ESETは2026年6月29日、公式ブログでメールがサイバー攻撃の標的になり続ける理由を解説した。悪意あるメールの検出数は2025年後半に36%増加したという。
メールは単なる連絡ツール、あるいは数あるオンラインアカウントの1つにすぎないと考えられがちだ。しかし、サイバー犯罪者はユーザーの受信箱を手に入れようと躍起になっている。なぜメールは執拗(しつよう)に狙われ続けるのか。セキュリティベンダーのESETは2026年6月29日(米国時間)、「メールが狙われ続ける背景」を公式ブログ「WeLiveSecurity」で公開した。「防御の基本」もおさらいする。
ESETのデータによると、2025年後半の悪意あるメールの検出数は、同年前半と比較して36%増加した。フィッシングやアカウント侵害の脅威は衰えるどころか、かつてない勢いで拡大している。背景にあるのは、メールアドレスが単なる通信手段を超えて「実質的なアイデンティティー(本人確認)システム」として機能しているという現実だ。
メールの受信箱には、過去数年間にわたる個人の記録が蓄積されている。所有している資産、利用しているサービス、行動範囲、信頼している人物、そして他アカウントへのアクセス経路。これらが一元管理されている場所だからこそ、サイバー犯罪者にとって価値の高い標的となっている。
攻撃者が受信箱へのアクセス権を執拗に狙うのには、3つの理由がある。メールを乗っ取ることで、標的とするユーザーのオンラインでの活動を支配できるからだ。
メールアカウントを押さえれば、銀行、SNS、クラウドストレージなど、あらゆる外部サービスのパスワードをリセットできる。ユーザーが利用するサービスから送られてくるワンタイムパスワードやリセットリンクを、攻撃者が受信箱内で横取りできる。
攻撃者は、侵入後にメールの自動転送ルールを希望する条件に設定し直すことが多い。これにより、被害者がパスワードを変更して安心した後も、重要なメールが攻撃者へ転送され続ける。他にも、アクセス履歴やメールソフトに連携しているアプリケーションを悪用して、長期にわたり受信箱に潜伏する手口が横行している。
受信箱の過去のやりとりやプライベートな写真をのぞき見ることができれば、恐喝の材料にされるだけでなく、実在する組織や知人を装った「極めて巧妙なフィッシングメール」を作成するための情報源にされてしまう。
BEC(ビジネスメール詐欺)を通じて企業アカウントが侵害された場合、その被害は壊滅的だ。攻撃者は社内のクラウドサービス、共有ドライブ、CRM、財務、人事システムへ一気にアクセス可能となる。このアクセスは、さらに大規模なデータ漏えいやランサムウェア攻撃、あるいはスパイ行為の第一段階となる。
2026年4月30日に英国政府が公開した統計によると、2024〜2025年の1年間に発生したサイバー攻撃は「フィッシング攻撃」が38%、「メールによる組織へのなりすまし」は12%だった。
メールが狙われ続けるもう1つの理由は、それが「技術」「アイデンティティー」「人間の信頼」が交わる中心にあり、最も脆弱な「人間」を標的にしているからだ。
私たちは毎日、業務や時間に追われながら、大量のメールを処理している。こうしたメールの多くは「クリック」「ダウンロード」「返信」「支払い」といったアクションを伴う。攻撃者はこの日常の隙を突き、巧妙な心理誘導(ソーシャルエンジニアリング)を仕掛けてくる。急いでいるときや、見慣れた送信者名が表示されているとき、どれほど注意深いユーザーであってもだまされる可能性は排除できない。
さらに、脅威の巧妙化に拍車を掛けているのが生成AIの台頭だ。これにより、犯罪者は文法やスペルのミスが一切ない、極めて自然で説得力のあるフィッシングメールを大量に、かつ高速に作成できるようになった。通信会社Verizon Communicationsの法人事業部Verizon Businessが2026年5月に発表した2026年版の「Data Breach Investigations Report」によれば、モバイル環境におけるフィッシングのリンククリック率は、PC環境よりも40%高くなっている。画面が小さく、送信元情報の確認が不十分になりがちなスマートフォンの普及も、防御を難しくしている要因だ。
誰もが日常的に使うメールは、攻撃者にとって「永久に稼げる標的」であり続ける。被害を防ぐためには、以下の対策を徹底することが不可欠だ。
パスワードが破られても、第2の認証でブロックできる。
パスワードの使い回しを完全に排除し、推測不可能な文字列を使用する。
見覚えのない「転送ルール」や不審な「連携アプリ」が設定されていないか確認する。
CEOや情報システム部門からの指示であっても、特にお金が絡む急な要求に対しては、別の連絡手段(電話や直接の確認)で事実確認を実施する。
信頼できるベンダーの総合セキュリティソリューションを導入し、悪意あるメッセージやマルウェアを検知する環境を整える。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...