はじめに
2025年は、フィッシング攻撃において攻撃者の革新が目覚ましかった年となりました。特に、IDベースの技術に焦点を当てた攻撃が継続的に進化し、フィッシングはこれまで以上に効果的なサイバー攻撃手法であり続けています。本稿では、2025年に見られた主要なフィッシングトレンドと、これらが2026年に向けたセキュリティチームの戦略に何を意味するのかを詳しく見ていきます。
トレンド1:オムニチャネル化するフィッシング
以前から指摘されてきた非Eメール型フィッシングの台頭は、2025年に真のオムニチャネル攻撃へと進化しました。業界のデータは依然としてEメールセキュリティベンダーに偏りがちですが、Push Securityが検出したフィッシング攻撃の約3分の1がEメール以外で配信されました。特に、LinkedInのDMやGoogle検索が主要なチャネルとなっています。
具体的なキャンペーン事例としては、以下のようなものがあります。
- テクノロジー企業の役員を標的とし、同じ組織の他の従業員の乗っ取られたLinkedInアカウントを介して「投資機会」として配信されたキャンペーン。
- 南米の投資ファンドを装い、ファンドへの参加を募るキャンペーン。
- 「Google広告」「TradingView」「Onfido」などのキーワードを検索するユーザーを狙った悪質な広告キャンペーン。
- Google Sitesでホストされた偽のプライベートエクイティファンドページ。
- Firebaseでホストされたカスタム投資ファンドのランディングページ。
非Eメールチャネルを介したフィッシングには多くの利点があります。Eメールが最も保護されたフィッシングベクトルであるため、これらの制御を完全に回避できます。送信者の評判を築く必要も、コンテンツ分析エンジンを欺く方法を見つける必要もありません。非Eメールベクトルには、実質的にスクリーニングがなく、セキュリティチームからの可視性もありません。また、ユーザーはフィッシングの可能性を予期しにくいという状況があります。
トレンド2:犯罪PhaaS(Phishing-as-a-Service)キットの台頭
今日のフィッシング攻撃の大部分は、リバースプロキシを使用しています。これにより、セッションがリアルタイムで作成および盗まれるため、ほとんどの多要素認証(MFA)をバイパスできます。Tycoon、NakedPages、Sneaky2FA、Flowerstorm、Salty2FAなどの犯罪Phishing-as-a-Service(PhaaS)キット、およびさまざまなEvilginxの亜種によって、これらの「Attacker-in-the-Middle」攻撃が実現されています。
PhaaSキットは、高度で進化し続ける機能を犯罪市場に提供することで、高度なフィッシングキャンペーンを実行するための参入障壁を低くしているため、サイバー犯罪にとって非常に重要です。この競争環境が攻撃者の革新を加速させ、MFAバイパスが当たり前となり、フィッシング耐性のある認証でさえダウングレード攻撃によって回避され、検出回避技術がセキュリティツールをすり抜ける事態につながっています。
今年特に多く見られた検出回避方法には、次のようなものがあります。
- Webクローリングセキュリティボットによるフィッシングページの分析を阻止するための、カスタムCAPTCHAまたはCloudflare Turnstileの広範な使用。
- 被害者に送られる最初のリンクと、フィッシングコンテンツをホストする実際の悪意のあるページとの間に、多数のリダイレクトチェーンを挟み込む。
- クライアントサイドのJavaScriptを介した多段階のページロード。これにより、条件が満たされないと悪意のあるコンテンツが提供されないため、ページは無害に見えます。
これらの手法は、フィッシングが長期間検出されない状態に寄与しています。このため、悪質なサイトをURLでブロックするという旧来のアプローチは、攻撃者に対して常に2歩遅れることになります。
トレンド3:フィッシング耐性のある認証(およびその他のセキュリティ制御)を回避する攻撃者
MFAダウングレードがセキュリティ研究者と攻撃者の両方にとって焦点となっていることは既に述べました。しかし、パスキーなどのフィッシング耐性のある認証方法は、それが唯一のログイン要素であり、バックアップ方法が有効になっていない限りは有効です。しかし、運用上の問題から、単一要素のみというのは比較的稀です。
攻撃者は、標準的な認証プロセスを回避するために、以下のようなさまざまな技術を用いています。
- 同意フィッシング(Consent phishing):被害者をだまして、悪意のあるOAuthアプリをテナントに接続させる。
- デバイスコードフィッシング(Device code phishing):同意フィッシングと同様だが、OAuthをサポートできないデバイスログイン向けに設計されたデバイスコードフローを介して認証を行う。
- 悪意のあるブラウザ拡張機能:被害者をだまして、悪意のある拡張機能をインストールさせたり、既存のものを乗っ取ったりして、ブラウザから認証情報やCookieを盗む。
また、Microsoftが昨年検出した初期アクセスベクトルのトップであったClickFixは、攻撃者がユーザーをソーシャルエンジニアリングでだまし、マシン上で悪意のあるコードを実行させるというものです。通常はリモートアクセスツールや情報窃取マルウェアが展開され、それらを使用して認証情報やCookieを収集し、さまざまなアプリやサービスへの初期アクセスを実現します。
さらに、Push Securityの研究者は、ClickFixのブラウザネイティブ版であるConsentFixという新しい手法を発見しました。これは、OAuthキーマテリアルを含む正当なURLをコピー&ペーストするだけで、ターゲットアプリへのOAuth接続が確立されるものです。これはClickFixよりもさらに危険であり、エンドポイント検出機能を回避します。
2026年に向けたセキュリティチームへのガイダンス
2026年にフィッシングに対処するためには、セキュリティチームはフィッシングに対する脅威モデルを変更し、以下の点を認識する必要があります。
- Eメールのみを主要なフィッシング対策の表面とするだけでは不十分である。
- ネットワークおよびトラフィック監視ツールは、最新のフィッシングページに追いついていない。
- フィッシング耐性のある認証が完璧に実装されていても、完全に免疫があるわけではない。
- 検出と対応が鍵となるが、ほとんどの組織には重大な可視性のギャップがある。
ブラウザにおける検出ギャップの解消
これらの攻撃に共通しているのは、すべてWebブラウザ内で発生し、ユーザーがインターネット上で作業を行う際に標的にされることです。そのため、ブラウザはこれらの攻撃を検出して対応するのに最適な場所ですが、現在のところ、ほとんどのセキュリティチームにとってブラウザは死角となっています。
Push Securityのブラウザベースのセキュリティプラットフォームは、主要な情報漏洩原因に対する包括的な検出および対応機能を提供します。Pushは、AiTMフィッシング、認証情報漏洩、悪意のあるブラウザ拡張機能、ClickFix、セッションハイジャックなどのブラウザベースの攻撃をブロックします。