はじめに
メールはビジネスのコミュニケーションツールの手段として機能する一方、情報セキュリティの観点ではデータ侵害の侵入経路にもなるため、守るべき情報資産になります。
SPF、DKIM、DMARCといった送信ドメイン認証の導入は増加しているのにも関わらず、攻撃者はその盲点を巧妙に突き続けています。
また、昨今、生成AIが悪用されることでフィッシングメールはより高度化しているのが現状です。
本記事は「エンジニアが知っておくべき メール送信・運用ノウハウ、メールの認証技術やセキュリティについて投稿しよう! Advent Calendar 2025」に沿って「攻撃者の視点で考えるメールセキュリティ」をテーマに、フィッシング攻撃に関する攻撃者の戦略と手口を理解することで、多層的なメールセキュリティの防御策を考えていきます。
フィッシングメールの現状
フィッシングメールは、依然として最も多いサイバー攻撃の一つであり、世界的に見ても年々増加していることが明らかになっています。
世界の動向
近年は、生成AIを悪用することで、ターゲットに合わせて自然な母国語を使用した文章を生成できるようになったことや自動化にも利用されることで、フィッシングメールによる脅威が増加しています。
アメリカのセキュリティ企業であるKnowBe4社が2025年3月に公開したレポートでは、2024年後半の6か月間でフィッシング関連メールが17.3%増加し、82%の攻撃に何らかのAI生成要素が含まれていたとされています。
フィッシングメールが世界的に増加している要因として、PhaaS(Phishing as a Service)の影響も挙げられます。
PhaaSは、2022年半ばから広まっているフィッシング攻撃を行うインフラストラクチャやツール一式をサブスクリプション契約で提供するサービスです。
技術力がない攻撃者でも、GmailやMicrosoftなど著名なオンラインサービス用に用意されたキットを購入して使用することができます。また、これらのツールキットには、スクリプト、ウェブサーバ、ストレージ、テンプレートなど、キャンペーンに必要なコンポーネントが全て含まれています。
こうしたサイバー攻撃を行うためのフィッシングツールがスクリプトキディの手に渡ることで、ビジネスモデルに拍車がかかりサイバー攻撃を助長するきっかけとなっています。
代表的なプラットフォームとして、EvilProxyの例では、Adversary-in-the-Middleフィッシング攻撃と呼ばれる手法が存在します。この手法はリバースプロキシ機能を活用することで、多要素認証(MFA)のセキュリティ対策を回避します。
国内の動向
国内の動向については、フィッシング対策協議会のサイトで公開されている月次報告から確認できます。
例えば、2025年9月のフィッシング報告を見ると、前月より増加していることや報告数全体のうちAmazon、Apple、ANA、日本航空などのブランドが全体の割合を占めていることなどが分かります。
また、SMSから誘導されるフィッシングとして、スミッシングが増加傾向であることや「なりすまし」フィッシングメールが約41.5%増加しているなど国内で発生しているフィッシングの被害状況について理解することができます。
フィッシング対策協議会の月次報告より2025/01 フィッシング報告状況の例では、中国の旧正月である春節と前後1週間について報告数が減少していたことが分かりました。
2025年の国内に関するトピックとしては、総務省が9月1日に事業者団体を通じて、電気通信事業者に対して、より効果的な対策に取り組むことを要請したことが注目されています。
この取り組みは、令和7年9月から令和8年8月末までの期間で、各電気通信事業者の取組状況について、3か月ごとに総務省へ報告するように述べています。
また、報告内容については、上記報道資料からリンクされている別紙より以下の対策に関する取組状況が求められています。
(1)フィルタリングの判定技術の向上や迷惑メール判定におけるAIの活用等、メールのフィルタリングの精度の一層の向上を積極的に図ること。また、迷惑メールのフィルタリング強度を適切に設定するなどして、高度化するフィッシングメールに対応可能なメールフィルタリングを目指すこと。
(2)なりすましメール対策として有効なDMARCの導入やDMARCポリシーの設定(隔離、拒否)を行うこと。送信側だけでなく受信側についても、適切なDMARCポリシーに基づく処理やレポート送信を設定すること。また、ドメインレピュテーション、BIMI、踏み台送信対策等の更なる対策の導入を積極的に検討していくこと。
(3)提供しているフィッシングメール対策サービスについて、様々な利用者層に向けた一層の周知・啓発を行うこと。
攻撃者の戦略と手口
サイバー攻撃を行なう攻撃者は、ブラックハット、スーサイドハッカー、スクリプトキディ、サイバーテロリスト、国営ハッカー、ハクティビストなど様々な種類で表現されます。
このような悪意のあるハッカーは、それぞれ目的や思想をはじめ、攻撃対象、手法も様々です。しかし、共通しているのは、フィッシング攻撃は人の弱みや隙に付け込む攻撃ベクトルとして、データ侵害を引き起こす可能性があるということす。
フィッシングメールの現状を踏まえて、攻撃者の戦略と手口を知りましょう。
データ侵害のライフサイクル
攻撃者はどのような流れでフィッシング攻撃を行っているのでしょうか?
