世界のフィッシングは前年比20％減少も、AI悪用の標的型攻撃が企業内の人事・財務部門に集中

ゼットスケーラーは、サイバー脅威調査機関ThreatLabzとともに、2024年1月から12月までに検出・ブロックされた20億件超のフィッシングトランザクションを分析し、その結果を『2025年版 Zscaler ThreatLabz フィッシング レポート』として公表した。

同レポートでは、AI技術を活用した標的型のサイバー攻撃が増加している実態や、ソーシャルメディアや偽AIツールサイトを悪用した手法の拡大、重要部門への攻撃集中などが明らかになったという。

フィッシング全体は20%減少も、攻撃は高度化

報告によれば、世界全体のフィッシング活動は前年比で20%、米国においては約32%減少したという。しかし、攻撃者は従来の無差別型攻撃から、AIを駆使した高度な標的型攻撃へと戦略を転換しつつあるとされる。特に人事、財務、給与管理部門といった機密性の高い情報を扱う部門が主な標的となっている。

AIにより自動生成された文面や、ディープフェイクによる音声・映像などを用いて、信ぴょう性を高めた詐欺コンテンツが多発しており、企業にとって従来型の防御では対応が困難な状況にあるとのことだ。

最も悪用されたプラットフォームはTelegramやFacebook

攻撃者が最も多く悪用している模倣対象およびマルウェア配信チャネルはTelegram、Steam、Facebookであるとされる。これらのソーシャルメディアは、偽サイトによる情報詐取だけでなく、C2（コマンド・アンド・コントロール）通信の秘匿、標的情報の収集、ソーシャルエンジニアリングの足場としても利用されているという。

2024年には、こうしたソーシャルメディアを舞台にしたテクニカルサポート詐欺や求人詐欺の件数が1億5,914万8,766件に達したとされ、攻撃規模の大きさが浮き彫りになっている。

AIツールを模した偽サイトが増加、信頼の裏を突く手口

生成AIの浸透とともに、偽の「AIアシスタント」や「AIエージェント」を装った詐欺サイトの増加も顕著であるという。これらは履歴書作成ツールやグラフィックデザインサービス、業務効率化ツールなどを名乗り、資格情報やクレジットカード情報を入力させることで情報を不正取得する手口となっている。

こうした詐欺は、ユーザーが「AIツールだから安心」という心理を突いたものであり、攻撃者が信頼性や利便性を逆手にとっている実態が明らかにされた。

AIツールを模した偽サイトが増加

防御側にもAIとゼロトラストの高度化が求められる

調査では、これらの脅威に対抗するためには、ゼロトラストアーキテクチャとAIを掛け合わせた多層的な防御戦略が必要であると強調されている。Zscaler Zero Trust Exchangeは、攻撃対象領域の最小化、初期侵入の防止、ラテラルムーブメント（横展開攻撃）の排除、内部脅威の検知などを一貫して実現する機能を持ち、生成AIがもたらす新たな攻撃に対しても有効であるという。

また、Zscaler AIを活用したセキュリティ製品は、パブリックAIの安全利用、プライベートAIの保護、AI生成脅威の検知といった機能を備えており、サイバー犯罪者が悪用するAIに対して、同等以上のAI防御が求められる現状を踏まえた設計になっているとされる。

【調査概要】

調査名：2025年版 Zscaler ThreatLabz フィッシング レポート
調査対象期間：2024年1月～12月
調査対象データ：Zscaler Zero Trust Exchangeによってブロックされたフィッシングトランザクション（総数：20億件超）
調査機関：ThreatLabz（ゼットスケーラー内セキュリティ調査部門）
調査内容：攻撃手法、標的部門、悪用されたプラットフォーム、模倣元、C2通信の傾向、詐欺手口の変化、生成AI活用傾向など

＜参考＞
出典：ゼットスケーラー『2025年版 Zscaler ThreatLabz フィッシング レポート』