この1年、生成AIツールの急速な普及の影響によって、フィッシングの脅威はかつてない高度な進化を遂げています。AIの進歩によって、サイバー犯罪者の活動方法にも変革が起こり、フィッシングの脅威も大きく様変わりしています。さらに、手の込んだフィッシングキャンペーンを組織する能力が大衆化され、複雑で信憑性の高いフィッシング攻撃を、初心者でもかつてないほど簡単に実行できるようになってきています。つまり、経験の浅いサイバー犯罪者でも、相手に合わせた非常に信憑性の高い詐欺を簡単に行えるということです。結果として、拡大するフィッシング攻撃の猛威からデータとシステムを保護するうえで、組織は無数の新たな課題に直面しています。

これを受けてZscaler ThreatLabzでは、2024年版フィッシングレポートを発表しました。このレポートでは、急速に進化するフィッシングの状況について確実にご理解いただくことを目的に、2023年にZscalerクラウド内で見つかった20億件を超えるフィッシングトランザクションを分析しています。アクティブなフィッシングキャンペーン、新たに明らかになったスキーム、地域、業界、模倣されるブランドなどごとの主要な標的を紹介し、サイバー犯罪に関する最新の動向や戦術についての知見を提供します。実例を含め、フィッシングに関するThreatLabzの調査結果は、常に警戒を怠らず、ゼロトラストセキュリティ戦略を適用することの重要性を示しています。レポートでは、進化するフィッシング手法への防御を強化するためのガイダンスも提供しています。

2024年版 Zscaler ThreatLabzフィッシングレポートをダウンロードして、拡大する新たなフィッシングの脅威へのプロアクティブな対応にお役立てください。

フィッシングに関する6つの重要な調査結果

以下の調査結果は、フィッシング戦術の進化を浮き彫りにする重要な動向の一部を示しています。

フィッシング攻撃に関する主な動向

2023年のフィッシング攻撃は前年比58.2%増：脅威アクターの巧妙化や攻撃範囲の拡大の影響が表れています。
音声フィッシング(ビッシング)やディープフェイクフィッシングが増加：攻撃者は生成AIツールを活用してソーシャルエンジニアリング戦術を強化しています。
中間者(AiTM)フィッシング攻撃は依然として横行：さらに、ブラウザーインザブラウザー(BitB)攻撃が新たな脅威として拡大しています。

フィッシングの主な標的

上位5か国は米国、英国、インド、カナダ、ドイツ：多くのフィッシング攻撃がこれらの国を標的としたものでした。
フィッシング攻撃全体の27.8%が金融/保険業界に集中：全業界で最も件数が多く、増加率は前年比393%でした。
なりすましに最もよく利用されるブランドは依然としてMicrosoft:フィッシングの43.1%がMicrosoftを装って実行されています。

レポートでは、上記の調査結果についてさらに詳しくお読みいただけます。

AIを悪用したフィッシングの脅威

ビジネス全体にわたる生産性向上において、生成AIが革新的な力を持っていることは、もはや疑う余地もありません。しかし、裏を返せば、この革新は大きな危険をはらんでいます。AIは、経験の浅い脅威アクターや平均的な脅威アクターを、ソーシャルエンジニアリングの熟練者や高度なフィッシング攻撃者に変えてしまうのです。

AIを利用することで、攻撃プロセスのさまざまな要素を自動化およびパーソナライズして、より高速かつ高度で検出の難しいフィッシング攻撃が可能になります。

生成AIによる公開データの迅速な分析：組織や経営幹部に関する情報などの分析にAIを活用することで、偵察の時間を節約し、より精度の高い標的型攻撃を実行できます。
LLMチャットボットによる正確で信憑性の高いメッセージの生成：スペルミスや文法上の誤りのないメールなどを作成できます。
生成AIによる信憑性の高いフィッシングページのスピーディーな作成：ThreatLabzのレポートでは、ChatGPTへの10回に満たない指示でフィッシング用のログインページを作成する方法や、フィッシングページを見抜くために注意すべき重要なサインを紹介しています。

AIによって本物のコンテンツと偽のコンテンツの見分けがつきにくくなり、フィッシングスキームと正当なWebページやデジタルコミュニケーションとを識別することは、いっそう難しくなってきています。

ThreatLabzが2023年全体を通じてフィッシングの動向を追跡するなかで、注目すべき高度なAI戦術も複数出現しています。ビッシングやディープフェイクフィッシングもその一部です。AIを悪用したなりすましツールを使用するソーシャルエンジニアリング戦術であり、これを利用した攻撃が増加しています。

