ほとんどの業界でフィッシング攻撃件数は減少していますが、研究者たちはフィッシングの脅威が過去最高水準にあると主張しています。攻撃件数が減る一方で、個々の攻撃がより危険なものへと進化しているためです。
Zscalerの研究者は2026年版年次フィッシングレポートにおいて、この傾向を単なる減少ではなく「再編成」と位置づけています。脅威アクターが、無差別に大量送信するスプレー型キャンペーンから、コンバージョン率の高い標的型攻撃へとシフトしているというものです。
フィッシング攻撃件数の急減
現代の人工知能(AI)ツールが広く普及した今、フィッシング攻撃が増加すると予測していた方も多いのではないでしょうか。
大規模言語モデル(LLM)を使えば、外国語を母国語とするハッカーでも、巧みな文章でフィッシングメールを素早く作成できます。また、フィッシングキットはAIコンポーネントを活用し、芸術的なスキルを要さずになりすまし用の素材を生成し、キャンペーン全体を自動化することも可能です。こうした強力で使いやすいツールを手にしたハッカーが、より大規模なフィッシングキャンペーンを自動化・大規模展開することは、かつては既定路線とも思われていました。
実際にZscalerは、ChatGPTのリリース直後の1年間でフィッシング活動が58%という大幅な増加を観測しています。ただし、これがChatGPTに起因するものかどうかは不明です。しかしその後、トレンドは一転し右肩下がりの一途をたどっています。記録的な高水準を記録した後、フィッシングの件数は2024年に20%、2025年にはさらに20%減少しました。
今週ラスベガスで開催されたZscalerのイベント「Zenith Live」において、同社の脅威インテリジェンス担当シニアディレクターであるBrett Stone-Gross氏はDark Readingに対し、この傾向はAIとも、フィッシングそのものとも必ずしも関係していないと語りました。むしろ、脅威アクターが標的を厳選するようになったことが要因だといいます。
「無差別に大量攻撃するのではなく、より標的を絞った攻撃を行うようになっています。そのためより多くの労力とリソースが必要になりますが、それに見合う見返りが得られます」とStone-Gross氏は説明します。さらに「これは他の種類の攻撃と同じ文脈で説明できる部分が多いと思います」と付け加えました。
Stone-Gross氏はこの傾向の例として、ランサムウェアアクターを挙げました。
「当初は誰彼構わず攻撃していました。誰かのパソコンにランサムウェアを仕掛けて、それがおばあちゃんだとしても、孫の写真を取り戻したくて150ドルの身代金を払ってくれる。そうやって少額の支払いを大量に集めていたのです」とStone-Gross氏は話します。「今では全てがはるかに標的を絞った形になっています。企業を狙い、数百万ドル規模の支払いを求める。150ドルを100万人から集める時代ではなくなっています。」
この戦略は実際に効果を上げているようです。FBIが発表した2025年インターネット犯罪報告書によると、2024年と2025年におけるフィッシング被害の相談件数はほぼ同数でしたが、被害総額は7,000万ドルから2億1,500万ドルへと3倍に膨れ上がりました。2024年・2025年と比べて相談件数が50%多かった2023年でさえ、被害総額はわずか1,800万ドルに留まっていました。
クラウドホスティングを活用するフィッシャー
2025年は業界によって大きな差が見られました。サービスセクターへのフィッシング攻撃は66%増加し、政府機関への攻撃は50%増加した一方、教育分野への攻撃は66%減少しています。
攻撃件数の抑制に大きな成果を上げた国も多くあります。カナダでは64%、スペインでは53%、オーストラリア・ドイツ・インド・英国では約33%のフィッシング活動が減少しました。米国の減少幅は13%にとどまっています。
フィッシャーはインフラのホスティング先も変化させており、ブラジルのホスティング利用が実に2,522%という驚異的な増加を見せた一方、香港は90%と大幅に減少しました。グローバル規模で目を引くのは、フィッシャーがホスティングにクラウドサービスを活用する傾向が強まっていることです。中でも特に多く利用されているのがAmazon Web Services(AWS)です。Zscalerのデコイ(おとりシステム)に接触した攻撃者のIPアドレスのうち、76%がAWSのアドレス空間からのものでした。
Stone-Gross氏はその理由として少なくとも2つの要因を挙げています。「まずコストの問題です。AWSのインスタンスは非常に安価です」と同氏は言います。「もう一つは、Amazonの不正利用対応部門がおそらくリソース不足に陥っているのではないかということです。フィッシングに限らず、他の種類の脅威においても同様の状況を見てきました。AWSにホストされている悪意あるコンテンツは非常に多いのです。」
フィッシャーにとって、専用インフラをゼロから構築するのではなく、メジャーなクラウドサービスを利用するメリットは明白です。「品質が高く、接続性に優れ、ダウンタイムを心配する必要がありません」とStone-Gross氏は語ります。「コストも低く、立ち上げも容易です。さらに重要なのは、どの企業もAWSをブロックしないため、ネットワークセキュリティを回避できる可能性があるという点です。」
IPブロックリストが依然として有効かどうかという問いに対し、Stone-Gross氏は「有効な場合もあれば、そうでない場合もあります。特定のIPアドレスから犯罪行為が行われているケースは常に存在します」と答えます。一方で「共有ホスティングの場合は多くの問題が生じる可能性があります。一般的に、より具体的な情報を持つほうが有利です。そしてIPアドレスは必ずしも具体的な情報とは言えません」と付け加えました。
翻訳元: https://www.darkreading.com/cybersecurity-analytics/phishing-volume-down-20-risk-rising
