はじめに
脅威アクターは、巧妙な手口を駆使して従来のメール防御を完全に回避し、OutlookとGoogleのメールボックスを組織的に侵害しています。VIPREの2025年第3四半期メール脅威レポートによると、フィッシング攻撃の90%以上がこれら2つの主要なメールエコシステムを標的としており、攻撃者が影響を最大化し、運用上の複雑さを最小限に抑えるための戦略的な転換を示しています。このデータは、技術的な防御が強化されるにつれて、攻撃者が信頼されたインフラ自体を武器として適応しているという憂慮すべき現実を明らかにしています。サイバー犯罪者は、最先端のマルウェアやゼロデイエクスプロイトを展開するのではなく、前例のない洗練された方法で展開される、一見単純な戦術を使用しています。GmailやOutlookを含む無料のメールサービスは、第3四半期に観測されたすべてのスパムキャンペーンの32%を占め、攻撃者はこれらのプラットフォーム固有の信頼性と簡単なアカウントローテーションを利用して、高い配信率を維持しています。
回避戦術
最も警戒すべき傾向は、オープンリダイレクトとして機能する侵害されたURLです。これらの攻撃は、正規のドメイン名から始まりますが、サーバーに悪意のある宛先にユーザーをリダイレクトするように指示するパラメーターを追加します。レポートによると、フィッシングリンクの90.5%がこのオープンリダイレクト技術を採用しており、直接的な悪意のあるリンクを使用しているのはわずか7.3%です。この違いは非常に重要です。オープンリダイレクトは、正規ドメインの信頼された評判を悪用するため、表面的なURLのみをスキャンする標準的なメールセキュリティツールにはほとんど見えません。さらに、脅威アクターは第3四半期に前例のない速度で新しいドメインを登録し、7月から8月の間に新規登録ドメインの作成が3倍に急増しました。これらの使い捨てのインフラ要素は、セキュリティチームがデナイリストを実装すると迅速に無効化される迅速なキャンペーンの開始を可能にし、攻撃者が受動的な防御の一歩先を行く典型的な例となっています。
ビジネスメール詐欺 (BEC)
ビジネスメール詐欺(BEC)攻撃は、すべての悪意のあるメールの51%を占め、最も危険な脅威カテゴリとしての地位を維持しています。BECを特に陰湿にしているのは、ソーシャルエンジニアリングの要素です。なりすまし戦術はBEC試行の63%を占め、攻撃者はメールベースの検出システムを完全に回避するために、WhatsAppのような監視されていないチャネルに会話を移行する傾向が強まっています。レポートによると、CEOが最もなりすまされる個人であり、次いでIT担当者、人事部門、管理職が続きます。攻撃者は、財務プロセス、人事機能、機密通信など、すべて高緊急性のシナリオを中心に高度に標的化されたシナリオを作成し、プレッシャー下での人間の判断を回避するように設計されています。
認証情報窃取の手口
フィッシング添付ファイルは、もう1つの重大な脆弱性を明らかにしています。レポートによると、フィッシング添付ファイルの90%がOutlookまたはGoogleを具体的に標的としており、攻撃者はビジネス文書としての暗黙の正当性を持つPDF添付ファイルを好んでいます。分析されたメールの大部分はAIによって生成されており、脅威アクターがスパムやフィッシングメッセージをより説得力のあるものにするために、自動コンテンツ作成をますます利用していることを示しています。認証情報窃取はこれらのキャンペーンの焦点全体を占めており、脅威アクターは標準的なPOSTリクエストではなく、データ流出のためにFetch APIメソッドをますます採用しています。これは、より洗練された脅威アクターがこの分野に参入していることを示す技術的な進化です。
インフラの課題と対策
インフラのギャップは深刻です。悪意のあるメールは前年比で13%増加し、VIPREは四半期ごとに18億通のメールを処理し、2億3400万通をスパムとして検出しています。しかし、サンドボックスによってのみ捕捉された約15万件の新たに発見された悪意のある添付ファイルという真に危険なサブセットは、従来のコンテンツおよびリンクベースのフィルターを回避する攻撃を表しています。地理的な分布も問題を複雑にしています。スパムの60%以上が米国のIPアドレスから発信されていますが、これは攻撃が米国から来ているからではなく、攻撃者が意図的に評判の高い米国ベースのサーバーを借りて、疑わしい国際的な情報源を特定するように設計されたセキュリティフィルターを回避しているためです。従来のメールセキュリティツールに依存している組織は、不快な真実に直面しています。シグネチャベースの検出と静的なデナイリストは時代遅れになっています。現在の攻撃状況では、行動分析、リアルタイムサンドボックス、クリック時に脅威を特定できるAI駆動型検出が求められます。企業は、認証情報の侵害がアカウント乗っ取りにエスカレートするのを防ぐために、多要素認証(MFA)を義務付ける必要があります。これは、攻撃者が組織システムへの永続的なアクセスを獲得する重大な失敗点です。第3四半期のデータが、成功した攻撃が技術的な脆弱性ではなく人間の心理を悪用していることを示しているため、テクノロジーとユーザー教育を組み合わせた多層防御アプローチは、推奨される実践から組織の必要性へと変化しています。