政府サービス、偽ChatGPT、無料チケット……最新詐欺の侵入経路、カスペルスキーが報告:2025年のフィッシングおよびスパム動向
Kasperskyは2025年のフィッシングおよびスパム動向レポートを公開した。同社は5億5400万件以上のフィッシングリンクへのアクセスを阻止し、全世界のメールの約45%がスパムだったと報告している。
セキュリティベンダーKasperskyは2026年2月、2025年のフィッシングおよびスパムの動向をまとめた年次レポートを公開した。同社のアンチフィッシング技術は5億5400万件以上の悪意あるリンクへのアクセスを阻止し、メール用アンチマルウェアは約1億4500万件の悪意ある添付ファイルを検出したという。
政府サービス、偽ChatGPT、無料チケット、巧妙化するフィッシング手口
2025年は音楽・映画ファンを主要なターゲットとする詐欺が増加した。攻撃者は偽のアグリゲーションサイト(Web上の情報を特定のテーマで集約し、横断的に閲覧・検索できるサイト)や人気ストリーミングサービスのなりすましサイトを作成している。
偽アグリゲーションサイトでは「無料」のコンサートチケット提供で人を集め、少額の「手数料」や「配送料」を口実に、決済情報などを窃取。ストリーミングサービスを装った詐欺では、音楽配信サービス「Spotify」のプレイリストを「YouTube」に移行するためにSpotifyの認証情報を入力させたり、好きなアーティストへの投票と称して「Facebook」や「Instagram」、メールの認証情報を入力させたりする。
ブラジルでは、Spotifyパートナーサービスを装い、楽曲を聴いて評価するだけで報酬が得られるとうたう詐欺も発生した。登録時にブラジルの即時決済システム「Pix」のIDを提供させ、「本人確認」として19.9ブラジルレアル(約4ドル)の支払いを要求する。
また、出会い系アプリで知り合った相手が偽のチケット購入リンクを送り、支払い後に相手もサイトも消えるというチケット詐欺型ロマンス詐欺も確認された。
メッセージングアプリを悪用したフィッシング
メッセージングサービス「Telegram」や「WhatsApp」のアカウント窃取は、2025年の主要脅威の一つとなった。
Telegramでは「無料Premiumサブスクリプション」が主な餌として使われた。これらのフィッシングページは以前ロシア語と英語のみで確認されていたが、2025年には他言語にも大幅に拡大した。被害者は乗っ取られた友人のアカウントから「ギフト」を提供するメッセージを受け取り、アクティベートするために攻撃者のサイトでTelegramアカウントにログインするよう誘導される。
有名人のプレゼント企画を装った詐欺も発生した。「NFT」(Non-Fungible Token、非代替性トークン)プレゼントを装った攻撃は「Telegram Mini App」を通じて実行。悪意のあるMini Appはアプリ内で完結するため、外部URL型フィッシングより見分けるのが難しい。
中国ではWhatsAppのインタフェースを模倣したフィッシングページが発見され、「違法行為」を理由に「追加認証」が必要と偽り、電話番号と認証コードを窃取する。
政府サービスのなりすまし
政府ポータルや公的通知を模倣したフィッシングは従来存在するが、2025年には新たな手法が確認された。
ロシアでは政府サービスからの身に覚えのない不正ログインやローン承認をかたり、詳細な偽技術情報を記載したメールでユーザーの不安をあおるビッシング(音声を使ったフィッシング)攻撃が増加した。
ブラジルでは、偽の政府ポータルを作成して納税者番号(CPF番号)を収集する詐欺が発生した。CPFは国家サービス、国家データベース、個人文書へのアクセスに使われるため、窃取されると身元詐称につながる。
ノルウェーでは運転免許証の更新を装って個人情報や決済情報を収集する詐欺が、英国では車両税の未払いを偽装して現金窃取を狙うメールが確認された。
KYCチェックを悪用したフィッシング
