はじめに
2025年は、昨年に引き続き多くのサイバー攻撃が確認されました。
メール関連の攻撃では、フィッシング攻撃が筆頭であり続けました。その理由は、攻撃者にとって、被害者の環境へ初期侵入を試みる手段として扱いやすかったからです。昨年度と比べてフィッシングの手段は多様化し、メールやSMSと通話ツールを組み合わせた複合的な攻撃(オムニチャンネル)の被害報告が見られました。他にも、QRコード・PDFファイル・キャプチャした画像を駆使し、メールセキュリティの穴をつく攻撃も目立ちました。
フィッシング対策協議会の報告によると、日本国内においてフィッシングメールは毎月20万件前後が報告されています。これはあくまで報告された件数の統計であり、実際の受信数は比べものにならない数値となることでしょう。オムニチャンネル型フィッシングの場合は、この数値に入らないタイプのものもありますので、対策強化の必要性は依然として高い状況が続いています。
対して、フィッシングメールに記載されていたURL件数は、増加したり減少したりを繰り返しています。この理由の一つに、サイバー攻撃の産業化(Ransomware as a Service /RaaS)が挙げられます。サイバー攻撃活動の分業化が進んだことで、複数の攻撃団体が同じ購入元から不審なドメインを購入した結果、報告URLが重複する状況が生まれていると考えられます。
ここからは、2025年に見られたメールを悪用した攻撃を総括してまいります。
多様化するビジネスメール詐欺
企業を狙ったサイバー攻撃の特徴として、ソーシャルエンジニアリングが挙げられます。人間の心理的な隙や行動時に生まれるミスを巧妙に突いて、機密情報や個人情報を不正に取得する手口の総称ですが、今年は以下の様な攻撃が特徴的でした。
役員や専門職へのなりすまし
役員や財務部門になりすまして財務部へメールを送り、送金指示を出したり、請求書の差し替えを指示する、典型的ななりすまし行為です。企業や、その企業の取引先の資産をだまし取る攻撃として何年も注意喚起がされていますが、未だに攻撃を受ける企業は複数存在しています。(※1)
スレッドハイジャック
実際に取引のためにやり取りをしているメールスレッドに攻撃者が割り込み、乗っ取りを行うThread Hijacking(スレッドハイジャック)も話題になりました。攻撃者は標的のメールアカウントに不正アクセスをしたあと、進行中のメールのやり取りを監視し、タイミングを見計らって既存の会話に返信する…という攻撃です。攻撃者は、割り込んだ際に請求書を差し替えて金銭をだまし取ったり、機密情報を請求したり、マルウェアに感染させるプログラム添付したり、悪意のあるリンクへ誘導させたりします。(※2)
さらに、メール情報やブラウザ情報からセッションクッキーや認証トークンを盗み取ることで、MFA(多要素認証)を越えてアクセスし続けます。一度不正アクセスを受けてしまうと、多要素認証が役に立たないという事例が報告されています。
DMARCをスルーする攻撃メール
日本は、政府がDMARC対応への依頼を呼び掛けたことで多くの企業がDMARC対策を始めました。その結果、攻撃者はDMARCを通過するための新たな攻撃手法を取り始めました。それは、正規アカウントの乗っ取りや、DMARCを正しく設定したドメインの作成・悪用です。(※3)
正規アカウントとは、実際に存在する企業が使用しているメールアカウントのことです。ソーシャルエンジニアリング行為で不正アクセスし、攻撃に活用すれば、ほぼ間違いなくDMARC認証をパスすることができます。SPF/DKIM共に正常な処理をされるためです。さらに、正規のドメインからのメール送信のため、受信者は信頼してメールを開いてしまいます。
他にも、攻撃者が1からメールアカウントを作成する際にSPFとDKIMを正しく設定することで、DMARCをパスする場合もあります。DMARCはあくまで「保護する手段の一つ」であり、万全というわけではありません。
2025年に見られた攻撃手法
ここからは、具体的な攻撃手法についてみていきましょう。
QRコードの悪用
攻撃者は、上で述べたDMARCをすり抜ける手法などを使って、正当なブランドや取引先になりすまします。その際、添付したQRコードを開かせようとする傾向が強くなりました。(※4)
この傾向が強まった理由は、QRコードの持つ複雑さにあります。QRコードは画像データで添付され、そのコード情報をカメラで読み取ることで、リンク先のURLが認識されます。メールセキュリティは本来、本文のスキャンが主で、その後の攻撃トレンドに合わせて、PDFファイルやマクロのチェックなどの機能が追加されていきました。そのため、画像データであるQRコードの中身(URL)を正確に解析してスキャンする機能を完備しているメールセキュリティ製品はまだ少ないのが現状なのです。
メールセキュリティ製品のコンテンツスキャン能力は千差万別です。添付ファイルのPDFやマクロのファイルデータを読み取り、ファイルの中にある危険なコールバックスクリプトや、悪意のあるURLへ誘導するリンクを書き換えることができるメールセキュリティサービスもあれば、中身のスキャンはするけれど、隔離以上のことはできないものもあります。また、拡張子だけを確認するものもあるため、どこまでの機能を求めるのかを明確にして製品選定をするとよいでしょう。
