1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ
  5. セキュリティ予測 2026:警戒すべきフィッシング手口

Info.

お知らせ

海外ブログ

セキュリティ予測 2026:警戒すべきフィッシング手口

セキュリティ予測 2026:警戒すべきフィッシング手口 のページ写真 1

2025年11月24日、脅威分析チーム

AI駆動型脅威の予測と今後の戦術進化

要点

  • フィッシングキットは急速に進化し、数百万件の攻撃を実行可能。高度化と回避能力が継続的に向上中。
  • 2026年には、次世代フィッシングキットが高度なツールを用いて標的の詳細なソーシャルプロファイルを構築し、多要素認証を回避し、AIを活用したより標的を絞ったパーソナライズされた攻撃を仕掛けることが予測されます。
  • PhaaSビジネスモデルは、基本キットから高度なAI駆動型キャンペーンまでを網羅する階層化されたサブスクリプション形態へ移行する見込み。
  • 2026年末までに、認証情報侵害攻撃の90%以上がフィッシングキットによって実行され、全フィッシングインシデントの60%以上を占めると予測されます。

2025年、フィッシング攻撃の動向は、AI、進化を続けるフィッシング・アズ・ア・サービス(PhaaS)キット、そして高度化する配信・回避技術の複合的な力によって推進されました。本記事では、バラクーダの脅威アナリストが、この持続的かつ進化を続ける脅威が今後1年間にどのような展開を見せるかを展望します。

2025年のフィッシング進化

1年前、当チームは予測した:PhaaSキットによる認証情報窃取攻撃は2024年の約30%から、2025年末までに全攻撃の半数を占めると。実際の割合は半数をやや上回りました。

さらに重要なのは、フィッシングキットの数が2025年に倍増したことです。各キットは数百万件の攻撃を実行できるほど強力です。これらのキットは絶えず進化し、時とともに高度化・回避能力を高めています。チームは年間を通じて最も普及したフィッシングキットの一部について定期的に報告しました。

こうした動向などを踏まえ、脅威分析チームは今後12ヶ月間の状況変化に関する一連の予測を策定。セキュリティチームが今後の脅威を理解し準備するための指針を提供しました。

2026年に予期されるもの

フィッシングキット2.0

既存および新興のフィッシングキットは、標的に対する詳細なソーシャルプロファイル構築ツールを活用する。多要素認証(MFA)などのセキュリティ対策を回避するため、アクセストークンの窃取や正規ウェブサイト経由の認証中継といった自動化戦術を展開し、防御を突破する。キット開発におけるAI活用を強化し、攻撃のパーソナライズ化と効果向上を図ります。

  • 次世代PhaaSキットのビジネスモデルは、基本フィッシングキットから高度に標的化されたAIパーソナライズ型キャンペーンまで、階層化されたサブスクリプション形態を特徴とする。
  • 2026年末までに、認証情報侵害攻撃の90%以上がフィッシングキットの使用に起因し、全フィッシング攻撃の60%以上を占めると予測される。

動的回避技術とカスタマイズされたペイロード

攻撃者は静的な戦術から、デバイス・ユーザー活動・タイミングに基づきカスタマイズされたペイロードを用いた動的かつ状況認識型のアプローチへ移行し、自動検知を回避する。

増加が見込まれる高度な回避・検知回避技術には以下が含まれる:

  • 無害な画像・音声ファイルへの悪意あるコードの隠蔽(ステガノグラフィー)
  • 「クリックフィックス」ソーシャルエンジニアリング技法:ユーザーを騙して、クリップボードに密かにコピーされた悪意のあるコマンドを手動で実行させる手法。
  • 攻撃における分割・ネスト型QRコードの増加と、動的・多段階QRコードの登場。
  • OAuth(Open Authorization)の広範な悪用:パスワードを共有せずにアプリやサービスにサインインするための広く利用されているシステム。
  • 一時的なBlob URIを含む高度なURL回避技術。Blob URIはデータをメモリ内にローカル保存するウェブアドレスの一種であり、外部サーバーから読み込まれず被害者のブラウザ内でフィッシングページをホストできるため、従来の対策では検知が困難な点から攻撃者に好まれる。
  • 動的コードインジェクションと完全偽装された悪意のあるスクリプト。