ビッシングに関する知見

高度なビッシングキャンペーンが世界的に拡大しており、多額の経済的損失につながるケースも出ています。ThreatLabzが2023年夏に阻止した攻撃は重要な例の1つです。攻撃者は、AI技術を駆使し、ZscalerのCEOであるJay Chaudhryになりすましてビッシングを行っていました。フィッシングレポートでは、この事例の流れを詳しく説明しており、企業や従業員がビッシングへの警戒を怠らないことの重要性を理解するうえで重要な内容となっています。ThreatLabzは、Scattered Spiderなどのグループが主導する標的型音声フィッシングキャンペーンは、来年も引き続き増加すると予測しています。こうした攻撃は従業員のログイン資格情報の取得を目的としているため、不正アクセスや悪用を防ぐために、フィッシングに対する防御を強化することは組織にとって不可欠です。

ディープフェイクに関する知見

AIを悪用したサイバー脅威として特に厄介なのがディープフェイクを使ったフィッシング攻撃です。今や脅威アクターは第三者の顔、声、癖を正確に再現した映像コンテンツを作成できるようになっています。たとえば、選挙戦において政治家の発言が捏造されるなど、ディープフェイク動画に対する懸念はすでに顕在化しています。ディープフェイク動画は、世論を揺さぶり、虚偽の情報を広め、選挙プロセスの公平性を損なう可能性があります。デジタルコミュニケーションとメディア消費に対する社会の依存が高まるなか、ディープフェイクが持つ潜在的な政治的影響や人々の生活に対する影響は、現在よりはるかに広い範囲に及ぶと見られます。金融詐欺から企業スパイまで、ディープフェイク技術の使用は、組織、個人、そして社会全体に重大な脅威をもたらします。

なお、ThreatLabzは、QRコード詐欺、採用詐欺、ブラウザーインザブラウザー(BITB)攻撃、中間者(AiTM)攻撃の増加も確認しています。各スキームの詳細については、レポートでご確認いただけます。

フィッシングリスクを軽減するゼロトラスト

今年のレポートが示すとおり、フィッシングの脅威は憂慮すべき状況となっています。これを踏まえ、組織が最新の脅威から身を守るにはどうすればよいのでしょうか。最も信頼できる解決策の1つが、ゼロトラストアーキテクチャーの基盤を確立することです。フィッシングの新たな動向に対抗し、関連リスクを軽減するためのセキュリティ戦略を採用することは非常に重要であり、ゼロトラストはその戦略として効果が実証されています。

脅威に対応するための重要なガイダンスとして、2024年版 Zscaler ThreatLabzフィッシングレポートでは、以下のような点について解説しています。

AIの脅威に対抗するAI：AIを悪用した脅威に対抗するために必要な、AIを活用したZscalerのフィッシング対策機能(フィッシングページを通じたブラウザーのエクスプロイトを防止するZscaler Browser Isolationなど)
ゼロトラストアーキテクチャーの利点：Zscaler Zero Trust Exchangeが攻撃チェーンの複数の段階にわたって、従来のフィッシングとAIを悪用したフィッシングを防止する仕組み
- 侵害の防止：大規模なTLS/SSLインスペクション、AIを活用したブラウザー分離、ポリシーに基づくアクセス制御により、疑わしいWebサイトへのアクセスを防止します。
- ラテラルムーブメントの排除：ユーザーをネットワークではなくアプリケーションに直接接続するとともに、AIを活用したアプリケーションセグメンテーションによってインシデント発生時の影響範囲を抑えます。
- 侵害されたユーザーと内部脅威の阻止：インライン検査によってプライベートアプリケーションの悪用を防止します。また、統合型のデセプション機能で最も高度な攻撃者も検出します。
- 情報漏洩の防止：転送中データと保存データを検査し、アクティブな攻撃者によるデータの窃取を防止します。
基本的なセキュリティのベストプラクティス：フィッシング攻撃に対する全体的な耐性を強化するための、基本的なセキュリティのベストプラクティス

2024年版 Zscaler ThreatLabzフィッシングレポートをダウンロードして、詳細をご確認ください。フィッシング攻撃は今後も組織に対する脅威として蔓延し続けるでしょう。フィッシングに関する最新の動向の理解、関連リスクの評価、AIを悪用した攻撃の影響の認識を通じ、2024年以降のフィッシングに対する組織のセキュリティ態勢強化にお役立てください。