フィッシングはメールからモバイルへ移行中。あなたのセキュリティは？

読了時間：4分

出典：Tiny Ivan（Alamy経由）

論説

長年、メールセキュリティは企業のセキュリティ対策の中心的な話題でした――それも当然です。メールは依然としてフィッシング、認証情報の窃取、ソーシャルエンジニアリングの主要な経路です。しかし2025年、脅威の状況は変化しています。静かに、しかし確実に、攻撃者は受信箱を回避し、複数のチャネルにその手を広げています。

TechMagicの最新データによると、現在フィッシング被害の41％が、SMS（スミッシング）、音声通話（ビッシング）、QRコード（クイッシング）など、複数のチャネルを利用した手口で行われています。傾向は明らかです。メールが依然として重要である一方で、攻撃者はテキスト、iMessage、WhatsApp、SNSのダイレクトメッセージなど、モバイルファーストのプラットフォームへと移行しています。これらの攻撃は発見が難しく、制御も困難で、成功率も高くなります。なぜなら、チェーンの中で最も脆弱なポイント――つまり画面の向こうの人間――を狙っているからです。

このようなモバイルプラットフォームへの脅威の拡大に対応するため、AI駆動の防御を活用し、リアルタイムでソーシャルエンジニアリング攻撃を検知・防止する新たなセキュリティアプローチが登場しています。大規模言語モデル（LLM）を訓練してメッセージの内容や意図を理解させることで、これらのシステムは不審な活動を検出し、ユーザーが被害に遭う前に保護策を適用できます。ITサポートを装ったテキストメッセージや、ベンダーになりすましたメッセージなど、これら次世代のソリューションは、デバイスだけでなく「人間層」で脅威を阻止することに重点を置いています。

企業の最高情報セキュリティ責任者（CISO）は毎年、メールセキュリティに数百万ドルを費やしています。Fortune Business Insightsによると、世界のメールセキュリティ市場は2025年の51億7,000万ドルから2032年には106億8,000万ドルへ、年平均成長率（CAGR）10.9％で拡大すると予測されています。しかし、人を標的とした脅威が増加しているモバイルチャネルへの投資は、しばしば最小限にとどまっています。これを変える必要があります。人間に対する脅威は受信箱の外で消えるわけではなく、むしろモバイルデバイス上で激化します。なぜなら、ユーザーはより気が散りやすく、警戒心が薄れ、反応が速くなるからです。

この変化がさらに重要なのは、最も急速に増加している3つの人間を標的とした攻撃手法――スミッシング、ビッシング、クイッシング――がすべて本質的にモバイルである点です。メールとは異なり、これらは既存の企業防御を回避し、ユーザーの携帯電話に直接到達するため、最も脆弱な状態で狙われます。

スミッシング、ビッシング、クイッシングとしてのフィッシング

スミッシング（SMSフィッシングとも呼ばれる）は、SMSや他のモバイルメッセージアプリを通じて行われるフィッシングの一種です。メールではなく、信頼できる連絡先、配送サービス、銀行からの通知、緊急のセキュリティ警告などを装ったテキストとして悪意のあるリンクが届きます。SMSはモバイルデバイスに標準搭載されているため、従来のメールセキュリティツールでは検知できず、デスクトップベースの防御ではこれらの攻撃を見逃してしまいます。

ビッシング（音声フィッシング）は比較的新しい手法ですが、その有効性から急速に広まっています。ライブまたは録音済みの電話を使い、被害者を騙して認証情報を開示させたり、送金させたりします。多くの場合、モバイルフィッシングと組み合わせて使われます。攻撃者は発信者IDを偽装し、経営幹部、ITヘルプデスク、銀行、政府機関など信頼される存在を装い、企業の固定電話を回避して従業員の携帯電話を直接狙います。

クイッシングは、QRコードを利用したフィッシング攻撃です。メールやテキスト、メッセージ内の悪意あるリンクをクリックさせる代わりに、被害者にモバイルデバイスでQRコードをスキャンさせます。そのスキャンによって偽のウェブサイトに誘導し、認証情報の窃取、マルウェアの配布、機密データの取得を狙います。特に危険なのは、QRコードのスキャンが日常的で安全だと感じやすい点です――メニュー、支払い、チケットなど――そして多くのセキュリティツールは、ユーザーのデバイスが接続する前にQRコードをチェックしません。

スミッシング、ビッシング、クイッシングは、メールセキュリティでは見逃される死角を突いてきます。人々が携帯電話で最も信頼しているチャネル――テキスト、音声、QRコード――を悪用し、従来の防御をすり抜けて直接「人間」を狙います。

人間層としてのモバイル

主な課題は、従来の多くの防御策がテクノロジーに焦点を当てており、人間を重視していない点です。そのため攻撃者に悪用されやすい隙間が生まれています。メール保護をやめるのではなく、攻撃が実際に発生している場所に防御を適応させることが重要です。ソーシャルエンジニアリングはますます巧妙化し、文脈に即し、モバイル化しています。セキュリティ戦略もそれに合わせて進化しなければなりません。

人間層が主な標的となる中、モバイルセキュリティはデバイスの状態やコンプライアンスチェックだけでなく、行動や文脈、正当なやり取りと不正な操作を分ける微妙な兆候も考慮する必要があります。戦いの場は変わりました――攻撃は今やメールだけでなく複数のチャネルで個人を狙っています。サイバーセキュリティ戦略もそれに適応しなければなりません。