出典:Robert Lemos;Cisco Talosのデータ
攻撃者のAI使用に支えられて、フィッシング攻撃は初期アクセスの主要なベクトルとして急増し、今年の第1四半期の侵害対応活動において、外部脆弱性の悪用を上回るようになりました。
これは、今週発表されたCisco Talosの IR Trends Q1 2026 レポートによるもので、チームが昨四半期に調査した侵害事例全体の3分の1以上(35%)が成功したフィッシング攻撃から始まったことが判明しました。攻撃者は24%のケースで有効なアカウントを使用し、別の18%で一般に公開されているアプリケーションを悪用しました。レポートからのデータによると。
このデータは、AIシステムによって作成・カスタマイズされた電子メール誘導の有効性を強調しており、Cisco Talosのシニア技術リーダーであるNick Biasiニは次のように述べています。
「突然、誰もが非常に説得力のあるフィッシングメールを書く能力を手に入れました。そしてそれは非常に説得力のあるメールだけではなく、様々な言語での非常に説得力のあるメールなのです」と彼は説明しています。「これが私たちのデータの多くに表れ始めています。」
CiscoだけがAI駆動フィッシング攻撃の急増を見ているわけではありません。2025年12月、人的リスク管理プラットフォームのHoxhuntは、AI生成フィッシング攻撃のシェアが休暇シーズン中に4%から56%に急上昇し、1月には40%にわずかに低下したことを観察しました。同社が発表したレポートによるとこのようになっています。
AIにより、より自然なサウンドの電子メール誘導、大きなカスタマイズ、よりきれいなフォーマットが実現され、フィルタリングと人間による検出の両方がより困難になります。これはヘルシンキを拠点とする同社の共同設立者兼CEOであるMika Aaltoが述べています。
「疑いの余地なく、脅威の状況は変わりました」と彼は言います。
サイバー攻撃感染フローにおけるAIツール使用のさらなる兆候
侵害対応者はまた、フィッシング誘導の多様性の増加を目撃しています。1年前、サイバー攻撃者は同じメールを10人の異なる人に送信してから、メールの内容を変更していました。通常、これらの変更は軽微なものでした。現在、その数は1キャンペーンあたり1.8メールに減少しています。これは人的リスク管理会社KnowBe4のCISO顧問であるErich Kronによるものです。ポリモーフィックフィッシングとして知られる急速に変化するメールは、攻撃者がAIツールをますます採用するにつれて、ターボチャージされるようになっています。彼が言うように。
「私たちはこれを絶対にAIのせいにしています」と彼は言います。「誰も、送信する各メッセージのペイロードを手動で変更しながら、キーボードの後ろに座っていません。」
一方、Microsoftのデータはまた、AIがより説得力のあるフィッシング攻撃につながったことを示しています。同社はAI支援フィッシングのクリックスルー率が54%に達したことを確認しており、これは平均12%からの上昇です。
多くの場合、フィッシング攻撃の対象は特権ユーザーの正当な認証情報です。Cisco TalosとKnowBe4の両方は、システム管理者、幹部、会計チームなどの特権ユーザーを特に対象とするフィッシングメッセージの増加を確認しています。
「アイデンティティは非常に、非常に大きなターゲットです」とBiasiニは言います。「攻撃者として、エクスプロイトを使用したくありません。むしろあなたのメールアカウントを侵害するか、あなたの認証情報を侵害し、あなたの環境に入り、より隠密な方法で動作できるようにしたいのです。これにより、いくつかの経済的利益をもたらすことを願っています。」
例えば、Google Mandiantの調査では、初期アクセスベクトルの83%が何らかの方法でアイデンティティを悪用したことが判明しており、これには攻撃の3分の1がフィッシング技術を使用しています。
脆弱なインフラストラクチャに対するサイバー攻撃者の照準
正当なサービスの悪用—GmailアカウントからDocusign、OutlookからSalesforceまで—は、正当なメールからフィッシングを識別することをより困難にしています。通常、フィッシングメールはドメインベースのメッセージ認証、レポート、および適合(DMARC)などのメール認証技術を実装しているドメインからのものであり、メッセージに正当性の表面を与えています。したがって、攻撃者は初期防御をバイパスします。Hoxhuntのaaltが述べています。
「正当なプラットフォームからの通知に悪意のあるリンクとメッセージを隠すことは、効果的であり検出がより困難であるため、ますます人気が高まっています」と彼は言います。「フィッシングリンクが信頼されたクラウドツール、コラボレーションプラットフォーム、またはノーコードサービスにつながる場合、活動は表面上正常に見えます。ユーザーがもはや文法のエラーと不一致のURLで赤旗を探していないため、これは検出をより困難にします。」
一方、多要素認証(MFA)はワーカーのオンライン識別情報とアクセスを保護するための重要なコンポーネントですが、企業はこれに排他的に依存すべきではありません。Cisco Talosが調査した攻撃の3分の1以上(35%)はMFAの弱点を含んでいた。同社はそのレポートで述べています。
防御を改善するために、企業は意味のあるところどこでもAIを導入し、投資することを試験および投資すべきであると、Ciscoのbiasiニは言います。
「あなたの攻撃者がAIに大きく依存する予定なら、おそらくあなたも同じことをする必要があります」と彼は言います。「それらの弱点を探し始め、あなた自身のAI機能を活用して、潜在的にそこにある可能性のある問題の修正を開始してください。1つのAIエージェントがそれを見つけることができるなら、理論的には複数のAIエージェントもそれを見つけることができます。」
翻訳元: https://www.darkreading.com/cyber-risk/ai-phishing-no-1-cyberattackers
