2025年は、攻撃者がフィッシング攻撃において大きな革新を見せた年でした。攻撃者は引き続き、アイデンティティ(本人確認)ベースの手法に注力しています。フィッシングは絶えず進化しており、その結果、今日の攻撃者にとって最も有効な手法の一つであり続けています――実際、これまで以上に有効になっていると言っても過言ではありません。
2025年のフィッシング攻撃を特徴づけた主要トレンドと、これらの変化が2026年に向けてセキュリティチームに何を意味するのかを、詳しく見ていきましょう。
#1: フィッシングがオムニチャネル化
メール以外のフィッシングの台頭については以前から語ってきましたが、2025年はフィッシングが真にオムニチャネル化した年でした。
フィッシングに関する業界データの大半は依然としてメールセキュリティベンダーやツールから得られていますが、状況は変わり始めています。Push Securityが検知したフィッシング攻撃のおよそ3件に1件は、メール以外で配信されていました。
メール外で運用されるフィッシングキャンペーンの例は数多くあり、私たちが特定した主要チャネルはLinkedInのDMとGoogle検索でした。注目すべきキャンペーンには次のようなものがあります。
-
テック企業の経営層を狙った標的型キャンペーン:同一組織内の別社員のLinkedInアカウントが侵害され、そのアカウントから投資機会を装って配信されました。
-
南米の投資ファンドを装うキャンペーン:ファンドへの参加機会を提示する内容でした。
-
「Google Ads」「TradingView」「Onfido」などの主要検索語を探しているユーザーを捕捉する複数のマルバタイジング(悪意ある広告)キャンペーン。
メール以外のチャネルによるフィッシングには、多くの利点があります。メールは最も防御が厚いフィッシング経路であるため、これらの制御を完全に回避できます。送信者レピュテーションを積み上げたり、コンテンツ解析エンジンを欺く方法を探したり、メッセージが迷惑メールフォルダに入らないことを祈ったりする必要がありません。
対照的に、メール以外の経路は実質的にスクリーニングがほとんどなく、セキュリティチームの可視性もなく、ユーザーもフィッシングの可能性を想定しにくいのです。
企業の経営層は、見知らぬメールよりも、信頼できそうなアカウントからのLinkedIn DMのほうに反応しやすいとも言えます。そしてSNSアプリは、メッセージ内のフィッシングリンクを解析しません。(また、今日の多段階フィッシング攻撃におけるURLベースのチェックの限界を考えると、仮に解析しようとしても極めて困難でしょう。)
検索エンジンも攻撃者にとって大きな機会を提供します。既存の高評価サイトを侵害する場合でも、悪意ある広告を出稿する場合でも、あるいは自分たちでSEO最適化したWebサイトを“ノリでコーディング”して作る場合でも同様です。
これは「ウォータリングホール」型の攻撃を仕掛ける有効な方法であり、広く網を張って認証情報やアカウントアクセスを収集し、手数料を取って他の犯罪者に再販したり、サイバー犯罪エコシステム内のパートナーが大規模侵害の一部として悪用したりできます(例:犯罪集団「Scattered Lapsus$ Hunters」による最近の攻撃。いずれもアイデンティティベースの初期侵入から始まっています)。
新ウェビナー:2025年にフィッシング攻撃はどう進化したか
12月17日に開催されるPush Securityの最新ウェビナーをご覧ください。Pushの研究者が現場で対処した最も興味深い攻撃を分解し、2026年に向けてセキュリティチームがフィッシング対策として準備すべきことを解説しながら、2025年にフィッシングがどのように進化したかを学べます。
#2: 犯罪者向けPhaaSキットが主流に
現在のフィッシング攻撃の大半はリバースプロキシを使用しています。これは、攻撃の一環としてリアルタイムにセッションが作成され、そのセッションが盗まれるため、ほとんどのMFAを回避できることを意味します。10年以上前に一般的だった基本的な認証情報フィッシングと比べて、この手法にデメリットはありません。
これらの中間者(Attacker-in-the-Middle)攻撃は、Tycoon、NakedPages、Sneaky2FA、Flowerstorm、Salty2FAといった犯罪者向けのPhishing-as-a-Service(PhaaS)キット、ならびに各種Evilginx派生(名目上はレッドチーム向けツールですが、攻撃者に広く利用されています)によって支えられています。
PhaaSキットは、洗練され継続的に進化する機能を犯罪マーケットに提供し、高度なフィッシングキャンペーンを実行する犯罪者の参入障壁を下げるため、サイバー犯罪において極めて重要です。
これはフィッシングに限りません。Ransomware-as-a-Service、Credential Stuffing-as-a-Serviceなど、犯罪者が料金を支払って利用できる多くのツールやサービスが存在します。
この競争環境が攻撃者のイノベーションを加速させ、MFA回避が当たり前になり、フィッシング耐性のある認証がダウングレード攻撃によって迂回され、さらに検知回避技術が、メールスキャナからWebクローリング型セキュリティツール、ネットワークトラフィックを解析するWebプロキシに至るまで、セキュリティツールを回避するために使われています。
また、Browser-in-the-Browserのような新機能が登場すると、それらが迅速にさまざまなフィッシングキットへ統合されることも意味します。
今年確認した、特に蔓延している検知回避手法は次のとおりです。
-
ボット対策の広範な利用。現在のフィッシングページには、フィッシングページを解析できないようWebクローリング型セキュリティボットを遮断する目的で、カスタムCAPTCHAまたはCloudflare Turnstile(正規版と偽装版)がほぼ必ず組み込まれています。
