Web Browser フィッシング調査:2023-2024 比較で 140% 増の 752,000 件

752,000 Browser Phishing Attacks Mark 140% Increase YoY

2025/03/19 InfoSecurity — Web ブラウザ・ベースのフィッシング攻撃が急増し、この1年間で 752,000 件のインシデントが確認されている。この件数が示すのは、2023年と 2024年の比較における 140% の増加率である。人工知能 (AI) 主導のフィッシング手法の台頭と、エンタープライズでの Web ブラウザへの攻撃が、この傾向の要因となっている。

Menlo Security の最新レポートによると、サイバー犯罪者たちは、洗練された回避手法/ソーシャル・エンジニアリング/ゼロデイ脆弱性の悪用などにより、従来からのセキュリティ対策を回避し、主要な攻撃ベクターとしての Web ブラウザを重視している。

このレポートが示すのは、この1年間で特定されたに 170,000件を超えるゼロアワー・フィッシング攻撃であり、2023年との比較で 130% 増となっている。さらに、5件の攻撃のうち1件は、セキュリティ制御を回避するために、なんらかの手法を利用している。

Black Duck の principal consultant である Thomas Richards は、「攻撃者たちは、検出を逃れるための新たな手法を迅速に開発し、ブラウザ・ベースのフィッシング攻撃の数を増やしている」と述べている。

このレポートでは、認証情報フィッシング・キャンペーンの急増も強調されている。これらのキャンペーンは、信頼できるエンタープライズ・アプリケーションの偽装や、偽のブランドによる誘惑により、ターゲットを騙して機密情報を提供させようとする。

Sectigo の Senior Fellow である Jason Soroko は、「フィッシング攻撃者たちは、人気の AI プラットフォームを模倣している。ユーザーの好奇心と最先端技術への信頼を逆手に取るために、GenAI に対する関心の高さを悪用している」と述べている。

このレポートでは、これらの攻撃に関連する、いくつかの注目すべき傾向を概説している:

  • ブラウザ・フィッシングの 51% で成りすましブランドが悪用。
  • 約 600 件のフィッシングで GenAI の名称が悪用。
  • Chrome/Edge などの脆弱性を狙ったゼロデイ攻撃の多発。
  • 2024年には Cloudflare サービスの悪用が 104% 増加。
  • PhaaS (phishing-as-a-service) の採用による大規模攻撃。
ブラウザ・ベースの攻撃に対する保護

SlashNext のField CTO である Stephen Kowski は、「新たな手法の開発と、従来からの手法の改良により、脅威の状況は大きく変化し続け、高速で洗練された攻撃が増加するだろう。攻撃者は、信頼できるプラットフォームと GenAI を悪用し続けて、より説得力のあるフィッシング・キャンペーンを、前例のない規模で展開していく」と述べている。

サイバー・セキュリティへの投資が増加する一方で、ファイアウォールなどの従来の防御策では、これらの進化する脅威に対して、不十分であることが証明されている。攻撃者は手法を改良し、ファイルレス・マルウェアやオンメモリ・ペイロードなどの、検出を回避する手法を展開している。

Stephen Kowski は、「多くのユーザー組織において、包括的なセキュリティ・ソリューションへの投資が停滞している。これまでと同様に、基本的なセキュリティ・ツールとメールの保護がデフォルトになっている。つまり、リスクの高いトレードオフが行われている」と付け加えている。

これらの脅威に対抗するためには、プロアクティブなセキュリティ対策の採用が必要となる。

安全なクラウド・ブラウジング・ソリューションであれば、ユーザー・アクティビティをエンタープライズ・ネットワークから分離し、悪意のコンテンツによるシステム侵害を防げる。その一方で、AI で強化される脅威検出ツールであれば、被害が生じる前に、巧妙なフィッシング・キャンペーンを特定して無効化できるだろう。

Zimperium の VP of Product Strategy である Krishna Vishnubhotla は、「ユーザー組織は、侵害される前にフィッシングを検出/阻止するための、リアルタイムの AI 駆動型モバイル・セキュリティを採用する必要がある。時代遅れの防御に頼るだけでは、もはや不十分である。迫りくる脅威と同じ速さで、セキュリティを進化させる必要がある」と述べている。

2025年に入ってから、AI を活用した脅威の増加に関するレポートをいくつも目にしていることもあり、今回の調査結果も、あまり驚きはないというのが正直なところです。記事中でも触れられていたように、ユーザー側も AI を活用したセキュリティ・ツールを導入しなければ、今後は対処が難しくなっていくのかもしれません。よろしければ、以下の関連記事も、Research + Phishing で検索と併せてご参照下さい。

2025/03/04:AI 駆動型の SOC:Hunters が提供する Pathfinder AI
2025/03/03:Crime-as-a-Service の急速な成長
2025/02/27:CrowdStrike の 2025 Global Threat Report
2025/02/27:Phishing トレンド 2024:2025年の攻撃に備える