PhaaSとは「Phishing as a Service」の略で、フィッシング詐欺を仕掛けるために用いるツール一式をインターネット経由で提供するサービスである。PhaaSは、フィッシングメールの送信からフィッシングサイト（偽サイト）の設置、URL作成、マルウェアの提供と運用まで、フィッシング詐欺に必要なサイトやツールなどを一括して、サブスクリプション形式で攻撃者に提供する。そのため、専門的な知識を有していない犯罪者であってもフィッシング詐欺を仕掛けることが可能となる。

従来、サイバー攻撃はハッカーやクラッカーと呼ばれる、ITの専門性を有している人材の関与が必須とされた。しかし近年では、代表格として知られるRaaSをはじめ、サイバー攻撃を実行するためのソフトウェアパッケージやサービスがダークウェブなどで数多く出回っている。

PhaaSを利用したフィッシング攻撃は、2021年あたりから顕著となっている。このPhaaSは、フィッシング詐欺のエコシステムを拡大する存在として、セキュリティ専門企業などから警告を発せられている。

企業をターゲットとするPhaaSが増加

代表的なPhaaSとしては、BulletProofLink、Robin Bank、Evil Proxy、Caffeineなどがあり、主にダークウェブを利用してサブスクリプション契約を結ぶことで、攻撃者はフィッシングを仕掛けられるようになる。フィッシング詐欺は従来、個人をターゲットにして、クレジットカード情報などの詐取を狙うものが多かったが、最近では企業をターゲットにしたスピアフィッシング攻撃が増加傾向にある。

PhaaSもこうした時代の潮流に沿うように、法人を狙って業務用システムへ侵入するためのIDとパスワードを詐取するタイプが増えてきている。PhaaSの提供者の中には、攻撃者のニーズに合わせ、OutlookやOneDriveなど企業がよく使うクラウドサービスに酷似したテンプレートを別途販売しているところもあり、その購入自体も一般的なECサイトのような感覚で行えるケースが増えている。

企業をターゲットにするフィッシング詐欺が増えた背景の1つには、コロナ禍におけるリモートワークの急増がある。自宅からリモートワークを行う際は、VPN経由で社内システムにログイン、あるいはクラウドサービスを利用することが一般的だ。企業向けフィッシング詐欺で狙われるのは、こうしたVPNやクラウドサービスの認証に使われるIDとパスワードである。仮にIDとパスワードが詐取されると、なりすましての不正ログインが行われ、情報漏えいやランサムウェア攻撃など、さらなる被害につながりかねないため、企業にとって大きな脅威となっている。