Black Hat発表から学ぶ！フィッシング詐欺とアカウント復旧の新たな課題

はじめに

セキュリティーの世界最大級イベントBlack Hat USA 2025に参加してきました。そこでは、最新のセキュリティーの攻撃や防御に関する手法について議論されていました。Black Hatのブリーフィング（Briefings）と呼ばれる発表の中から、皆様の身近なセキュリティーの話題であるフィッシング詐欺メールとパスワード復旧に関する発表を、本コラムで紹介します。
セキュリティーに詳しくない方でもわかりやすい内容を心がけていますので、最後まで読んでいただけると幸いです。もちろん、セキュリティーに詳しい人でも得られることがある内容となっています。また、筆者が組み込み機器を扱う部署に所属ということもあり、組み込み機器やIoT機器関係の話も最後に書きたいと思います。

フィッシング詐欺のメール訓練、本当に効果あるの？

フィッシング詐欺とは

フィッシング詐欺とは、攻撃者が偽のメールや偽のウェブサイトを使って、ユーザーのパスワードや個人情報を取得する詐欺です。近年では証券会社を偽り証券口座が乗っ取られること（ATO : Account Take Over）によって、勝手に証券が売買されるという被害が話題になっていました。2025年4月だけで不正な売却金額・買い付け金額合わせて約2,900億円になりました。また、同じく2025年4月の世界のフィッシング詐欺メール全体の約6億通のうちの83.6%のメールが日本人向けであるというアメリカのProofpointの分析結果のNHKが報道していました。この章では、カルフォルニア大学サンディエゴ校准教授Christian Dameffとセキュリティー研究者 Ariana Mirianによる、フィッシング詐欺メール訓練に関するBlack Hatの発表を紹介します。

[Black Hatの発表] Pwning User Phishing Training Through Scientific Lure Crafting

約19,000人の病院の従業員や政府機関関係者を対象に、8ヶ月間にわたりフィッシング詐欺メール訓練を行いました。効果を検証し、結果を発表しました。
発表のポイントとしては、以下のようなものでした。

• 長い間訓練を続けると、ほとんどの人がフィッシングに引っ掛かる
  これは、フィッシングに引っ掛かった人を罰するようなことをやめる必要があることを示唆
• フィッシング詐欺メール（偽メール）の内容によって大きくクリック率が変わる
  一番クリックされた偽メールの内容は、「職務中の服装に関する内容」であった
• 同じ訓練を繰り返すとユーザーはすぐになれ、効果が薄れる
  説明を読むような静的な訓練では、多くのユーザーが費やす時間10秒未満
• インタラクティブなコンテンツや魅力的なコンテンツを組み合わせた訓練でも効果はわずか
  月1回のトレーニングプログラムを繰り返し実施した後でも1.7%しか改善効果がなかった

発表者は最後に「フィッシング詐欺メールの訓練で得られる効果が薄いならば、訓練に時間や費用、フラストレーションをかける価値はないのではないか？もっと効率的なところにコストをかけるようにアプローチを見直すべきではないか？」と問題提起していました。

フィッシング詐欺メールの対策として訓練だけでは限界があるのは、その通りだと感じました。
ではどうすればよいのでしょうか。私の考えを紹介します。（ここからは一旦、Black Hatの発表から離れます）
訓練の効果が薄いとはいえ、ユーザー側でできるフィッシング詐欺メールの対策を紹介したいと思います。

- 怪しいメールと正規のメールの区別はつかない
冒頭で紹介したように日本でフィッシング詐欺メールの被害が増えています。なぜ、日本でのフィッシングの詐欺が拡大したのか？その要因に生成系AIがあるとされています。いままでのフィッシング詐欺メールは機械翻訳を使われていたため不自然な日本語やフォントになっていました。そのため、多くの人が防ぐことができていました。しかし、生成系AIの普及によって自然な日本語のメールを作成可能になり、本物と偽物の区別がつかなくなりました。そのため、心当たりのないメールは無視するのも当然ですが、タイミングよく心当たりがあるメールを受信したときに、メール内のリンクをうっかり踏むことは十分にあり得ます。