データ侵害は、権限のない第三者が不正に入手した機密情報や個人情報にアクセスするセキュリティインシデントです。
データ侵害が発生する段階について、セキュリティベンダーによって表現は違うものの、基本的に偵察行為から開始し、最初の侵害が成功すると、横展開を行いデータ流出に発展するなどのライフサイクルが基本的なパターンとされています。
CrowdStrike社の「データ侵害: 発生する理由とそれを防ぐ11の方法」を参考にすると、データ侵害には大きく分けて次の4つの段階で行われていると記載されています。
- 計画
- 侵入
- ポジショニング
- 流出
上記の例を参考にすると、攻撃者は侵入の段階で、フィッシングメールを送り付けて、認証情報やワンタイムコード、OAuth承認などを騙し取り、取得した資格情報を用いてシステムの不正ログインを狙います。
システムに侵入された場合、攻撃者は機密データを抽出して外部へ持ち出します。そして、侵害したアカウントを踏み台にして、横展開を行うことで被害がさらに拡大します。
参考までにIBMが公開しているレポートでは、2025年のデータ侵害による全世界の平均コストは440万ドルでした。2024年のレポートでは488万ドルとなっていて、下がっていることが分かります。
データ侵害による全世界の平均コストが下がった理由については、AIや自動化技術の活用による迅速な検出と封じ込めが要因とされています。
フィッシング攻撃の手法
フィッシング攻撃には、標的とするターゲットの決め方と、どのような手口を利用するかという2つの観点があります。
前者には、特定の個人または組織を標的にしているSpear phishingや、経営幹部を標的にしたWhalingなどが含まれます。一方で後者は、攻撃の目的や技術手法に基づく分類で、近年は米国を中心にさまざまなタイプのフィッシング攻撃が観測されています。
以下では、特に増加傾向にある主要な攻撃手法を紹介します。
| 手法 | 説明 |
|---|---|
| Business email compromise (BEC) | 経営者や弁護士になりすまし従業員を騙して、お金やデータを送信させる |
| Credential phishing | AWS、Microsoft 365やGoogle Workspaceといったクラウドサービスを標的にし、本物に類似しているWebサイトを用意してログインさせる |
| Brand impersonation | Microsoft、Amazon、Facebookといった有名ブランドを装い、認証情報の窃取やランサムウェア感染を狙う |
| Quishing (QR code phishing) | メールだけでなく、ポスターや偽の名刺などにQRコードを記載するなど物理的な攻撃手法も存在する |
最近は、メール以外のフィッシング攻撃として、Slack、Teams、ソーシャルメディアなどのプラットフォームを悪用するMulti-channel phishingも増加しているとのことです。
ソーシャルエンジニアリング攻撃
2025年フィッシング関連のニュースで興味深かったニュースは、Have I Been Pwnedのプロジェクトを運営しているTroy Hunt氏がフィッシング攻撃を受けたことです。
このブログ記事では、Troy Hunt氏がMailchimpのログインを装ったフィッシングメールに誘導されて、資格情報とワンタイムパスワード(OTP)を入力し、攻撃者は短時間のうちにアカウントからメーリングリストをエクスポート及びAPIキーが作成されたことについて記載されています。
フィッシング詐欺は対岸の火事ではなく、テクノロジーに詳しい人でも騙されてしまう可能性があることを物語っています。
他にもセキュリティの専門家が騙されかけた体験談として、以下の記事が示唆に富んでいます。
このような事例を踏まえて、フィッシング攻撃は知識や経験の有無に関わらず、あらゆる立場の人間を狙う「心理戦」であるということです。
攻撃者は技術的な巧妙さだけでなく、人の不注意や怠慢といった隙を突いてきます。従って防御側としては、単にSPFやDKIMなどの技術的対策を講じるだけでなく、認知バイアスを前提にした運用や教育、多層防御を設計することが重要です。
ソーシャルエンジニアリング攻撃については、以前書いた「ソーシャルエンジニアリング攻撃 フィッシングメールについて理解する」をご参照ください。
攻撃者の騙し方
攻撃者がフィッシング攻撃を成功させるために意識していることは、ターゲットに疑われないことです。