AIの悪用
AIは、人々に多くの利益をもたらす一方で、サイバー攻撃によって悪用されるリスクもはらんでいます。AIを悪用したメール攻撃は、どのようなものがあるのでしょうか。
ポリモーフィック攻撃
攻撃者がAIを悪用してメール本文を自動的に変化させ、メールフィルタリングの検知を回避する手法です。Emotet攻撃の際に話題となりました。シグネチャ型(従来型)メールセキュリティの検知を逃れるためにメールの添付ファイルや本文(URLなど)のコードや特徴(添付ファイル名、URL、メールの件名、本文の表現、暗号化形式、配信パターンなど)を、実行のたびに頻繁に変形させます。誤字はなく、文章のトーンは最適化され、部門別にカスタマイズを行えることから、攻撃者が多用しています。
ブランド偽装の自動化
サイバー攻撃者は、著名なブランドが配信しているメールから正式なロゴ・署名・HTML構造をAIに学習させて生成し、正規メールそっくりな偽メールを短時間で作成します。主に不特定多数に向けてばらまくメールに使用されており、コンテンツ生成ツールで作成した後、メール送信ボットネットで一斉に大量送信、というように、役割を分担して大量のメール攻撃を実施しています。
国外のセキュリティ教育・フィッシング対策機関が行った統計調査では82.6%以上の攻撃がAI言語モデルを利用との報告もでています。(※5)
こういった攻撃を防御するには、AIベースのポリモーフィック検知機能を持ったメールセキュリティ製品の導入や、異常行動を検知するシステムの導入などが挙げられます。
DMARCすり抜け
DMARCは、日本政府や大手海外企業が導入を推進しており、国内導入率は増加傾向にあります。しかし、アカウントの乗っ取りやSPF設定の甘さから、認証を通過してしまうフィッシングメールが横行しています。その原因を見ていきましょう。
SPF設定を悪用される
サイバー攻撃者は、企業のメールサーバーに残されているレコード情報に、目を光らせています。特に、以前は使用していたものの、現在は使っていないものは、攻撃者にとってお宝です。すぐに、攻撃者は当時のインフラストラクチャを割り出します。そのIPアドレスやメールサーバーを使用してフィッシングメールを送信すれば、受信側はそのメールがSPFやDKIMに合格していると判断し、受信側は「正規の送信元」と誤認します。つまり、フィッシングメールであるにも関わらず、DMARCを通過する、ということです。
また、SPFレコードの末尾に ~all (soft fail/ソフトフェイル) を設定している場合、フィッシングメールであっても「許可されていないサーバーから届いた場合、疑わしいものとして扱うが拒否はしない」という緩やかな指示になります。受け取りを拒否するわけではないため、受信者の手元に届く可能性があります。Soft failは運用し始めの様子見には良いですが、いずれは絶対に拒否をする-all(Hard Fail/ハードフェイル)への移行が理想です。
他にも、以下の画像のようにDMARCポリシーが p=none (監視モード)の場合は、DMARCチェックをパスしてしまうフィッシングメールが存在します。
このように、SPFとDKIMを設定していないにも関わらず、DMARCを通過してしまうのです。
以上のことから、導入側は「DMARCの設定完了」で安心せず、運用と監視を強化する必要があります。国内の攻撃事例の増加から、フィッシング対策協議会はDMARC 導入後の適切な設定の必要性を広く提唱しています(※6)。 SPFレコードの定期的な見直しや、最小権限の原則にのっとった設定を心掛けてください。
MFA回避とセッションハイジャック
メールアカウントの保護は、MFA(多要素認証)があるから安心…と考えられていたのは過去の話になりつつあります。2025年にはAiTM(中間者)攻撃と、セッションクッキー(Cookie)の奪取が一般化しました。攻撃者はMFA後のセッションを盗み、従業員のメールアカウントに、恒常的にアクセスを確保しようとします。
その際、攻撃者はAiTMキット(Adversary‑in‑the‑Middle(AiTM)攻撃を実現するためのフィッシングキット/Tycoon 2FA、Evilproxy、VoidProxyなど)を使用します。認証後のセッションクッキー奪取で再ログインは不要となります。こうして盗まれたクッキー情報は、その後ダークウェブなどで販売され、被害は広がります。こういった攻撃に対抗するには、フィッシング耐性MFAの導入を検討する必要があります。
【参考】フィッシングのオムニチャンネル化
フィッシングはメール単体から「オムニチャンネル」へ拡大しています。SMS、SNS、検索広告を組み合わせ、認証情報を奪う攻撃が急増しています。こういった攻撃への防御はメールセキュリティだけでなく、チャネル可視化と教育が必要となります。
Deepfake × Vishing — 音声と映像で“確からしさ”を演出