- メール内のリンクからアクセスしない
不正なメールのリンクをアクセスした先が、本物とそっくりのサイトになって、その偽サイトでパスワードなどのログイン情報を打ち込んでしまい、攻撃者にアカウントが乗っ取られるというのは典型的なフィッシング詐欺メールの仕組みの1つです。対策としては、メールのリンクを踏むのではなく、ブラウザからサイトへアクセスすることを習慣化しましょう。そうすることで、フィッシング詐欺メール内の不正なリンクにアクセスするというリスクを減らすことができます（サイトをブックマークしておくと、なおよいです）。

- ログインは、多要素認証に変更を
サイト等へのログインは、パスワードと生体認証などを組み合わせた多要素認証（MFA: Multi-Factor Authentication）になっていれば、アカウントの乗っ取りのリスクが99.9%減少するというMicrosoftのレポート（Microsoft Digital Defense Report 2025）があります。この章の冒頭でも紹介した2025年4月の証券口座乗っ取りによる被害ですが、2025年6月には被害額が大幅に減りました。これは、証券会社ではユーザーのログインを多要素認証へ変更を必須化としたためとみられています。Googleなどのサイトでは、ログインする際、パスワードだけでなく生体認証などと組み合わせた多要素認証に変更できます。ぜひ、多要素認証を積極的に使っていきましょう。

アカウントの復旧に潜むリスク

多要素認証の有効性を前の章の最後で説明しましたが、それ以外のアカウントの乗っ取りのリスクはあるのでしょうか？パスワードを忘れることがあったとき、復旧することがあると思います。そこを攻撃者が狙うことも想定されます。この章では、アカウント復旧メカニズム（フォールバック）のセキュリティーの問題点の発表を紹介します。Security Engineer Dr. Sid RaoやGabriela Sonkeri、Amel Bourdoucen、Prof. Janne Lindqvistによる、パスワードレス時代のアカウント復旧に潜むリスクの発表を紹介します。

[Black Hatの発表] Lost & Found: The Hidden Risks of Account Recovery in a Passwordless Future

主要なウェブサービス22サイトを対象にアカウントの復旧メカニズムのセキュリティーを調査した結果の発表です。その結果、いずれのサイトにも1つは復旧のメカニズムにセキュリティー上の問題（security issue）があると報告しています。発表では、以下のような問題があると発表されていました。

• 復旧時にMFAが使われていないケースが多い
• 復旧後も並行してログインセッションが継続し、攻撃者がアクセスを維持できる
• 復旧トークンの有効期限が長すぎるため、復旧トークンの使い回しが可能な場合がある
• 復旧に関する通知がユーザーに届かず、不正アクセスに気づきにくい
• 復旧方法の検証が不十分で、誤ったメールアドレスや電話番号が登録されている場合もある

このBlack Hatの発表は2025年8月にあったのですが、ほぼ同時期にITセキュリティーの分野においてリファレンスとなるドキュメントを多く公開しているNISTと呼ばれるアメリカの団体からSP 800-63B-4というパスワードに関するガイドラインが公開されました。そのドキュメントでは「パスワードの有効期限」や、「大文字、小文字、数字、記号を必ず含める要件」をやめるよう書かれています。Black Hatで発表とSP 800-63B-4で紹介されている対策の一部を紹介します。

• 復旧時にも多要素認証を必須にする。
  復旧プロセスにも多要素認証を適用することにより、単一の認証要素の漏洩による不正アクセスを防止する
• 復旧後は必ず既存のログインセッションを終了する
  復旧後も並行してログインセッションが継続すると、攻撃者がアクセスを維持できるため
• 復旧に関する操作をユーザーに通知し、異常があればすぐに対応できるようにする
  復旧操作をユーザーに通知を送ることで、不正な復旧操作をユーザーが早期に検知することが可能
• 復旧方法は複数かつ検証済みのものを用意し、ユーザーに選択肢を与える
  1つの復旧方法が破られても他の方法で回復可能にし、ユーザーの利便性と安全性を両立するため
• 復旧トークンの有効期限は短く設定し、使い回しを防止する
  有効期限が長すぎると、トークンが長期間有効となり、漏洩時のリスクが高まる
  ただし、短すぎると利用者がトークンを使い切れず回復が困難になる可能性がある
  トークンの有効期限の具体的な長さについては、NIST SP 800-63B-4で言及されています
• 秘密の質問（KBA: Knowledge-Based Authentication）によるアカウント復旧をやめる
  例えば、あるユーザーのアカウント復旧のワードがペットの名前だった場合、ユーザーがSNSでそのペットの情報を公開していると、それらの情報を使って攻撃者がアカウント復旧を悪用可能となる