従って技術的な偽装と心理的な誘導という二つのアプローチを組み合わせることで、ターゲットの警戒心を下げようとします。
技術面では、盗まれたクラウドアカウントやメール配信サービスの認証情報を悪用して、SPF・DKIM認証が成功した本物のように見えるメールを送信することで、信頼性を演出します。また、URLやドメイン名を目視では判別しづらく偽装するホモグラフ攻撃や短縮URLなど、人間の認知バイアスを突くテクニックも依然として多用されています。
以下では、攻撃者が実際に使用している典型的な手法について解説します。
例えば、攻撃者がAWSアカウントやSESの認証情報を何らかの方法で取得した場合、検証済みドメインからメール送信ができるようになるため、スパムメールやフィッシングメールを送信することが可能になります。
また、SendGridなどのメール配信サービスのアカウントに関する悪用も要注意です。SendGridを使用することで、SPF、DKIM、DMARCなどメールセキュリティを回避し、フィッシングキャンペーンの信頼性を向上します。
参考までに2023年2月13日、アメリカに本社をおくドメインレジストラ及びウェブホスティングサービスを提供しているNamecheapから大量のフィッシングメールが送信されたというインシデントがありました。NamecheapのCEOによると、フィッシングメールの大量送信はSendGridがハッキングされたと言われています。
認知バイアスを利用した攻撃については、ホモグラフ攻撃によってURLで使用されるホスト名の文字を似せることで、正規のドメインを装ったィッシングメールを送信する手法があります。
ホモグラフ攻撃は、正規のサイトのURLに酷似した文字列を異なる文字を用いて偽装しているため、同形異字語攻撃とも呼ばれています。(以下の例では、 exampleドメインのlを1に変えている)
example.com
examp1e.com
また、国際化ドメイン名を悪用したIDNホモグラフ攻撃と呼ばれる手法もあります。キリル文字やギリシア文字の中には、アルファベットと同じように見える文字があります。見た目が同じに見える非ASCII文字を使って正規サイトを装うことが可能になため、利用者がURLを目視で区別しづらくなることを悪用します。
信頼度の高い短縮URLサービスを使用したフィッシング攻撃もいまだに悪用されています。
多層的なメールセキュリティ
メールセキュリティの多層防御について、送信側と受信側それぞれの視点から整理します。
メール送信側
SPF及びDKIMに関する送信ドメイン認証は、日本でも比較的導入が進んでいるものの、ヘッダーFromの詐称を見破ることができないという課題があります。
理由として、攻撃者が自前でSPFやDKIMに対応したドメイン名を用意したり侵害することで、認証を突破できるためです。そこで近年注目されているのがDMARCの技術です。
DMARCは、SPF及びDKIMの結果と、Fromヘッダのドメインを照合1して、認証が失敗したメールの振る舞いを定義するポリシーです。認証に失敗した場合は、メールを受信する側で隔離するなどの振る舞いを制御できるため、SPF及びDKIMの課題を解決します。
DMARCの運用では、メールを受信した側で処理したDMARCの結果をレポートとして受け取ることができます。従ってDMARCレポートを適切に運用することで、自社ドメインが第三者に悪用されていないことの可視化やSPFとDKIMの設定を効果的にチューニングすることに繋がります。
DMARCポリシーを導入しているものの、noneに留めることなく、rejectに移行するための計画をたてましょう。
プレゼントカレンダーのスポンサーとなっている株式会社ラクスライトクラウド社のblastengineは、日本国内において高いメール到達率を実現するために、SPF、DKIM、DMARCなどの送信ドメイン認証の対応はもちろんこと、常に高いIPレピュテーションを維持しながら、安全にメールを送ることができます。
BIMIは、DMARCが正しく設定したドメインに対して、メールクライアント上でブランドロゴを表示する仕組みです。
DMARCの認証が正しく行われると、送信元ドメインのDNSよりBIMIレコードを参照し、BIMIレコードが登録されている場合は、メールクライアント上にブランドロゴを表示します。
- Appleメールの例
BIMI自体がセキュリティを高めるわけではありませんが、メールの真正性を視覚的に示すため、エンゲージメントの向上やフィッシング及びなりすましなどのリスクを低減し、企業ブランドの信頼性向上に繋がります。