今、音声や映像を組み合わせて“心理操作”を行う進化したフィッシングが報告されています。ITサポートを装うVishingや、役員音声を偽造するDeepfakeが挙げられます。
ITサポート偽装のVishing
攻撃者はメールや画面に表示した警告で被害者に「緊急対応」を促し、TeamsをはじめとするWeb通話機能で被害者と電話を接続します。そして、Quick Assistなどの正規ツールを使い、端末を乗っ取り ➡ 複数の端末へ侵入 ➡ ランサムウェアの展開と広げていくのです。
Deepfake音声の悪用
こちらは、標的となる会社役員の声をAIで再現し、標的企業の関連部署へ電話をかけ、送金指示やMFA(多要素認証)承認を迫る手法です。心理的圧力で「即時対応」を強要するケースが増加しています。
上記二つを複合し、メール(事前通知)➡ 音声通話で権限情報を得る ➡ 端末を遠隔操作 ➡ 権限昇格 ➡ データを窃取 ➡ランサムウェア攻撃で暗号化するといった手法も見られます。
これらは、人間の信頼関係を突いた攻撃のため、技術的な検知が困難な手法です。かつ、デバイスの操作には正規ツールを使用するため、怪しい挙動を検知しづらく、口頭での誘導も「今すぐ権限昇格しないと業務が止まってしまう」といった緊急性のある言い方をして焦らせる手法をとってきます。
こういった攻撃に対処するためには、社員教育だけではなく、音声指示は二経路で検証(社内既定番号への折返し必須など)、遠隔支援ツールの利用許可と監査(ログ取得・承認フローの明確化)、通話番号の正当性チェック(発信元認証)、異常なリモート接続検知(EDR連携)などの対策が必要といえます。
多様化する被害者への到達経路
オムニチャンネル型のフィッシングは、被害者までの到達経路として、SMSで偽の配送通知を行う、SNSのDMに標的の興味がある話題を振って近づく、インターネット上に掲載された広告の悪用をするといった動きも活発です。特に、LinkedInやFacebookのDMを使用したり、Google広告を悪用して偽のログインページに誘導する、さらにGoogle sitesを踏み台にするケースも確認されています。(※7)
こういった攻撃はメールフィルタだけでは防御が難しい領域です。SMSや広告は検知できないためです。社員教育も、メールが中心で、SMSやDMの危険性まで伝えることは少ない状況もあります。
こういった課題解決のためには、教育範囲の拡大以外に不審なドメインへの通信を遮断するDNSセキュリティの導入や、統合型脅威対策製品の検討があげられます。また、AIベースの異常行動検知のルールに、「複数チャンネルの連動」検知を取り入れるといった手法もあります。
メールセキュリティは「何を防ぎたいか」で検討を
以上が、2025年に話題となった攻撃と、最新トレンドの紹介となります。今後もメールを悪用した攻撃は増加を続けると予想されます。その上で、何を防ぎたいかでメールセキュリティ製品を選択することをおすすめします。
まずはスパムメールをブロックしたい
高度ななりすまし対策よりも、まずは自社に届く迷惑メールを減らしたいのであれば、SPF、DKIM、DMARCチェックを行い、かつ文面やメールドメインの信頼度、本文に記載された添付ファイルやURLの信頼度をチェックする機能を持った製品がお勧めです。(例:Heimdal Eメールセキュリティ、SpamPatrol)
最新の脅威をすぐに対策したい
QRコードやDMARCスルーといった最新の攻撃や、標的を巧みに狙うフィッシングに対抗したい場合は、受信者と送信者のメールアドレスごとにやりとりをパターン化して比較したり、QRコードや文書ファイルの中身までスキャンし、ブロックしたりできる機能を持った製品がおすすめです。(例:Libraesva)
製品の機能を比較したい
弊社メールセキュリティ製品の比較サイトをご利用ください。規模や提供形態、機能の比較一覧をご覧いただけます。
まとめ
フィッシングをはじめとするメールを悪用した攻撃は、年を重ねるごとに複雑な経路をたどって被害者へ到達を試みています。メールから派生するオムニチャンネル型の攻撃への対処も必要となる今、メールのセキュリティ対策を始める・強化するタイミングと言えるでしょう。
ここまでお読みいただき、ありがとうございました。
参考URL ※1 GUARDIAN.INC フィッシング詐欺事例集2025|最新手口と被害の全記録 ※2スレッドハイジャックが防御を崩す方法 (国外事例) ※3 Japan DMARC & MTA-STS Adoption Report 2025(英語)※4 フィッシング対策協議会 phishing_report_2025.pdf ※5 KnowBe4 「Phishing Threat Trends Report」(英語)※6 フィッシング対策協議会 送信ドメイン認証技術「DMARC」の導入状況と必要性について ※7 The Hacker News Phishers Exploit Google Sites and DKIM Replay to Send Signed Emails, Steal Credentials (英語)