注意

Black Hat発表資料やNIST SP 800-63B-4等の内容の全てをここでは紹介していません。この記事を読んで、詳細が気になった方は、オリジナルの資料を参照してください。

Black Hat USA 2025に参加した感想

セキュリティーは一度対策を施せば終わりというわけではありません。攻撃手法や防御手法は日進月歩で進化しており、継続的な情報収集が必要です。システムを使う側であるユーザーのセキュリティー意識向上はもちろん必要ですが、それだけでは、限界があります。システム設計や運用面での包括的な対策を提供していくことが不可欠であると、Black Hatに行き感じられました。

まとめ

IoT/組み込み機器がネットワークと接続する機能を有するものが多くあります。そのような機器の中には、アカウントと連携する機器もあるでしょう。また、コラムの内容で触れている通り、これらの課題に立ち向かうためには、ユーザーの意識向上だけでなく、製品設計や運用の段階からの包括的なセキュリティー対策が不可欠です。そこで注目されるのが、日本の「JC-STAR（セキュリティー要件適合評価及びラベリング制度）」や、欧州のRED（Radio Equipment Directive）です。これは、組み込み機器やIoT製品のセキュリティー要件を明確化し、第三者評価を通じて安全性を保証する仕組みとなっています。オージス総研では、これらの認証支援や、組み込み機器、制御システム、IoTデバイスを対象としたセキュリティー診断やコンサルティングサービスを展開しています。
これらのセキュリティーに課題をお持ちの方は、ぜひ、お問い合わせください。

組み込み機器・制御システム・IoTデバイスの脅威への対抗策
「セキュリティソリューション」ご紹介

こんなお悩みありませんか？

・稼働中のシステムがサイバー攻撃を受けないかどうか不安
・業界別のセキュリティ規格や認定が必要
・セキュリティ対策ツール導入のリソースがない、予算がない

オージス総研の「セキュリティソリューション」で解決

「コンサルティング」「診断」「開発・導入」「研修トレーニング」まで多岐にわたるセキュリティソリューションをご提供

「セキュリティソリューション」サービス詳細はこちら

[Black Hat] Pwning User Phishing Training Through Scientific Lure Crafting
https://blackhat.com/us-25/briefings/schedule/index.html#pwning-user-phishing-training-through-scientific-lure-crafting-46793（外部サイト）

[Black Hat] Lost & Found: The Hidden Risks of Account Recovery in a Passwordless Future
https://blackhat.com/us-25/briefings/schedule/index.html#lost--found-the-hidden-risks-of-account-recovery-in-a-passwordless-future-46431（外部サイト）

[金融庁] インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています
https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html（外部サイト）

[フィッシング対策協議会]
https://www.antiphishing.jp/（外部サイト）

[NIST] NIST SP 800-63B-4
https://pages.nist.gov/800-63-4/sp800-63b.html（外部サイト）

[Microsoft] Microsoft Digital Defense Report 2025
https://www.microsoft.com/en-us/security/security-insider/threat-landscape/microsoft-digital-defense-report-2025（外部サイト）

[European Commission] Radio Equipment Directive (RED)
https://single-market-economy.ec.europa.eu/sectors/electrical-and-electronic-engineering-industries-eei/radio-equipment-directive-red_en（外部サイト）

[IPA] セキュリティー要件適合評価及びラベリング制度（JC-STAR）
https://www.ipa.go.jp/security/jc-star/index.html（外部サイト）

2025年12月22日公開
※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。