正規Webフォーム悪用のフィッシングが急増！手口と対策は？

リードアナリスト：Lucy Gee、James Dyer

サイバー犯罪者の狙いは金銭的な利益です。より多くの利益を得るために、攻撃者は手口を磨き続け、以前よりも見抜きにくい、より巧妙な攻撃を生み出しています。

なかでも「なりすまし」は、受信者が信頼する人やブランドの権威を借りて、疑いを起こさせない強力な方法です。

その代表例がBEC（ビジネスメール詐欺）です。正規のアカウントを侵害した攻撃者は、そのアドレスとの関係の有無を問わず、フィッシングを送ります。侵害済みアカウントから送ることで、次の三点で攻撃者が優位に立ちます。

• メール認証を通過（DMARCなど）：認証チェックは、標準のセキュリティやメールセキュリティゲートウェイ（SEG）が不審メールを見抜く際の中核となる仕組みです。正規ドメインから送られたフィッシングは、これらの仕組みに“安全”と誤判定させやすくなります
  
  
• フィッシングの手掛かりを消す：表示名とメールアドレスが一致するため、両者の不一致でフィッシングであることを見抜くことができません。さらに、正規のアドレスおよびドメインから届くため、怪しい点はかなり限られます
  
  
• ソーシャルエンジニアリングのハードルを下げる：初めての送信は「新しい業務連絡」と思わせ、既存の送信元には積み上がった信頼を根拠に警戒を下げさせることができます

このような理由でBECやなりすましはフィッシングの成功率を上げます。攻撃者もこれを理解しているため、このような手口は近年増加しています。KnowBe4 Defendが2025年に検知した攻撃のうち、59.1%が侵害済みのアカウントから送信されていました。これは2024年比で34.9%の増加です。

そして現在、攻撃はさらに進化しています。Threat Labでは、アカウント侵害でさえ不要な、新しく効率的な攻撃手法の増加を観測しています。

正規Webフォームを使った新たなフィッシング

2025年9月11日以降、Threat Labは、多くのサイトに備わっているお問い合わせや予約フォームを悪用して企業を狙う手口を確認しています。これらのフォームは、ユーザーがメールアドレスと自由記述のメッセージを入力すると、組織から自動返信メールが送られるのが一般的です。

攻撃者は次のようにして、この仕組みをフィッシングに転用します。

1. onmicrosoft のメールアカウントを作り、表示名に偽装したいブランド名を入れ、連絡先に折り返し先の電話番号を設定
   
   
2. そのアカウントの受信メールを配布リストに自動転送するルールを設定し、配布リストに標的のアドレスを大量登録
   
   
3. 企業サイトの正規フォームにそのメールアドレスと電話番号、プレテキストを含むメッセージを入力して送信

Threat Labの調査の結果、攻撃者は、法律事務所、銀行、病院、保険会社などのWebフォームを狙っていることがわかりました。

以下に、この攻撃がどのように展開されるかを例とともに解説します。

フィッシング攻撃概要

攻撃ベクトルと手法：メール型フィッシング
主な手口：なりすまし、モバイル重視
対象：Microsoft 365のユーザー

「お問い合わせ」フォームを使って組織をだます手順

攻撃メールを送る前に、攻撃者は無償の「onmicrosoft」アカウントを作成します。セキュリティ上の理由から例示画像の一部はぼかしていますが、ドメインは確認できるようにしています。

アカウント作成時に、なりすましの表示名も設定します。今回の例では、攻撃者はPayPalを装って不正利用を謳ったプレテキストを作り、電話番号を追加しています。この電話番号が今回のペイロードです。

この作業が終わると、当該アカウントで受信したメールを配布リストへ自動転送するメールフロールールを作成します。この配布リストには数千件のアドレスが入っていることもあります。

次に、攻撃者は実在企業のWebサイト上にある正規のオンラインフォームを探します。今回の例では、National Bank of Canadaの予約フォームが選ばれています。

攻撃者がフォームを送信すると、組織の自動送信システムが返信メールを生成し、それが先ほどの「onmicrosoft」アカウントの配布リストに自動転送されます。

このメールはNational Bank of Canadaが実際に使用している自動送信システムから送られるため、送信元（From）は正規のアドレスで、ハイパーリンクもすべて同銀行のものです。その結果、DMARCなどの認証チェックを通過しやすくなります。さらに、正規のHTMLリンクが、受信者に「正当で安全」と思い込ませる要因になります。

このフォームでは銀行担当者との面談予約ができ、返信メールにはカレンダー予定が差し込まれ、面談の日時や担当者情報など、典型的な予約確認の文面が並びます。

攻撃者はフォームの入力欄を使って、プレテキストとペイロードを埋め込みます。今回のペイロードは電話番号でした。

プレテキスト：受信者のアカウントで「異常なアクティビティ」があったとして、PayPal経由の$724.46の取引を通知しています。金額を意図的に二度繰り返して注意を引き「資金を失ったかも」という不安と焦りを誘う狙いがあります。

攻撃者は氏名欄にも以下のなりすまし情報を入れ、信ぴょう性を高めます。

さらに、Message欄の内容は自動返信の本文にそのまま出るため、攻撃者はプレテキストの説得力をここでさらに高めています。

ペイロード：オンラインフォームの「Name」「Phone Number」「Message」欄に、銀行窓口を名乗る電話番号を繰り返し差し込みます。自動返信のテンプレートがこれらの情報を本文の各所に展開するため、受信者の目に自然に入ります。

この番号に電話させることで、攻撃者は通話中の高ぶった感情につけ込み、個人情報や金融情報などの追加情報を引き出し、実害のある不正につなげます。

なりすましを見抜くためには

Webフォームを持つ組織は、この例のように悪用されるリスクにさらされています。Threat Labの観測では、直近はこの手口は増加傾向にあります。狙いは、ゲートウェイテクノロジーの回避とソーシャルエンジニアリングによる誘導です。

この手口は、正規プラットフォームのレピュテーションやドメインの信頼を使った攻撃に転用するトレンドの一部です。見慣れた自動返信や典型的な通知であっても、本当にその組織が送ったのかを安易に信じることは危険です。

そのため、KnowBe4 Defendのようなゼロトラスト型のメール検知を重ねることが重要です。ドメインやブランドの知名度に依存せず、受信メールの全要素を総合的に評価します。さらに、リアルタイムの脅威インテリジェンスで従業員一人ひとりにコーチングを行い、「見慣れたブランドは安全」という認知バイアスに対抗します。