QRコードを利用したフィッシング詐欺の脅威の高まり
QRコードが情報共有の迅速で手軽な手段として普及したことで、近年、新たな種類のサイバー攻撃が出現しています。企業は、QRコードフィッシングとも呼ばれるクイッシングの被害に遭うリスクが高まっています。フィッシングメールにはQRコードが含まれており、ハッカーはこれを使って個人情報を入手します。
QRコード(Quick Responseコード)と呼ばれる2次元バーコードは、URL、連絡先情報、その他のデータを保持することができます。通常、スマートフォンでQRコードをスキャンすると、ウェブサイトが開いたり、連絡先の追加や電話番号への発信といった操作が実行されます。QRコードはデジタルコンテンツを迅速に提供できるため、マーケティング、銀行、小売、さらには行政サービスなど、さまざまな業界で広く普及しています。
しかし、QRコードの使いやすさは、この技術を悪用してフィッシング攻撃を行うサイバー犯罪者の注目を集めています。これらの攻撃では、QRコードを利用してユーザーを詐欺ウェブサイトに誘導したり、機密情報を盗んだり、デバイスに悪意のあるソフトウェアをインストールしたりします。
QRコードフィッシング攻撃の仕組み
QR コード フィッシング攻撃は、一般的に、QR コードに対するユーザーの信頼と改ざんの容易さを利用した、単純だが効果的な手法に従います。
悪意のあるQRコードの作成と配布
QRコードフィッシング攻撃の最初のステップは、有害なQRコードを作成することです。サイバー犯罪者は、QRコードジェネレーターを用いて、ユーザーを任意のウェブサイトに誘導するパーソナライズされたコードを作成することがよくあります。これらのウェブサイトは、オンラインバンキングのポータル、ソーシャルメディアのログインページ、eコマースウェブサイトなど、本物のプラットフォームに似せている場合があります。さらにユーザーを欺くために、攻撃者はURL短縮サービスを利用して真のリンク先を隠蔽し、ユーザーが悪意のあるURLをすぐに見分けにくくすることもあります。
次の段階は、悪意のあるQRコードの拡散です。攻撃者は、フィッシングメール、テキストメッセージ、ソーシャルメディアプラットフォーム、物理的な場所(ポスター、チラシ、広告など)、さらには偽のウェブサイトなど、さまざまなチャネルを通じてコードを拡散します。
悪意のあるウェブサイトまたは行為
ユーザーがQRコードをスキャンすると、正規のプラットフォームを装った不正ウェブサイトに誘導されます。例えば、QRコードフィッシング攻撃では、偽の銀行ログインページに誘導され、ユーザー名、パスワード、その他の個人情報の入力を求められます。また、銀行やメールプロバイダーからの偽のセキュリティ警告など、恐怖感や緊急性を喚起するサイトを作成する場合もあります。
機密情報の悪用
フィッシングページに被害者が情報を入力した後、攻撃者はその情報を様々な悪意ある目的に悪用する可能性があります。具体的には、金融詐欺、個人情報の盗難、アカウントへの不正アクセス、あるいは被害者の個人情報のダークウェブでの販売などが挙げられます。アカウントにアクセスされたり、個人情報が盗まれたりするまで、被害者は自分がフィッシング攻撃の標的になっていることにすら気づかないかもしれません。
盗まれた情報は、被害者のネットワークの他のメンバーを標的にしたり、攻撃を広めるために被害者の連絡先にフィッシングメッセージを送信したりするために使用される可能性があります。
主な発見
- PDF および XLSX ファイルに埋め込まれた QR コードを含むフィッシング メールの新たな傾向が検出されました。
- フィッシング Web サイトにつながる QR コードは、電子メール本文に直接含められるのではなく、PDF および XLSX 添付ファイルとして配置されるようになりました。
- これらの攻撃は、悪意のある目的でログイン資格情報を盗むことを目的としています。
最もなりすましの多い上位2つのエンティティ
- マイクロソフト: Microsoftのなりすましで最もよくある手口は、標的の多要素認証またはアカウントの有効期限が近づいていることを通知することです。受信者は、攻撃者の指示に従ってリンクをクリックしたりファイルをダウンロードしたりしなければ、アカウントにアクセスできなくなると通知されます。
- DocusignDocusignのなりすましでは、受信者は文書の確認と署名を求められることがよくあります。サイバー犯罪者は、「文書」が企業の管理者からのものであると偽ったり、全く情報を提供しなかったりすることがあります。
PDFファイルを使用して検出されたQuishingのグラフ
過去 25 か月間で、フィッシング攻撃の約 XNUMX% に QR コードと PDF ファイルが含まれていることがわかりました。
キャンペーンターゲット
この攻撃は主に企業を標的としていますが、時には個人も標的となることがあります。2024年後半、フィッシング攻撃の標的の割合は、個人資産と組織資産の間で変動しました。
- 組織の資産は攻撃の 3 分の 2 の標的となっています。
- 1/XNUMX は財務データおよびその他の個人資産をターゲットにします。
調査したサンプルの大部分において、詐欺師は有名企業を装っています。攻撃の半数以上は、SharePointやOneDriveを含むMicrosoftがなりすましで、次いでDocuSignなどが続いています。
Coper Trojan、CherryLoader、Star Blizzard などのキャンペーンでは、偽造文書に埋め込まれた QR コードを使用して、個人情報や金融情報を盗み、マルウェアを配信します。
