クラウドセキュリティ分野の大手企業Zscaler(ゼットスケーラー)は、同社の調査部門「ThreatLabz(スレットラボズ)」による2025年版フィッシングレポートを公表。
本レポートは、同社のクラウドセキュリティ基盤「Zero Trust Exchange(ゼロトラスト・エクスチェンジ)」を通じて、2024年1月から12月にかけてブロックされた約20億件のフィッシングトランザクションを分析したものとなる。
フィッシング攻撃は件数減少も「標的型」へシフト
報告によると、世界全体のフィッシング攻撃件数は前年より20%減少しており、とくにアメリカでは約32%の減少が見られているが、一方で攻撃手法はより巧妙化しているとのこと。
ターゲットは、不特定多数から、人事・財務・給与管理などの企業内重要部門へと移行。
生成AIを用いたリアルなメッセージや音声を用いることで、従来の防御策をすり抜けるケースが増加している状況という。
新興国を狙う動きが活発化
攻撃対象地域も変化しているとのことで、米国や日本などの先進国に加え、ブラジル、香港、オランダといった新興市場が新たな標的になっている。
デジタル化が進む一方で、セキュリティ対策が後手に回っている地域が狙われやすい傾向が指摘されている。
インドやドイツ、イギリスでは、地域特有のイベントに合わせたフィッシングが継続して観測されている。
SNSやメッセージアプリがフィッシングの温床に
特に悪用されているプラットフォームは、Facebook、Telegram、Steam、Instagramなどのソーシャルメディアやメッセージアプリだとしている。
これらは単なる模倣対象にとどまらず、マルウェアの拡散、情報収集、遠隔操作通信(C2通信)の手段としても使われているとのこと。
また、2024年だけでも約1億5,900万件以上のテクニカルサポート詐欺が記録されており、IT担当者を装ってユーザーをだます手口が横行している状況にある。
AIアシスタントをかたる新手の詐欺も出現
フィッシングの進化は、生成AIの技術進展と密接に関係しているとのことで、「Phishing as a Service(サービス型フィッシング)」と呼ばれる手法や、偽の履歴書作成サイト、グラフィックデザインサービスなどを装うサイトが確認されている。
これらは「AIエージェント」や「AIアシスタント」といった名称で信頼させ、ユーザーの資格情報や支払い情報をだまし取る手口という。
ゼットスケーラーの最高セキュリティ責任者ディーペン・デサイ氏は、「サイバー犯罪者はAIを武器にし、ターゲットの行動を操作しようとしている。防御側も同等のAI戦略で対抗しなければならない」と述べている。
【参考記事】
https://www.zscaler.com/jp
