AI生成文、AiTM、マルチチャネル化でフィッシング対策は「怪しいメールを見分ける」だけでは足りなくなった。公式情報をもとに、2026年に優先すべき防御策を整理します。
2026年現在、フィッシング対策は「怪しいメールを見分ける」だけでは足りなくなっています。 SlashNext の 2024 Phishing Intelligence Report は、2024年後半にメール攻撃量が大きく増え、AI生成コンテンツやメール以外のチャネルを使った攻撃がより見分けにくくなると整理しています。FBI IC3 の 2025 年次報告でも、フィッシング/なりすましは引き続き主要な通報カテゴリとして扱われています。
本記事では、公開情報から確認できる範囲に絞り、AI時代のフィッシング対策を「教育」「メール認証」「耐フィッシングMFA」「報告・初動」の4つに分けて整理します。
起きている3つの構造的変化
1. 完璧な言語処理と文脈の自動化(Spear Phishing at Scale)
かつての標的型攻撃(スピアフィッシング)は、攻撃者がターゲットのSNS(LinkedInやX)を手動で調査し、文面をゼロから練り上げる労力が必要でした。 現在は、公開情報、過去の漏えい情報、業務文脈を組み合わせることで、自然な文面の標的型メールやチャットメッセージを作りやすくなっています。すべてが完全自動化されていると断定する必要はありませんが、少なくとも「日本語が不自然なら怪しい」という見分け方は防御の中心に置けません。
2. Phishing-as-a-Service(PaaS)の普及
サイバー犯罪は完全に分業化されました。技術的スキルを持たない犯罪志願者でも、数千円を支払えば高機能なフィッシング基盤(PaaS)をサブスクリプションでレンタルできます。 PhaaS型の基盤では、偽ログイン画面、配信基盤、テンプレート、取得した認証情報の管理が分業されます。読者が覚えるべきなのは個別ツール名ではなく、一度の訓練や一つのメールフィルターだけでは追いつきにくい運用型の脅威になっているという点です。
3. AiTMツールキットの台頭(Evilginx2等の悪用)
現在最も警戒すべきなのが、AiTM(Adversary-in-the-Middle:中間者攻撃の進化版) です。 多要素認証(SMSやアプリでの認証コード)を設定していれば安全という時代は終わりました。
AiTMでは、ユーザーが本物に見える画面でパスワードやMFAコードを入力している間に、攻撃者側の中継基盤が認証の流れへ割り込みます。ここでは具体的な設定や再現手順は扱いません。防御側が押さえるべきなのは、SMSやTOTPのMFAだけではセッション窃取に弱い場面があるという点です。
経営層とシステム・管理者が取るべき現実的対策
「怪しいメールは開かないように」という精神論の啓発訓練も重要視されてきましたが、人間である以上必ずミスは発生します。システム側で本質的な「ゼロトラスト」のアイデンティティ管理基盤を備えることが急務です。
1. 経路における認証の厳格化(DMARC/SPF/DKIM)
メールインフラの設定漏れは致命的です。送信元のドメイン認証技術である DMARC を p=reject(拒否)または p=quarantine(隔離)で運用し、自社ドメインを騙るなりすましをネットワークの境界で弾く体制を整えます。Google Workspace や M365 は既にこれらを強力に要請しています。運用時は DMARCレポートの見方と初動対応 で、正規送信元の失敗となりすまし疑いを分けて確認します。
2. 耐フィッシングMFAの導入(FIDO2 / パスキー)
SMS認証やワンタイムパスワード(TOTP)はAiTM(Evilginx2等)の標的になります。これを防ぐ唯一の防御が、耐フィッシングMFA(Phishing-Resistant MFA) です。 具体的には、FIDO2 に準拠したハードウェアセキュリティキー(YubiKeyなど) や パスキー を利用します。これらは、認証プロセス内で暗号学的に「接続先の正規ドメイン情報」を検証するため、被害者が偽サイトに誘導された状態では物理的に認証が通りません。
3. クラウド型メールセキュリティ(AIの毒をもってAIを制す)
従来のルールベースのスパムフィルターでは、LLM生成文をブロックできません。現在は Defender for Office 365 P2 プランのアドバンスド脅威保護や Proofpoint などの、AIを用いた振る舞い検知・自然言語処理による誤配信検出エンジンが必須の防御レイヤーとなっています。
まとめ:システムに対する「投資」への転換時期
AIによってもたらされた「スケーラブルな精密攻撃」という悪夢は、今後さらに自動化・先鋭化していくでしょう。 個人として「警告に気づく直感」を磨くことは依然重要です。しかし組織としては、**「ユーザーが騙されても、システムが侵害されないアーキテクチャ」**への移行、すなわちFIDO2を基盤とする堅牢なアイデンティティ管理体制への投資を行う決断の時が来ています。
参考・出典
- SlashNext 2024 Phishing Intelligence Report — フィッシングのマルチチャネル化、AI生成攻撃への見通し、メール攻撃量の変化を確認できる。
- FBI IC3 2025 Internet Crime Report — フィッシング/なりすまし、BEC、サイバー犯罪被害の通報状況を確認できる。
- CISA: Phishing-Resistant and Numbers Matching MFA Guidance — フィッシング耐性のあるMFAと番号照合MFAの考え方を確認できる。
- Google Workspace: Email sender guidelines FAQ — DMARCなど送信者認証に関するGoogleの要件を確認できる。