BIMIの設定は、digなどのコマンドラインを利用して確認することができます。以下はAppleのサブドメインであるemail.apple.comに設定されたBIMIを確認する例です。
まずは、メールのFromヘッダに使われているドメインのDMARCを確認します。
$ dig TXT default._bimi.email.apple.com
;; ANSWER SECTION:
_dmarc.email.apple.com. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com;"
上記結果を踏まえて、BIMI-Selectorを確認します。
$ dig txt _dmarc.email.apple.com
;; ANSWER SECTION:
default._bimi.email.apple.com. 43200 IN TXT "v=BIMI1;l=https://www.apple.com/bimi/v2/apple.svg;" "a=https://www.apple.com/bimi/v2/apple.pem;"
BIMIを利用するためには、ブランドの商標登録や認証マーク証明書が必要です。
Googleは、透明性レポートを公開していますが、レポートより多くのメール プロバイダは配信中のメールを暗号化していないことが分かります。
メールの方式は、大きく分けてメールクライアントを利用した方法と、Webメールの2種類があります。
メールクライアント利用した方法は、メールクライアントとメールサーバ間、メールサーバとメールサーバ間では暗号化されない可能性があります。Webメールについては、Webブラウザとメールサーバ間はHTTPSで暗号化されているものの、メールサーバ間の通信はメールクライアントの経路と同じく暗号化されない可能性が残ります。
メールの通信に関する暗号化は、TLSを用いたSTARTTLSと、SMTPSの2種類があり、その違いはTLSによる通信を開始するタイミングです。
STARTTLSは、TCPセッション確立後にSMTPの通信を開始し、STARTTLSコマンドを送信して確認を行い通信相手がTLSに対応している場合は、途中からSMTP通信をTLSで暗号化します。なお、TLSに対応していない場合は、暗号化せずにSMTPの通信を行うため、メールの到達性が優れているなどの利点があります。メール送信に使われるポートは、SMTPと同じ25番や587番が使用されます。
一方、SMTPSは、TCPセッション確立後にTLSのネゴシェショーンを開始することで、SMTPによる通信を開始する前からTLSで通信を暗号化しています。なお、TLSに対応していない場合は通信を終了するため、メールの到達性が下がります。メール送信に使われるポートは、一般的に465番が使用されます。
上記を踏まえて、STARTTLSはTLSに対応していないメールサーバに対してもメールを送信することができますが、通信経路が暗号化されていないことを意味します。
そこで、近年注目されているのがMTA-STSです。MTA-STSとは、SMTP通信のTLS暗号化を強制する仕様です。
攻撃者がSMTPダウングレード攻撃(STARTTLSストリッピング)を行うことを防止し、メールの配送経路における中間者攻撃を抑止することに期待できます。
MTA-STSは、送信者と受信者間のTLS設定が一致している場合のみ配送を許可するため、メール伝送路の完全性を担保できます。例えば、メールの受信側がTLSに対応していないメールサーバと通信を行いたいくない場合は「enforce」モードを設定することで、メール送信側に対してTLS通信を強制できます。
TLS暗号化のルールについては、MTA-STSポリシーファイルに記載します。Gmailを例にすると、mta-sts.gmail.comのmmta-sts.txtより確認できます。
MTA-STSと合わせて、DANEについても理解しておくと良いでしょう。
メール受信側
多くのメールシステムでは、ルールベースで検知を行う迷惑メールフィルタなどが機能しているものの、攻撃者は迷惑メールフィルタを欺くことで、フィッシングメールを受信してしまう可能性は避けられません。
組織でIT部門に所属し、情報システムやセキュリティ関係の仕事に従事している場合、ユーザーに対するセキュリティ教育は大切です。
