フィッシング攻撃が前年比1,265%増の異常事態。AI化、AiTM(中間者攻撃)、そしてPaaS型ツールの台頭により「怪しいメールを見分ける」時代は終わった。
2026年現在、フィッシング詐欺は未曾有のフェーズへと突入しました。 サイバーセキュリティ企業 SlashNext の最新レポートによると、生成AIを悪用したフィッシング攻撃は前年比で実に 1,265% も急増。「文法が不自然」「日本語が怪しい」という過去の常識は通用せず、「ユーザーの注意力だけに頼る防衛」は事実上破綻しています。
起きている3つの構造的変化
1. 完璧な言語処理と文脈の自動化(Spear Phishing at Scale)
かつての標的型攻撃(スピアフィッシング)は、攻撃者がターゲットのSNS(LinkedInやX)を手動で調査し、文面をゼロから練り上げる労力が必要でした。 現在、攻撃者はオープンソースのLLMや自作のスクリプトを用い、標的の職歴・最近の興味関心・所属部署のプロジェクト名を完全に自動でスクレイピング・推測し、不気味なほど自然な日本語のメールを数万件単位で瞬時に生成しています。
証言: 「直属の上司が使う独特の社内用語や、現在進行中のプロジェクト名(秘匿情報ではないが公開情報から推測可能)が完璧に盛り合わされた緊急指示メールが届き、金融機関の担当者でさえ気づかずリンクを踏んでしまった」(セキュリティレスポンスチーム担当者)
2. Phishing-as-a-Service(PaaS)の普及
サイバー犯罪は完全に分業化されました。技術的スキルを持たない犯罪志願者でも、数千円を支払えば高機能なフィッシング基盤(PaaS)をサブスクリプションでレンタルできます。 2026年3月に米国および欧州の合同捜査機関によって大規模なPaaSインフラが摘発されましたが、数日後には別のサービスプロバイダーが代替となるシステムを提供開始するなど「イタチごっこ」が続いています。
3. AiTMツールキットの台頭(Evilginx2等の悪用)
現在最も警戒すべきなのが、AiTM(Adversary-in-the-Middle:中間者攻撃の進化版) です。 多要素認証(SMSやアプリでの認証コード)を設定していれば安全という時代は終わりました。
実際の攻撃では、例えば Evilginx2(本来はペネトレーションテスト用のフレームワークだが悪用されているツール)のようなプロキシツールが頻繁に使われます。
[被害者] → (不正なリバースプロキシ: 攻撃者) → [本物のサービス(M365等)]
↑
認証成功時のセッショントークン(Cookie)をリアルタイムに奪取ユーザー視点では、本物のサイトでパスワードとMFAコードを正しく入力しているように見えます。しかし、バックエンドで攻撃者が認証を中継し、最終的にログイン継続状態の「セッションクッキー」を奪い取ります。このCookieさえあれば、攻撃者はパスワードもMFAコードも知ることなくアカウントを乗っ取ることが可能です。
経営層とシステム・管理者が取るべき現実的対策
「怪しいメールは開かないように」という精神論の啓発訓練も重要視されてきましたが、人間である以上必ずミスは発生します。システム側で本質的な「ゼロトラスト」のアイデンティティ管理基盤を備えることが急務です。
1. 経路における認証の厳格化(DMARC/SPF/DKIM)
メールインフラの設定漏れは致命的です。送信元のドメイン認証技術である DMARC を p=reject(拒否)または p=quarantine(隔離)で運用し、自社ドメインを騙るなりすましをネットワークの境界で弾く体制を整えます。Google Workspace や M365 は既にこれらを強力に要請しています。
2. 耐フィッシングMFAの導入(FIDO2 / パスキー)
SMS認証やワンタイムパスワード(TOTP)はAiTM(Evilginx2等)の標的になります。これを防ぐ唯一の防御が、耐フィッシングMFA(Phishing-Resistant MFA) です。 具体的には、FIDO2 に準拠したハードウェアセキュリティキー(YubiKeyなど) や パスキー を利用します。これらは、認証プロセス内で暗号学的に「接続先の正規ドメイン情報」を検証するため、被害者が偽サイトに誘導された状態では物理的に認証が通りません。
3. クラウド型メールセキュリティ(AIの毒をもってAIを制す)
従来のルールベースのスパムフィルターでは、LLM生成文をブロックできません。現在は Defender for Office 365 P2 プランのアドバンスド脅威保護や Proofpoint などの、AIを用いた振る舞い検知・自然言語処理による誤配信検出エンジンが必須の防御レイヤーとなっています。
まとめ:システムに対する「投資」への転換時期
AIによってもたらされた「スケーラブルな精密攻撃」という悪夢は、今後さらに自動化・先鋭化していくでしょう。 個人として「警告に気づく直感」を磨くことは依然重要です。しかし組織としては、**「ユーザーが騙されても、システムが侵害されないアーキテクチャ」**への移行、すなわちFIDO2を基盤とする堅牢なアイデンティティ管理体制への投資を行う決断の時が来ています。
参考・出典 本記事は SlashNext 2025 Phishing Intelligence Report、FBI IC3 Annual Report、ならびに実務におけるOSINT調査をもとに CyberLens リサーチチームが解説したものです。AiTMツール(Evilginx2等)についての言及は防御インテリジェンスの普及を目的としており、悪用を推奨するものではありません。
