ZscalerのThreatLabzチームの調査によると、フィッシング活動は2024年と2025年の両年においていずれもおよそ20%減少しました。この減少は、2023年にフィッシング活動が20億件を超えるまで成長し続けた複数年にわたる増加傾向を受けてのものです。
「ブロックされたメール数で測るフィッシング量は、もはやフィッシングリスクの信頼できる指標とは言えません。」
研究者らは、通常の業務連絡に見せかけた標的型フィッシングキャンペーンの利用が増加していることを明らかにしました。サービスセクターは前年比65.5%増というフィッシング活動の増加を記録し、データセット内で最も標的にされた業種となりました。
業種別暗号化攻撃ヒット数(出典:Zscaler)
請求通知、オンボーディング書類、更新案内、サポートリクエスト、ドキュメント共有フローなどが、このセクターを狙ったキャンペーンに頻繁に使用されました。Zscalerが言及したあるキャンペーンでは、税務をテーマにした誘引コンテンツとOneDriveなどの正規サービスを組み合わせ、1万社のサービス企業に在籍する2万9,000人以上のユーザーを標的にしました。
フィッシングキャンペーンで最も頻繁に偽装されるブランドとして、MicrosoftとGoogleが上位を占めました。これらのプラットフォームの認証情報は、1つのアカウントで複数のビジネスサービスにアクセスできることが多いためです。
Microsoft 365にログインするだけで、メール、ファイル、Teams、SharePoint、OneDrive、そして連携するSaaSアプリケーションへのアクセスが可能になります。1つのアカウントへのアクセスが、組織の環境全体の大部分を危険にさらす可能性があります。
AIサイトビルダーのフィッシング悪用
ThreatLabzは413,524件のAI生成ウェブサイトを確認し、そのうち37,447件を悪意あるものに分類しました。
この活動は、Manus AI、Blackbox AI、Anything AI、Bolt AI、Vercel v0、Framer AIなどのプラットフォームと関連していました。観測された活動の最大シェアを占めたのは帰属不明のAIツールで、次いでManus AI、Blackbox AIと続きました。
研究者らは、これらのサービスを通じて作成されたフィッシングページ、偽アプリケーション、ブランド偽装サイトを記録しました。
一例として、AIアプリケーションビルダーを使って生成されたCoinbase Walletの偽サイトがありました。このサイトは偽のブラウザ拡張機能を宣伝しており、正規のプラットフォーム上でホスティングされていました。研究者らは、AIプラットフォームのブランディングがページのメタデータの一部に埋め込まれたまま残っていたと指摘しています。
「以前はデベロッパーとテンプレートキット、そして時間が必要だった作業が、今ではプロンプトといくつかの試行錯誤だけで済むことが多くなっています。」
暗号化トラフィックに潜むフィッシング活動の増加
Zscalerが観測したフィッシング活動の95%以上が、暗号化されたチャネルを通じて配信されていました。
また、2025年中にブロックされた悪意ある活動の87%がHTTPS経由で配信されていたことも判明しました。認証情報の窃取、セッション悪用、リダイレクトといった攻撃は、従業員がクラウドアプリケーションやビジネスサービスにアクセスする際に使用する暗号化接続を通じて、ますます頻繁に行われるようになっています。
「この変化をさらに危険にしているのは、侵害が実際に起きる場所です。それはブラウザ内、HTTPS経由です。」
リアルタイムMFAバイパス攻撃
ThreatLabzは、中間者攻撃(AiTM)とブラウザ・イン・ザ・ミドル(BiTM)の技術を組み合わせたフィッシングキットを確認しました。これらのキットは、ログインセッションを傍受し、認証情報やMFAコード、セッショントークンをリアルタイムで窃取します。
ThreatLabzが例示したフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「BlackForce」もその一例です。このキットはログインプロセス中に認証情報、MFAコード、セッション情報を窃取し、一度のクリックをセッションレベルの侵害に変えてしまいます。
大規模な攻撃対象領域の探索
2025年10月から2026年3月の間に、顧客環境に展開された外部デコイが、137万の固有の攻撃者IPアドレスから8,990万件の敵対的インタラクションを記録しました。
攻撃者は公開されているサービスを探索し、組織への侵入経路となり得るアセットを探していました。研究者らは、公開されたアセット、流出した認証情報、設定ミスのあるアプリケーション、忘れられたサブドメインに焦点を当てた偵察活動を記録しています。
クラウドインフラがスキャン活動を促進
ThreatLabzは、12万1,000件以上のAWSホスト型IPアドレスが顧客環境を探索していることを観測しました。
パブリッククラウドプラットフォームは、データセットで観測された攻撃者インフラの相当な割合を占めていました。研究者らは、クラウドホスト型インフラは迅速にプロビジョニングでき、偵察に利用した後、ブロックまたは検出された際には容易に差し替えられると指摘しています。
Zscalerは、2026年にはフィッシングキャンペーンの自動化がさらに進むと予測しています。AIエージェントが他のAIエージェントを標的にしたり、攻撃がメール、メッセージングアプリ、SMS、音声チャネルをまたいで展開されたりするようになるほか、攻撃者が認証情報だけでなくアクティブなセッションやアイデンティティに重点を置く傾向が強まる見込みです。
翻訳元: https://www.helpnetsecurity.com/2026/06/12/zscaler-report-phishing-activity-trends/
