Cisco Japan Blog

攻撃者がフィッシングメールやおとりの文書で QR コードを使用する方法とは

1 min read



一時は廃れるかと思われた QR コードですが、今やあちこちで目にするようになりました。飲食店で注文に使うこともあれば、ニュースレター登録やクーポン取得の方法として店先に大きく掲示されていることもあります。

コロナ禍において、QR コードは消費者が重要な情報を得るための非接触型手段として復活しました。ですが普及が進むにつれて攻撃者の目にも留まり、フィッシングやメールベースの攻撃に利用されるケースが増えています。

公開情報や Talos インシデント対応チーム(Talos IR)が最近収集したデータによると、2023 年には QR コードを使用したフィッシングが大幅に増加しました。

最新の四半期動向レポートでも取り上げましたが、Talos IR は 2023 年第 4 四半期のインシデント対応業務で、QR コードを使用したフィッシング攻撃に初めて対応しました。これは攻撃者が被害者を騙してフィッシングメールに埋め込まれた悪意のある QR コードを自分のモバイルデバイスでスキャンさせ、そのモバイルデバイス上でマルウェアを実行させるという手口です。

別の攻撃では、悪意のある QR コードが記載されたスピアフィッシングメールを標的に送り、偽の Microsoft Office 365 ログインページに誘導してユーザーが入力したログイン情報を窃取するという手口が使用されました。

QR コード攻撃では、攻撃ベクトルが保護されたコンピュータから個人のモバイルデバイスに変わるので危険性が高まります。というのも個人のモバイルデバイスはセキュリティ保護が十分でないことが多く、何より、攻撃者が狙う機密情報が入っているからです。

QR コードによる誘い込みと従来の悪意のある添付ファイルやリンクとの相違点

一般的な「従来型」のフィッシング攻撃では、標的を絞り込んだ電子メールを作成し、ユーザーを騙して悪意のある添付ファイルや攻撃者が管理するページを指すリンクを開かせようとします。

ビジネスメール詐欺のようなフィッシングメールの通常の手口は、標的ユーザーの知り合いやよく知っている組織になりすまして信用させ、Microsoft Word 文書や URL などを開かせるというものです。

たいていの場合、電子メールの本文にリンクが記載されている(文章の一部にハイパーリンクが挿入されている)か、ファイルが添付されていてそれを開くようメール本文に記載されています。

一方、QR コード攻撃の場合、攻撃者はフィッシングメールの本文に QR コードを埋め込み、ユーザーにモバイルデバイスでスキャンするよう促して特定の添付ファイルや Web リンクを開かせます。他の QR コードと同様に、ユーザーが指示されたリンクを開くには、モバイルデバイスの QR コードスキャンアプリや、ネイティブカメラアプリの内蔵スキャン機能を使用する必要があります。

このような QR コードの参照先はさまざまです。本物のログインページに似せた攻撃者が管理する Web ページに誘導し、ログインさせてログイン情報を窃取する場合もあれば、悪意のある添付ファイルを開かせ、ユーザーのデバイスにマルウェアをインストールさせることもあります。

QR コードを使用した攻撃が危険な理由

会社所有のコンピュータやデバイスにはたいていの場合、フィッシングを検出しユーザーが悪意のあるリンクを開かないようにするための組み込みのセキュリティツールが備わっています。しかしながら個人デバイスとなると、こういったツールの効果は望めません。

ユーザーが個人デバイスを使用して悪意のある QR コードをスキャンすると、アタックサーフェス(攻撃対象領域)が変化します。個人デバイスに対しては、企業のセキュリティプロトコルとモニタリングシステムの制御と可視性が低くなるからです。また、電子メールの悪意のある添付ファイルは検出できても、悪意のある QR コードは検出できない電子メール セキュリティ ソリューションもあります。

新型コロナの流行後はテレワークが普及し、自分のモバイルデバイスを使用してビジネス情報にアクセスする従業員が増えており、その結果 QR コード攻撃が起こりやすくなりました。サイバーセキュリティ企業 Agency が実施した定量調査 2023 Not (Cyber) Safe for Work Report popup_iconによると、回答者の 97% が自分のデバイスから仕事用のアカウントにアクセスしています。これでは、QR コード攻撃によって攻撃者が内部ログイン情報や標的のデバイスにダウンロードされたファイルを取得できた場合、ビジネスの機密情報が漏洩してしまう恐れがあります。

防御策

QR コードを使用したフィッシング攻撃からユーザーや組織が身を守るためのアドバイスをいくつか紹介します。

  • Talos では、ビジネス情報にアクセスすることのできる、管理されていないすべてのモバイルデバイスに、モバイルデバイス管理(MDM)プラットフォーム、または Cisco Umbrella などの同様のモバイルセキュリティツールを導入することを推奨しています。Cisco Umbrella の DNS レイヤセキュリティは個人の Android および iOS デバイスにも使用でき、モバイルデバイス所有者のプライバシーを保護しながら可視性の高い防御システムを提供します。
  • ユーザー教育こそが、QR コードを使用したフィッシング攻撃に対する防御の根幹となります。エグゼクティブや防御担当者は、フィッシング攻撃の危険性と QR コードを使用した悪意のある電子メールが増えている現状について、すべての従業員に教育する必要があります。
    • 悪意のある QR コードは電子メールに埋め込まれると画質が悪くなったりぼやけてしまうことがあります。QR コードにこういった特徴が見られるときは、正規のものでない可能性が考えられます。
    • 多くの QR コードスキャナにはコードの参照先リンクをプレビュー表示する機能が付いています。ユーザーには、URL に見覚えがある、信頼できる Web ページのみを開くよう周知するようにしてください。もしくは、QR コードから遷移するのではなく、管理されているデバイスを使って目的の移動先 URL を手入力することもできます。
    • 電子メールの本文に、本物に似せた電子メールアドレスやタイプミス、文法の誤りなど、フィッシングメールによく見られる危険信号がないか注意します。
    • 関係組織に正規の QR コードであることを確認していない限り、個人情報を入力しないようにします。
  • Cisco Duo などの多要素認証プロトコルを使用することで、ログイン情報の盗用を防ぐことができます。ログイン情報が盗まれた場合、標的システムへの最初の足がかりを攻撃者に与えてしまい、信頼できる仕事仲間やチームメイトからより本物らしいフィッシングメールが送られてくるといった事態になりかねません。

 

本稿は 2024 年 02 月 14 日に Talos Grouppopup_icon のブログに投稿された「How are attackers using QR codes in phishing emails and lure documents?popup_icon」の抄訳です。

 

コメントを書く