1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. プルーフポイントが警鐘を鳴らすソーシャルエンジニアリングの進化と実態

プルーフポイントが警鐘を鳴らすソーシャルエンジニアリングの進化と実態

セキュリティニュース

投稿日時: 更新日時:

プルーフポイントが警鐘を鳴らすソーシャルエンジニアリングの進化と実態

2025年現在、企業を狙うサイバー攻撃の手法は年々巧妙化しています。その中でも近年、特に警戒すべきなのが「ソーシャルエンジニアリング」と呼ばれる、人間の心理や行動の隙を突く攻撃です。

セキュリティ企業Proofpointが発表した最新レポート『The Human Factor 2025 Vol.1』では、1年間にわたって分析された21兆件ものURLと3.4兆件のメールデータをもとに、最新の攻撃傾向と具体的な手口が詳細に報告されています。情報システム部門の担当者としても、今や「人」が最大のセキュリティリスクになっている現実から目をそらすわけにはいきません。

ソーシャルエンジニアリングとは何か

ソーシャルエンジニアリングは、テクニカルな脆弱性を突くのではなく、人間の心理的な盲点を狙ったサイバー攻撃の手口です。

例えば、企業の経理担当と欺き指定口座へ入金させたり、カフェで離籍している会社員のPCからID パスワードを盗み取るなど、多くは人間の心理的な隙や、行動のミスを利用します。

また、「あなただけが当選しました」「パスワードが期限切れです」などといった文言で、相手を信じ込ませたり焦らせたりする手口も頻繁に利用されています。こうしたメールやメッセージには、悪意あるリンクや添付ファイルが仕込まれており、クリックした時点で被害が始まります。

レポートによれば、特に昨今では生成AIの進化により、ネイティブな言語表現が容易になり、非英語圏であっても自然な文章で攻撃が届くようになってきました。日本語のなりすましメールもより洗練され、ひと目で偽物と見抜くのが難しいケースが増えています。

増加する「信頼ベース」の詐欺メール

Proofpointの調査では、詐欺メールの大半が「信頼関係の構築」を装っていることが分かりました。
具体的には、以下の5つのテーマが主に使われています

  1. 前金詐欺(Advance Fee Fraud) 少額の支払いで高額な見返りを得られるという“うまい話”を持ちかけ、金銭や情報をだまし取る。
  2. 見積もり依頼を装った詐欺 ビジネスメールを装い、取引のように見せかけて不正なファイルやURLを送りつける。
  3. 脅迫型詐欺(Extortion) 「不正アクセスを把握している」などと脅し、支払いを要求する(最近は減少傾向)。
  4. サポート詐欺(TOAD:Telephone-Oriented Attack Delivery) システム管理者やサポートセンターを装って電話を促し、遠隔操作を仕掛ける。
  5. クイックタスク詐欺(Quick Task Scam) 「ちょっとしたお願いがある」と軽く接触し、返信させたのち情報や金銭を要求する。

こうした手口の共通点は、「攻撃者がいきなり攻撃してくるのではなく、徐々に信頼関係を築く」という点にあります。いわば“サイバー版の詐欺師”です。

脅迫型から「親しみ」へ-変化する攻撃スタイル

興味深いのは、以前に比べて脅迫型詐欺が減少している一方で、前金詐欺やクイックタスク詐欺のような“フレンドリーなアプローチ”が増加している点です。

レポートによれば、前金詐欺の件数は前年比で47%も増加。脅しや恐怖ではなく、「チャンス」や「共感」を軸にした誘導型の手口が台頭しているのです。

たとえば、架空のNPO団体を装って「緊急支援のために少額の協力をお願いします」というメールを送り、信じた相手がリンクをクリックした瞬間にマルウェアが実行される──といったケースも報告されています。

国家支援型のスパイ活動もソーシャルエンジニアリングを活用

さらに深刻なのは、国家によるサイバースパイ活動にソーシャルエンジニアリングが使われている点です。

レポートでは、北朝鮮の「TA427」グループが、学術関係者や外交官をターゲットに、数週間にわたりメールで“無害な会話”を繰り返し、信頼を得た上でマルウェアを仕込むという手口をとっていたといいます。

実際に、国家支援の脅威アクターがソーシャルエンジニアリング手法を取り入れ、対象へPowerShellを実行させるサイバー攻撃の新手法「ClickFix」も確認されています。

もはや、サイバー攻撃は企業のセキュリティ担当者だけで防げるレベルではなく、組織全体、場合によっては国レベルでの対応が必要なフェーズに入っていることを示唆しています。

企業が取り組むべき4つの対策

このような状況において、企業が取るべき対策は明確です。Proofpointでは以下の4つを推奨しています:

  1. 可視化:誰が狙われているかを把握する 組織内の「高リスク人物」(経理担当、役員、IT管理者など)を特定し、攻撃の兆候を検知する体制を整えます。
  2. AIによる異常検知の強化 メールの文体や行動パターンの違和感をAIで検知し、BEC(ビジネスメール詐欺)やTOADなどをリアルタイムで遮断します。
  3. なりすまし対策の実施 DMARCなどの送信ドメイン認証技術を導入し、外部からのなりすましを防止します。
  4. セキュリティ教育のアップデート 「標的型訓練メール」だけでなく、職種別のリスクに合わせた教育を行い、受信者が“引っかかりそうな自分”に気づくことが大切です。

まとめ:技術対策だけでは防げない、だからこそ「人」に目を向ける

『The Human Factor 2025』が伝えているのは明確です。いくらメールフィルターを強化しても、どれだけEDRを導入しても、「人が信じて行動してしまえば終わり」という現実です。

また、攻撃者は、クリックさせるためなら何にでもなりすします。

だからこそ、情報システム部門やCSIRTは、システムの強化と同時に、「人に何ができるか」「人がどこでつまずくか」という視点を持つことが求められます。

 

関連記事

グーグルがChromeのバグバウンティの報奨金を最大25万ドルに増額グーグルがChromeのバグバウンティの報奨金を最大25万ドルに増額 サイバー攻撃の新手法:中国と北朝鮮APTグループの不正アクセス戦術サイバー攻撃の新手法:中国と北朝鮮APTグループの不正アクセス戦術 Twitter(X)のユーザー 28億件分の情報漏洩の可能性-元従業員による内部犯行かTwitter(X)のユーザー 28億件分の情報漏洩の可能性-元従業員による内部犯行か 偽の北朝鮮 IT労働者が企業に侵入し身代金を要求北朝鮮のIT労働者が企業に侵入し身代金を要求 ドイツ、約3万台のAndroid IoTデバイスにプリインストールされていたマルウェア「BadBox」の通信を遮断ドイツ、約3万台のAndroid IoTデバイスにプリインストールされていたマルウェア「BadBox」の通信を遮断 BadSuccessor:Windows Server 2025の新機能dMSAを悪用したActive Directory支配の脅威BadSuccessor:Windows Server 2025の新機能dMSAを悪用したActive Directory支配の脅威 AIが作成したフィッシングメールのクリック率が50%を超えるAIが作成したフィッシングメールのクリック率が50%を超える 北朝鮮の関与を指摘されたアニメ「導具師ダリヤはうつむかない」などの制作会社が声明を発表北朝鮮の関与を指摘されたアニメ「導具師ダリヤはうつむかない」などの制作会社が声明を発表 ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成