2023 年 12 月 19 日 Carlos Arnal 著

QR コードを使用したフィッシング攻撃でユーザを騙し、メールアカウント情報や認証情報、機密データを入手する手口が増加しています。「クイッシング（QR コードフィッシング）」として知られるこの手口が初めて大規模に確認されたのは、2023 年 5 月、サイバー犯罪者グループが Microsoft のセキュリティ警告を装い、企業の従業員に対してアカウントのセキュリティ設定を更新するために QR コードをスキャンするように仕向けた事例です。QR コードをスキャンすると、リダイレクトリンクによって偽の Web ページが表示され、Microsoft アカウントにサインインするための認証情報が要求される仕組みになっていました。

その攻撃以来、サイバー犯罪者はこの手法を悪用し続けています。実際、最近のレポートによると、10 月最初の週に検出されたフィッシングの 22％ がこの戦略を採用していました。

クイッシングの仕組み

クイッシング攻撃を行う場合、サイバー犯罪者はまず偽の QR コードを作成し、企業アカウントのログインページを装った詐欺 Web サイトに誘導します。その後この Web サイトを利用して、被害者のデバイスにマルウェアをダウンロードさせたり、クレジットカード番号や銀行口座情報などの機密データを要求したりします。クイッシング攻撃では、悪意のあるコードを以下のようにさまざまな情報を装って配布可能です。

• メールアドレス
• 情報告知
• 飲食店のメニュー
• パーソナルモビリティサービス

会社の電子メールを介したクイッシング攻撃の被害に遭うケースも増加しています。QR コードに脅威を隠すだけでなく、難読化を施したり、PNG や PDF の添付ファイルに埋め込まれた QR コード内に URL を隠したりすることで、信頼されたドメインを悪用可能なためです。このような手口により、セキュリティフィルタに検知されずにメールが受信トレイに届きます。

クイッシングの被害に遭わないために

あらゆるフィッシングと同様に、クイッシング攻撃からビジネスを守ることは非常に重要で、従業員は攻撃を特定し回避する方法を知る必要があります。そのためにも、以下のようなプラクティスを確立するべきです。

• 送信者の正当性を確認する：
  一見信頼できそうな送信元からメールで QR コードを受け取った場合も、テキストメッセージや電話など別の手段を用いて、信頼できるかどうかを確認してください。
• フィッシング攻撃の兆候に注意する：
  フィッシング攻撃 では、ソーシャルエンジニアリングを利用してユーザを騙すケースが多数発生しています。緊急性をアピールしたり、感情に訴えかけたりするようなメッセージには十分注意してください。
  QR コードを開く前に URL を確認する： コード内の URL プレビューを確認することで、正当性を判断できる場合があります。いずれにしても、個人情報、ログイン情報、支払いを求めるサイトにつながる URL には十分注意を払ってください。
• パスワードの衛生管理を徹底する：
  電子メールのパスワードは頻繁に変更し、複数のアカウントで同じパスワードを再利用しないようにしてください。

従業員のトレーニングに加えて、クイッシング攻撃に限らないさまざまなタイプのフィッシング攻撃を検知し、ブロックするための多層的なセキュリティコントロールを導入する必要があります。それは以下のようなものです。

• 電子メール保護：
  不審な電子メールを検出して削除することにより、フィッシング攻撃に対する防御の第一線として機能します。
• エンドポイントセキュリティ：
  従業員が悪意のあるコードをスキャンした場合、エンドポイントプロテクションソリューションは、偽の Web サイトや悪意のある URL だけでなく、不審なプロセスや異常な動作を検出し、攻撃の進行を防ぐことができます。

クイッシングのような新たな攻撃手法は、あらゆるレベルにおいて高度な脅威を検知し、阻止可能な多層防御システムを持つことが重要であることを示唆しています。

多層的なセキュリティアプローチを用いた保護についてさらに詳しく知りたい方は、以下の記事をご覧ください。

• 高度な脅威には多層防御で対応
• 中小企業に包括的な多層防御が必要である 3 つの理由
• eBook – Choosing a Better Together Security Approach（英語）