クイッシング攻撃の例
- DocuSignを模倣したこのフィッシングメールは、受信者に添付されたPDF内のQRコードをスキャンして文書を確認し、署名するよう促します。スキャンすると、偽のMicrosoftページにリダイレクトされます。
- このフィッシングメールの受信者は、Partnership Distributionの機密文書にアクセスするためにQRコードをスキャンするように指示されていました。コードをスキャンすると、偽のページにリダイレクトされ、文書にアクセスする前にパスワードの入力を求められます。
- DocuSignを装ったこのフィッシングメールは、受信者に添付されたPDF内のQRコードをスキャンして「株式譲渡契約書」を確認するよう指示します。スキャン後、偽のMicrosoftページにリダイレクトされます。
QRコードフィッシングの危険性
QR コード フィッシング攻撃は、次のようないくつかの理由から非常に危険です。
- 可視性の欠如: メールやメッセージ内のURLとは異なり、QRコードは人間が読み取ることができないため、ユーザーはリンク先を簡単に確認できません。そのため、攻撃者は悪意のあるウェブサイトを隠し、ユーザーを騙してアクセスさせることが容易になります。
- QRコードへの信頼の向上: QRコードは、情報にアクセスするための迅速で効率的、かつ安全な方法と認識されることが多く、従来のリンクよりも信頼されがちです。この誤った信頼感が、QRコードフィッシングを特に効果的なものにしています。
- 実行速度: QRコードのスキャンは通常、迅速かつ自動的に行われるため、ユーザーがリンクを確認したり、慎重に判断したりする時間はほとんどありません。この迅速なプロセスは、ユーザーの脆弱性を迅速に悪用しようとする攻撃者にとって魅力的です。
- 幅広い配布: QRコードは、ソーシャルメディア、メール、物理的な場所など、様々なプラットフォームで簡単に共有できるため、多くのユーザーにリーチできます。公共の場に設置された悪意のあるQRコードは、通行人によってスキャンされ、攻撃範囲が拡大する可能性があります。
偽造QRコードの見分け方:典型的な兆候
偽の QR コードを見つけるのに役立つ指標がいくつかあります。
- ランダムな荷物、パーキングメーター、その他の一般的な場所など、予期しない物体に QR コードが見つかると、疑いが生じる可能性があります。
- QR コードをスキャンする前に、スペルミスや不適切な表現、会社名やロゴとの矛盾がないか必ず確認してください。
- アドレス バーに安全な接続を示す南京錠アイコンが表示されたり、QR コードに関連付けられた URL をすばやくチェックすると、偽の Web サイトにリダイレクトされるかどうかがわかります。
- さらに、テキストメッセージやメールで迷惑なQRコードを受け取った場合は注意してください。詐欺師は、被害者を騙して個人情報を開示させようとして、フィッシングメッセージを使って偽のQRコードを送信することがよくあります。
MITER ATT&CK戦術の観察
| ATT&CK戦術 | ATT&CKテクニック |
| 初期アクセス | フィッシング::スピアフィッシング添付ファイル [T1566.001] |
| 実行 | ユーザー実行::悪意のあるリンク [T1204.001] |
| 資格情報アクセス | 入力キャプチャ::ウェブポータルキャプチャ [T1056.003] |
| 防御回避 | なりすまし [T1656] |
| 指揮統制 | データのエンコーディング: 標準エンコーディング [T1132.001] |
SeqriteがQRコードフィッシング攻撃からどのように保護するか
セクライト QRコードフィッシング攻撃からユーザーを保護するための幅広いセキュリティ対策を提供しています。その仕組みは以下のとおりです。
- フィッシング詐欺対策 保護性能: Seqriteの小売部門 クイックヒールの不正防止アプリ QRコードをスキャンすることで、リンク先のウェブサイトへのアクセスを許可する前にQRコードをスキャンし、QRコードフィッシングから保護します。QRコードが疑わしいサイトや詐欺サイトにつながる場合、アプリはアクセスをブロックするか、ユーザーに警告を表示します。
- リアルタイムの脅威検出: Seqrite エンドポイント保護 QRコードに埋め込まれた悪意のあるリンクやURLを検出できます。QRコードが疑わしいウェブサイトや有害なウェブサイトにリンクしている場合、Seqrite Endpoint Protectionのリアルタイムスキャン機能により、被害が発生する前にウェブサイトをブロックできます。
- 行動検出: シークライト EDR 行動分析を用いて、デバイス上の悪意のあるアクティビティを検出します。これには、QRコードリダイレクトによってインストールされる可能性のある不審なアプリやマルウェアの特定も含まれ、早期発見と予防を確実にします。
- モバイルセキュリティ: Seqrite エンタープライズ モビリティ管理 (EMM) Androidデバイスを悪意のあるQRコードやフィッシング攻撃から保護します。QRコードをスキャンして脅威を検出し、有害なアプリをブロックするほか、ブラウジング保護機能を提供して、フィッシングやマルウェアからユーザーを守ります。
Seqrite と Quick Heal は、これらの保護層を提供することで、ユーザーが QR コードベースのフィッシング脅威から身を守るのに役立ちます。