2025年にはKYC(本人確認)チェックを悪用するフィッシング攻撃が急増した。攻撃者は実在サービスのKYCページを模倣し、標準的な個人情報に加えてID画像や顔写真など高価値の個人データを収集する。
収集された情報はダークWebで販売されるか、身元詐称に使用される可能性があるという。
AI関連の詐欺
AI(人工知能)サービス人気の高まりに伴い、「ChatGPT」関連詐欺が増加した。攻撃者は偽の「ChatGPT Plus」サブスクリプション決済ページを構築したり、SNS(ソーシャルネットワーキングサービス)でバズることを保証する「ユニークなプロンプト」販売などの手口を実行したりする。
ChatGPTが代わりにベッティングを行い、ユーザーは見ているだけで収入が得られるとうたう詐欺も確認された。このオファーは「ページを開いてから15分間のみ有効」とされ、被害者に考える時間を与えない。
攻撃者はAIを積極的に活用しており、ディープフェイク、高品質な偽Webサイトデザインの自動化、偽メール本文の生成などに利用して、信頼性を高めている。被害者とのライブ通話を詐欺工程に組み込んだ多段階攻撃も増加しているという。
求人を装った詐欺
高収入のリモート求人を装い、応募者の個人情報や「手数料」を詐取する手口も報告されている。
より巧妙な手口として、「人材紹介会社」を装ったフィッシングサイトが登録時にTelegramアカウントにひも付いた電話番号を要求するケースもあった。登録を完了するため「確認コード」の入力を求められたが、これは実際にはTelegramの認証コードだった。コード入力後もサイトはプロフィール詳細を求め続け、被害者が新しいログイン通知に気付かないよう注意をそらす。「確認のため24時間待つ」よう指示することで、攻撃者はTelegramアカウントを完全に乗っ取る時間を確保する。
時事ネタを悪用した詐欺
2025年も攻撃者がトレンドやニュースを悪用する手口は頻発した。インターネット上のジョークや画像(ミーム)をモチーフに作られた暗号資産(仮想通貨)の「ミームコイン」、スマートフォン新製品、著名人イベント、人気アーティストなどを題材にした詐欺メールや広告スパムが確認されている。
推奨対策
Kasperskyは以下の対策を推奨している。
- データ入力前にURLを確認する
- ページが本物に見えても、アドレスバーで詐欺を見破れる
- 不審なメッセージのリンクをクリックしない
- 知人からのメッセージでも、アカウントが乗っ取られている可能性がある
- 認証コードを共有しない
- 認証コードを知られるとオンライン上のあらゆる権利や情報にアクセスされてしまう
- 可能な限り二要素認証を有効にする
- 不正ログイン対策になる
- 「うま過ぎる話」を疑う
- 無料や高収益をうたう誘導は典型的な詐欺手口
- 全てのデバイスにセキュリティツールをインストールする
- マルウェアやフィッシング検知の補助となる
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「なぜ正規アカウントが奪われたのかまでは分からない」の原因 〜フィッシング? ClickFix?〜
2025年11月26日開催の「ITmedia Security Week 2025 秋」で、ポッドキャスト「セキュリティのアレ」を主宰するセキュリティリサーチャーの3人が「認証認可唯我独尊 第参章」と題して講演した。
Windows 11、今後はスマホ並みの「透明性と同意」をアプリに強制
Microsoftはセキュリティ強化の新たな取り組み、「Windows Baseline Security Mode」と「User Transparency and Consent」を発表した。アプリがユーザーの同意なしに設定を変更したり、追加ソフトウェアをインストールしたりする問題に対処する。
「AI駆動ランサムウェア」出現、高度な偽情報も急増――自社をどう守る? ESETが3つの提言
「ESET脅威レポート 2025年下半期版」によると、AI駆動型マルウェアの出現やNFC悪用の急増など、サイバーセキュリティにおける重要な転換点となる複数の事象が確認されたという。