フィッシングメールを受信しても「クリックしない」という習慣を身につけさせるためには、以下に示すような啓蒙が重要です。
- URLはクリックしない
- 添付ファイルは開かない
- Webサイトにアクセスする場合は、ブックマークからアクセスする
- フィッシングメールを報告するフローの整備
怪しいメールは表示名で判断せずに、ヘッダを確認することが望ましいですが、全てのユーザーが確認するのは難しいのが現状です。
システム的なセキュリティ対策については、自社の課題に適したセキュリティ製品の導入及び適切な運用が管理者に求められます。
例えば、MicrosoftのExchange Onlineを利用している場合、アドインを活用することでユーザーがOutlookからフィッシングと疑わしいメールを報告する運用ことができます。
大規模な組織では、標的型攻撃メール訓練を行うことでリスクを可視化し、社員の情報セキュリティ教育に活用できます。
メール通信の暗号化の観点では、メールの代わりにビジネスチャットを利用することで、通信経路をHTTPSを用いて確実に暗号化することができます。また、メールそのものを暗号化するS/MIMEの手段もあります。
その他セキュリティ対策
送信ドメイン認証やフィルタリングを強化しても、フィッシングメールの完全な排除は不可能と考えています。
従ってフィッシングメールがユーザーに届き、仮にクリックされたとしても被害を最小化できるように、メール以外のレイヤーで多層的に検知・防御する仕組みを構築することが重要です。
具体的には、エンドポイントやネットワークなどの各レイヤーで以下のような対策を組み合わせることで、危険なURLへのアクセスや不審な振る舞いを未然に防ぐことができます。
- Endpoint detection and response(EDR)
- 不審なプロセス生成、マクロ実行など端末上で発生した攻撃活動を検知・遮断
- Network Detection and Response(NDR)
- ネットワークのトラフィックを可視化し、怪しい振る舞いや攻撃を検知
- DNSフィルタリング
- 悪意のあるサイトや不正な通信をブロックし、Webアクセスに対するセキュリティを保護
- Webプロキシ、Secure Web Gateway (SWG)
- URLレピュテーションやコンテンツ解析によって、危険なサイトへのアクセスを防止
- サンドボックス分析
- メールに添付されたファイルやリンク先のコンテンツを仮想環境で解析し、攻撃活動を事前に検知
- Remote Browser Isolation(RBI)
- 不審なURLを隔離されたブラウザで実行することにより、マルウェア感染を防止
これらの技術を組み合わせることで、メールセキュリティが破られても被害を発生させないゼロトラストを実現できます。
また、近年では、EDRやNDRなどのセキュリティソリューションに関して、AIを活用した高度な検知機能が普及しつつあります。
おわりに
攻撃者は、今後も生成AIの悪用や自動化に積極的に取り込むことで、メールは依然として侵入経路になることが考えられます。
こうした攻撃の高度化により、従来のパターンベースのフィルタリングや送信ドメイン認証だけでは防ぐことが難しく、最終的にはセキュリティ組織の運用成熟度が対抗力を左右するのではないでしょうか。
そのため、メールセキュリティに関する監視体制やインシデント対応のプロセスを継続的に見直し、脅威の兆候を迅速に検知・判断できる体制を整えることが、これまで以上に重要となります。
参考
- データ侵害とは
- ビジネス メール詐欺 (BEC) とは?
- How Phishing-as-a-Service Fuels Cybercrime at Scale
- What is an attack vector?
- Identifying Adversary-in-the-Middle (AiTM) Phishing Attacks through 3rd-Party Network Detection
- What is domain spoofing? | Website and email spoofing
-
SPFまたはDKIMのいずれかがPASSかつアライメント一致していることを要求する(SPFアライメント:SPFがPASS及びReturn-Pathのドメイン(エンベロープFrom)とFromヘッダのドメインを照合、DKIM:DKIM署名がPASS及びDKIMのd=ドメインとFromヘッダのドメインを照合) ↩