのスピードと効率性を利用して、より多くの場所で、より多くのターゲットに対して、より多くのフィッシング攻撃を仕掛けることが可能です。ソーシャルエンジニアリング
現代のフィッシング攻撃の中核をなすのは、テクノロジーと同様に、心理操作、すなわちソーシャルエンジニアリングです。攻撃者は、送金や個人情報の共有など自分が要求する行動を仕掛けた相手に取らせるために、常に、次のような感情につけこみます。例えば、恐れ(例:行動を起こさなければアカウントからロックアウトされる)、罪悪感(例:見知らぬ送信者からのフレンドリーなメッセージに返信する必要性を感じさせる)、そして興奮(例:LinkedIn上の「完璧な」求人オファーに関するダイレクトメッセージなど)などです。
攻撃者は、個人が有名企業やシニアリーダー、さらには気の置けない知人に対して抱いている信頼を悪用します。検出困難なフィッシング攻撃ほど、企業にとって最もストレスの多い時期であるホリデーシーズンや税務時期、会計年度期末などに増加している傾向にあります。なぜなら、従業員が繁忙期ほどミスを犯しやすいことを攻撃者は知っているからです。情報収集
従来、サイバー攻撃を仕掛ける動機のほとんどは金銭でした。そして今でも多くの攻撃者にとって、それは主たる目的です。しかし、今日のサイバー犯罪者は、お金を騙し取るためだけにフィッシングを仕掛けているのはありません。情報も騙し取ろうとしているのです。実際、フィッシングメールを経由して送信された、インフォスティーラー(個人情報、パスワード、スクリーンショット、個人情報、私的文書といった機密情報を盗むように設計されたマルウェア)の数は、2024年から2025年の間に84%も増加しています。このことは、IBM Institute for Business Value (IBV)発行「IBM X-Force 2025脅威インテリジェンス指数」で報告されています。
IBM IBVの報告によると「フィッシングは有効なアカウントを侵害するシャドー感染経路として出現しています。情報窃取マルウェアとクレデンシャルフィッシングを拡散するフィッシングメールの急増がこの傾向を加速させており、攻撃者がAIを悪用して攻撃を拡大していることが原因と考えられます」とあり、サイバー攻撃の約3件に1件が有効なアカウントを利用して発生していると言えます。
フィッシングを利用して、ユーザー名やパスワードのようなログイン認証情報を不正に入手した攻撃者は、金銭的な利益のために情報を売る可能性や、スパイ活動や、より大��規模かつ巧妙な攻撃を仕掛けるために、ネットワークに侵入する可能性があります。
いずれの場合も、最終的な標的は、機密性の高い知的財産、政府の機密情報、および高官の認証情報収集です。例えば、国民国家は、政治家・防衛関連企業・メディアの電話やネットワークに侵入する糸口として、フィッシングを利用することがあります。国民国家やそれ以外の悪意あるアクターが、フィッシングを用いて重要なインフラや企業秘密にアクセスする可能性があります。2024年に発生した、ロシアの支援を受けたハッキンググループが米政府の機密情報を狙いフィッシング攻撃を仕掛けた事例を考えてみましょう。2025年初頭、中国のスパイグループは同様に、台湾の製造業者、サプライチェーン関連企業、およびテクノロジー企業に対し、諜報データを収集するためのフィッシング攻撃を開始しました。
金銭や情報を狙う場合でも、マルチチャネルフィッシングによって、攻撃者はより広範囲に網を張ることが可能です。例えば、ソーシャルメディアフィッシングは1回の投稿で多数のオーディエンスにリーチできます。一方、スミッシングやクイッシング攻撃は大量のユーザーにリーチしてエンゲージメントの可能性を高めることができるのです。
CISOが取るべきフィッシング攻撃から保護するステップ
サイバー犯罪者は明らかに進化しています。これに対応するためには、CISOも進化しなければなりません。従来その役割を定義してきた技術スキルとビジネス感覚だけでは、もはや太刀打ちできません。マルチチャネルフィッシング攻撃を助長するAI、ソーシャルエンジニアリング、情報収集に対応するため、CISOは従来の考え方を見直し、技術的な専門知識を補完するソフトスキルを育成しなければなりません。
例えば、CISOが育成・開発すべき最も重要なソフトスキルには、次のようなものがあります。まず、感情的インテリジェンススキル。これは、従業員がフィッシングの餌食になる理由を認識し、従業員が安全にフィッシング攻撃を報告できると感じられる処罰を伴わない環境を作るのに役立ちます。次に、リーダーシップスキル。これは、セキュリティ第一の文化を醸成するために従業員や同僚に影響力を及ぼすのに役立ちます。そして、クリティカルシンキングスキル。これは、攻撃が起こりそうな場所や、攻撃者がどのような戦術を使う可能性が最も高いかを判断するのに役立ちます。最後に、コミュニケーションおよびコラボレーションスキル。これにより、いつ来るか分からないフィッシング戦術について従業員を教育し、全社挙げてフィッシング対策に取り組むことができます。
しかし、考えを見直すだけでは不十分です。行動が伴わなければ意味がありません。CISOは、潜在的な脅威を特定するための新たな�スキルと視点を培うと同時に、チャネルや攻撃方法に関わらず、脅威に対する組織の耐性をさらに高める新たなフィッシング対策を講じる必要があります。
マルチチャネルフィッシングに対して最も効果的な対策は、自動化、リアルタイムの脅威分析、そして従業員トレーニングの3つです:
1. 自動化:AIベースのセキュリティツールを活用
AIを利用して規模を拡大し、高度化できるのは、サイバー犯罪者だけではありません。企業は、攻撃を開始するためではなく、攻撃を阻止するために同じような方法でデプロイできます。
