生成AI悪用フィッシングが急増
ゼットスケーラーが最新ThreatLabz調査を公表
クラウドセキュリティ企業 Zscaler, Inc.(以下ゼットスケーラー)は「2025年版 Zscaler ThreatLabzフィッシング レポート」を発表し、2024年の1年間で同社 Zero Trust Exchange™が遮断した20 億件超のフィッシング取引を分析した結果を明らかにした。本レポートは、生成AIを悪用した巧妙な標的型攻撃が加速し、企業の人事・財務・給与部門などビジネス上重要な機能が集中的に狙われている実態を報告している。
世界全体の件数は減少、しかし攻撃は高精度化
レポートによれば、メール送信者認証の普及などを背景に世界のフィッシング総量は20%減少したものの、攻撃者は量より質への転換を図り、影響力の大きい部門を標的に「精密キャンペーン」を展開している。とりわけ人事・財務・給与管理セクションは、機密情報や資金承認権限を握ることから優先的な攻撃対象となった。
ソーシャル メディア プラットフォームがフィッシングの対象
攻撃に最も悪用されたプラットフォームはFacebook、Telegram、Steam、Instagramで、これらは「模倣対象」と「マルウェア配信チャネル」の二役を担う。TelegramやFacebookの公式 UI を装った偽ログインページで資格情報を盗み、その後マルウェアのC2通信にも同プラットフォームを流用するパターンが横行している。
テクニカルサポート詐欺と求人詐欺が急増
2024年に確認されたテクニカルサポート詐欺・求人詐欺は1億5,900万件を突破。ITサポート担当者を装い「マルウェア感染の恐れがある」と緊急性を演出する手口や、転職希望者を狙う偽求人で履歴書データを収集する手口が目立つ。
新興市場を狙う地理的シフト
米国では32%近くフィッシングが減少した一方、ブラジル・香港・オランダなどデジタル化の進展にセキュリティ投資が追いつかない地域で急増。攻撃者は国別の祝祭日や商習慣に合わせ、現地語メールやローカル企業になりすましたAI生成コンテンツで成功率を高めている。
AI活用型「PhaaS」と偽AIツールサイト
生成AIの民主化は「Phishing as a Service(PhaaS)」を拡張させ、誰でも短時間で本物そっくりのサイトやディープフェイク音声を自動生成できる環境を生んだ。さらに履歴書作成・デザイン支援などを騙る偽AIアシスタント/AIエージェントのサイトが増加し、利用者に資格情報やカード情報を入力させる新たな詐欺が目立つ。
ゼロトラスト+生成AI防御の必要性
ゼットスケーラーの最高セキュリティ責任者兼セキュリティ リサーチ部門責任者 ディーペン・デサイ氏は「攻撃者がAIで防御を出し抜く時代、組織もAIを活用した多層防御とゼロトラストアーキテクチャーの組み合わせが不可欠」と強調する。Zero Trust Exchange™は
- 攻撃対象領域の最小化
- 初期侵入ブロック
- ラテラルムーブメント排除
- 内部脅威抑止・データ流出防止
をAIエンジンで自動化し、ユーザーからアプリ、データまで一貫して保護する。
企業・個人が直ちに取るべき対策
- 多要素認証の全社必須化
- AI生成メール検出ルールの更新
- SNSリンクのドメイン確認とURL短縮排除
- 重要部門向けフィッシング演習の定期実施
レポートは「量が減った今こそ質的脅威を可視化し、AI対AIの競争で防御側が主導権を握る必要がある」と締めくくっている。全文と詳細な統計はゼットスケーラー公式サイトよりダウンロード可能である。
ダウンロードはこちら
出典:ゼットスケーラーがThreatLabzの調査結果を発表、AIを悪用してビジネス上重要な部門を狙うサイバー攻撃が急増