-
被害者にばらまかれる初期リンクと、フィッシング内容をホストする実際の悪性ページの間に、長いリダイレクトチェーンを挟む手法。複数の正規ページの中にフィッシングサイトを埋もれさせる狙いがあります。
-
JavaScriptによりクライアント側で実行される多段階のページ読み込み。これによりページは条件付きで読み込まれ、条件を満たさない場合は悪性コンテンツが配信されないため、ページはクリーンに見えます。さらに、悪性活動の大半がローカルで行われ、ネットワークトラフィック解析ツール(例:Webプロキシ)が分析できるWebリクエストを生成しないことも意味します。
これにより、フィッシングが長期間検知されない環境が生まれます。たとえページがフラグ付けされても、攻撃者にとっては、攻撃で使った同じ無害なURLチェーンから動的に別のフィッシングページを配信するのは容易です。
要するに、URLで悪性サイトをブロックするという旧来のアプローチはますます難しくなっており、常に攻撃者の二歩後ろを追うことになります。
#3: 攻撃者はフィッシング耐性認証(および他のセキュリティ制御)を回避する方法を見つける
すでに、MFAダウングレードがセキュリティ研究者と攻撃者の注目領域であることに触れました。しかし、フィッシング耐性のある認証方式(すなわちパスキー)は、フィッシング耐性要素が唯一のログイン要素であり、かつアカウントにバックアップ手段が有効化されていない限り、有効であり続けます。(ただし、要素が1つだけという運用上の問題から、これは比較的まれです。)
同様に、大規模なエンタープライズアプリやクラウドプラットフォームでは、アクセス制御ポリシーを適用して不正アクセスのリスクを低減できます(ただし、誤りなく実装・維持するのは難しい場合があります)。
いずれにせよ、攻撃者はあらゆる可能性を想定し、防御が手薄な別経路でアカウントに侵入する方法を探しています。主に、次のような手法で標準的な認証プロセスを迂回します。
-
同意フィッシング(Consent phishing):被害者をだまして悪意あるOAuthアプリをアプリテナントに接続させる。
-
デバイスコードフィッシング(Device code phishing):同意フィッシングと同様ですが、OAuthをサポートできないデバイスログイン向けに設計されたデバイスコードフローを用い、代替のパスコードを提示して認可させます。
-
悪意あるブラウザ拡張機能:被害者をだまして悪性拡張機能をインストールさせる(または既存の拡張機能を乗っ取る)ことで、ブラウザから認証情報やCookieを盗む。
攻撃者が認証情報とセッションを盗むために使っている別の手法がClickFixです。ClickFixは、昨年Microsoftが検知した初期侵入ベクターのトップで、攻撃の47%に関与していました。
従来型のフィッシング攻撃ではありませんが、攻撃者がユーザーをソーシャルエンジニアリングし、端末上で悪性コードを実行させます。通常はリモートアクセスツールやインフォスティーラ型マルウェアを展開します。その後、インフォスティーラが認証情報やCookieを収集し、さまざまなアプリやサービスへの初期アクセスに利用されます。
Push Securityの研究者は、ConsentFixと名付けた全く新しい手法も発見しました。これはClickFixのブラウザネイティブ版で、OAuthの鍵素材を含む正規URLをコピー&ペーストするだけで、標的アプリへのOAuth接続が確立されてしまいます。
これは完全にブラウザネイティブであるため、エンドポイントでの検知面(およびEDRのような強力なセキュリティ制御)を方程式から完全に取り除いてしまい、ClickFixよりもさらに危険です。さらにPushが確認したケースでは、攻撃者はAzure CLIを標的にしました。これはMicrosoftのファーストパーティアプリで特別な権限を持ち、サードパーティアプリのように制限できません。
実際、攻撃者が主要な業務アプリケーション上のアカウントを乗っ取るために使える手法は多岐にわたります。フィッシングをパスワード、MFA、標準的な認証フローに縛られたものとして捉えるのは、もはや時代遅れです。
2026年に向けたセキュリティチームへの指針
2026年にフィッシングへ対処するには、セキュリティチームはフィッシングに対する脅威モデルを見直し、次の点を認識する必要があります。
-
主要なアンチフィッシングの対象面としてメールを守るだけでは不十分
-
ネットワーク/トラフィック監視ツールは、最新のフィッシングページに追いついていない
-
フィッシング耐性認証は、たとえ完璧に実装しても、免疫を与えるものではない
鍵となるのは検知と対応です。しかし、多くの組織には重大な可視性のギャップがあります。
ブラウザにおける検知ギャップを解消する
これらの攻撃に共通する点の一つは、すべてがWebブラウザ内で発生し、ユーザーがインターネット上で業務を行う最中に狙われることです。だからこそ、ブラウザはこれらの攻撃を検知し対応するのに最適な場所です。しかし現状では、ブラウザは多くのセキュリティチームにとって盲点になっています。
Push Securityのブラウザベースのセキュリティプラットフォームは、侵害の主要原因に対して包括的な検知・対応機能を提供します。Pushは、AiTMフィッシング、クレデンシャルスタッフィング、悪意あるブラウザ拡張機能、ClickFix、セッションハイジャックといったブラウザベースの攻撃をブロックします。
すべてが破綻するまで待つ必要はありません。Pushを使えば、ゴーストログイン、SSO適用範囲のギャップ、MFAのギャップ、脆弱なパスワードなど、従業員が利用するアプリ全体にわたる脆弱性を能動的に発見・修正し、アイデンティティ攻撃面を強化することもできます。
Pushについて詳しく知るには、最新の製品概要をご覧いただくか、ライブデモのために当社チームとの時間をご予約ください。