実際、攻撃を軽減することを目的としたAIフィッシングツールも存在します。例えば、メール、テキストメッセージ、ソーシャルメディアの投稿、およびその他のフォーラムでフィッシングの兆候を検出することを明確な目的とする、大規模言語モデル(LLM)があります。自然言語処理を用いて、書かれたテキストに不審な言語やその他の警告が表示されたら、疑わしい脅威に対して自動的に警告を発します。例えば通常のログイン時間や場所の逸脱といった異常を探すように訓練されたLLMもあれば、さらに、コンピュータービジョンを��用いて、偽のブランドロゴや悪意のあるQRコードのような疑わしい画像を検知するLLMもあります。
AIベースのセキュリティツールに関心のあるCISOは、検討しているソリューションにおいて、いくつかの重要な機能に着目すると良いでしょう。重要なフィッシング対策の機能には、以下のようなものがあります:
センチメント分析と会話分析により、組織は前述の能力、すなわち自然言語処理を活用してテキスト内の脅威を自動検出できます。
アダプティブ認証とは、高リスクなユーザーの行動に応じて認証要件を動的に調整するものです。
自動インシデント対応により、組織はネットワーク上の不審なメッセージやデバイスを検出し、自動的に隔離できます。
脅威インテリジェンスは、フィッシングの指標と現在の脅威に関する情報を相互参照することで、攻撃を早期に特定します。
2. リアルタイムの脅威分析:潜在的な危険を特定
AIベースのセキュリティツールに求められる最も重要な機能の1つは、リアルタイムの脅威分析です。これにより、組織は脅威が人間の標的に到達する前に、迅速に特定し、封じ込めることができます。
組織がリアルタイムで監視すべきフィッシングの指標は、以下のとおりです:
不審な送信者行動(なりすましドメイン、酷似したメールアドレス、唐突に多数の従業員に連絡しようとする新しい送信者など)。
不審なURLとドメイン(評価の低いもの、不明なリンク、リダイレクトチェーン、認証情報収集ページなど)。
悪意のある添付ファイル(マクロを含むファイル、実行可能ファイル、難読化されたスクリプトなど)。
リスクの高いユーザーの行動(未知のリンクをクリックしたり、不審なソースからファイルをダウンロードしたり、通常と異なる場所や時間帯にログインするなど)。
3. トレーニング:セキュリティ意識向上
フィッシング詐欺は、人間の行動やエラーを標的としています。そのため、従業員が様々な攻撃ベクトルにおけるフィッシングの兆候を認識できるよう、トレーニングを行うことは、非常に重要かつ効果的な抑止策となります。
フィッシング対策トレーニングプログラムを設計する際には、以下のベストプラクティスに留意してください:
年次コンプライアンス研修だけでは不十分です。フィッシングの脅威は動的で常に変化するため、従業員が最新かつ正確な情報を確実に得られるよう、研修を頻繁に継続して行う必要があります。
従業員は多忙であり、フィッシングの手口も複雑化しています。集中力の持続時間が短いことに鑑みて、長くて包括的な研修コースではなく、短くて理解しやすい、焦点を絞った学習モジュールを優先させてください。
定着率を高めるためには、文脈学習に焦点を当て、シナリオベースのトレーニングや実際のフィッシング戦術を模倣した現実的なシミュレーションなどを通して、学習内容を可能な限り関連性が高く実践的なものにすることが重要です。従業員がシミュレーションで攻撃に遭った場合、リアルタイムフィードバックも有効です。
トレーニングは、高価値の標的でありサイバーセキュリティ対策の訓練が十分に行われていないことが多い経営幹部も含め、全員に受講を義務付けるべきです。
クリック率、レポート率、応答時間などの指標を含め、経時的に進捗状況を追跡することは非常に重要です。そうすることで、企業は欠点を特定して是正できるだけでなく、改善に対して報酬を与え、意欲を高めることができます。
フィッシング攻撃が成功したらどうなる?
サイバー犯罪者はあまりにも頭が切れ、執拗ですので、確実なことは何一つありません。したがって、脅威への対応は、脅威の防止と同様に重要です。
攻撃者が成功した場合、CISOはZero trustや最小権限などのテクニックを使用してリスクを軽減し、被害を防ぐことができます。これらのソリューションは、継続的な検証を必要とするネットワーク内に隔離されたゾーンを構築し、その結果、攻撃者が自由に移動する能力を制限します。
レジリエンスに常には常に警戒が必要
フィッシングは昔からある詐欺の手口ですが、効果的な手口でもあります。そのため、テクノロジーが進化しても、サイバー犯罪者は今でもこの手口を使い続けています。メールに加えて、今日の攻撃者は、テキストメッセージやビデオ会議などの新しい経路を使用して、フィッシング詐欺を成功させています。
Cloudflare Email Securityは、従来のフィッシング戦術に対する第一線の保護を担います。Cloudflare Oneは、Zero Trustを利用して、より新しいフィッシング攻撃ベクトルに対する保護を強化します。CISOおよびそのセキュリティチームは、AIフィッシングなど、プラットフォームやアプリケーションを網羅したフィッシング攻撃を把握することにより、脆弱性がリスクとなる前に対応できるシステムを構築することができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
現在のメールセキュリティ�システムがどのフィッシング攻撃を見逃しているかについては、無料のフィッシングリスク評価で詳細をご確認ください。
記事の要点
この記事では、以下のことがわかるようになります。
いかにフィッシング攻撃が進化しているか
CISOが取るべきフィッシング攻撃から保護する3つのステップ
最新のフィッシング攻撃に先手を打ち、攻撃に対処する戦略