ゼットスケーラーは6月13日、2025年版「Zscaler ThreatLabzフィッシング レポート」を発表した。その概要は以下のとおり。
●新興市場でフィッシング活動が急増
メールの送信者認証の導入などを背景に、フィッシングは世界全体で20%、米国で32%近く減少したものの、攻撃者はすぐさま戦略を転換し、ブラジル、香港、オランダといった新興市場を標的とした攻撃を拡大している。インド、ドイツ、英国など、以前からの標的国でも、地域特有のパターンや季節的な傾向に合わせた攻撃が続いている。
●ソーシャル メディア プラットフォームがフィッシングの温床に
Facebook、Telegram、Steam、Instagramといったソーシャル メディア プラットフォームは、フィッシング キャンペーンにおける模倣対象としてだけでなく、マルウェアの配布、C2通信の秘匿、ターゲットに関する情報の収集、ソーシャル エンジニアリングのツールとしても悪用されている。また、ITサポート担当者になりすまして緊急性や安全上の懸念を演出するテクニカル サポート詐欺も依然として蔓延しており、2024年には1億5914万8766件が確認されている。
●脅威アクターによるAIの悪用:Phishing as a Serviceと偽のAIツールサイトが増加
サイバー犯罪者は、生成AIを使って攻撃の規模を拡大しているほか、偽のWebサイトを生成したり、ソーシャルエンジニアリングに使用するディープフェイクの音声、動画、テキストを生成したりしている。履歴書生成ツールやデザイン プラットフォームなどのAIツールを装ってユーザーに資格情報や支払い情報を入力させる新たな詐欺も出現している。給与管理、財務、人事などを担う重要部門や経営幹部は、機密性の高いシステムや情報へのアクセスと慎重を要するプロセスの鍵を握り、不正な支払いを比較的簡単に承認できるため、主要な標的となっている。
履歴書生成、グラフィック デザイン、ワークフロー自動化といったサービスの提供をうたう「AIアシスタント」や「AIエージェント」の偽サイトも作成されている。AIツールが日々の生活にますます浸透するなか、攻撃者はその使いやすさや信頼を悪用して、不用心なユーザーを不正なサイトに引き込んでいる。
関連リンク