AIベースの自動適応型キャンペーン

  • 攻撃者は生成AIを活用し、大規模な個別メッセージ作成とキャンペーンの迅速な自動適応を実現。
  • こうしたAI駆動型攻撃は高速で展開され、高度な暗号化、深層化された難読化、適応型ペイロードを特徴とします。
  • 攻撃者はプロンプトインジェクション技術やAIエージェントへの標的型攻撃により、AIそのものを悪用する動きも活発化すると予想されます。目的はAI搭載セキュリティツールの操作や侵害です。

MFA(多要素認証)コード窃取と欺瞞

  • フィッシングによるMFAコード窃取が増加し、プッシュ承認疲れや中継攻撃などの戦術が用いられます。
  • ソーシャルエンジニアリングは、パスワードリセットコードやその他のアカウント回復オプションなど、MFA回復フローを標的とします。
  • 攻撃者はまた、ソーシャルエンジニアリングをMFAダウングレード攻撃に利用し、ユーザーに代替認証方法(回避が容易なもの)を選択させるよう強制または騙すことで、強力なフィッシング耐性認証を迂回しようとします。

CAPTCHA悪用攻撃の増加

  • 高度なフィッシングキャンペーンでは、被害者に安全感を抱かせ攻撃者の真意を隠蔽するため、CAPTCHAを悪用する事例が増加中。2026年末までに、フィッシング攻撃の85%以上が自動セキュリティツール回避と人間による操作確認を目的としてCAPTCHAを利用すると予測されます。
  • 攻撃者はまた、正当で信頼性の高いCAPTCHAから偽の代替手段へ移行しつつあり、2026年にはこの傾向が増加すると予測されます。

ポリモーフィック戦術の増加

  • ポリモーフィック攻撃とは、コンテンツ、ペイロード、配信パターン、技術的指紋を絶えず変化させ、各インスタンスを異なるように見せかける攻撃です。これにより自動検知やシグネチャベースの防御は無効化されます。
  • 特にフィッシングキットで増加が見込まれる手法には、メール本文や件名へのランダムな英数字列の使用、送信者アドレスの難読化、タイムスタンプや受信者名を件名に含む長いヘッダーの採用、メールごとに微妙に異なるリンクの使用、添付ファイル名の変更などが含まれます。

正規プラットフォームのさらなる悪用

  • 2025年にはフィッシング攻撃の約10%が正規プラットフォームを悪用しており、2024年と同水準である。2026年もこの割合は横ばいで推移すると予測されます。
  • 攻撃者はAI搭載のゼロコードプラットフォームを悪用し、フィッシングサイトの迅速な構築・ホスティングを増加させる。これらのツールは技術的障壁を排除し、脅威アクターが最小限の労力で大規模な高度なキャンペーンを展開することを可能にします。

URL保護サービスとURLマスキングの標的化

  • URL保護サービスの悪用や、オープンリダイレクト・マーケティング/トラッキングリンク・正規URLの悪用といったURLマスキング戦術の活用が増加しており、2025年にはフィッシング攻撃の約25%で確認されました。この上昇傾向は継続すると予測されます。

より高度なマルウェアベースの脅威

  • マルウェア攻撃は、デバイスのメモリに潜伏するファイルレスマルウェアや、従来のシグネチャベース防御を回避可能なポリモーフィックペイロードの増加に伴い、より洗練化が進むと予想されます。
  • マルウェア・アズ・ア・サービス(MaaS)は進化し、拡大を続けるでしょう。

上記の新規の・進化する手法に加え、人事・給与関連詐欺、配送・物流詐欺、偽の多要素認証通知、税務・政府サービス詐欺、ファイル共有詐欺といった従来型の手法も継続すると予測されます。

進化する手法への防御策

フィッシング脅威は2025年に著しく高度化し、拡散・複雑化・回避能力を強化しました。この傾向は2026年以降も継続します。堅牢でサイバーレジリエントなセキュリティ戦略において、メールセキュリティは不可欠な要素です。

フィッシングやソーシャルエンジニアリング攻撃の影響を免れる組織はほとんどありません。最新の市場調査によれば、78%の組織が過去12ヶ月間にメールセキュリティ侵害を経験しています。被害者が脅威を検知・封じ込めるまでに要した時間が長いほど、被害は深刻化します。

高度なフィッシングを阻止するには、従来の手法ではもはや不十分です。組織には、BarracudaONEのようなAI搭載の統合セキュリティプラットフォームと、24時間365日の監視体制、そして強固なセキュリティ文化が必要です。

資料

Related posts