キッシング:QR コードメール攻撃について知っておくべきこと
2023年10月5日、Olesia Klevchuk
今日のデジタル時代において、私たちの私生活や仕事をより便利にするために、テクノロジーの利用は絶えず進化しています。クイック・レスポンス(QR)コードもそのような進歩のひとつです。この二次元バーコードによって、ユーザーはウェブサイトの URL や連絡先情報を共有したり、支払いを行ったりすることができます。QR コードは私たちの日常生活を便利にすると同時に、サイバー犯罪者が悪用する新たな道を開いてしまったのです。キッシング(quishing)とも呼ばれる QR コードによるフィッシング攻撃は増加の一途をたどっており、ユーザーにとっても組織にとっても大きな脅威となっています。
サイバー犯罪者は電子メール攻撃に QR コードをどのように利用しているか
ハッカーは、電子メール攻撃に QR コードを使用し、受信者をだまして悪意のあるウェブサイトにアクセスさせたり、端末にマルウェアをダウンロードさせたりします。このような攻撃には通常、人々がメールに寄せる信頼を悪用したソーシャルエンジニアリングの手口が使われます。以下は、サイバー犯罪者が使用している手口の例です。
フィッシング・リンク
攻撃者は、フィッシングメールに QR コードを埋め込み、ユーザーにコードをスキャンさせ、信頼できるサービスやアプリケーションに見せかけた偽のページにアクセスさせます。被害者は通常、だまされてログイン情報を入力し、攻撃者にログイン情報を取られます。
偽の QR コードから、氏名、住所、社会保障番号などの個人情報を要求するアンケートやフォームに誘導されることもあります。被害者は、情報や少額の支払いと引き換えに、報酬や賞品を約束して誘い込まれることもあります。
QR コードメールによるフィッシング攻撃の例
QRコードは、このようなよくできた偽のサインインページにつながります。
マルウェアのダウンロード
同様に、QR コードは、スキャンされると自動的にマルウェアを被害者のデバイスにダウンロードする悪意のあるウェブサイトに被害者をリンクすることができます。このマルウェアは、スパイウェアからランサムウェアまで多岐にわたり、攻撃者はデータを盗んだり、侵害されたデバイスをコントロールしたりすることができます。
侵害されたデバイス
QR コードはまた、決済サイトを開いたり、ソーシャルメディアのアカウントをフォローしたり、被害者のアカウントからあらかじめ書かれた電子メールメッセージを送信したりするのにも使われます。つまり、ハッカーは簡単に被害者になりすますことができ、被害者の連絡先名簿にあるほかの人をターゲットにすることができるのです。
メールメッセージ内の QR コード攻撃を検出する
QR コードによる攻撃は、従来のメールのフィルタリング手法では検知が困難です。スキャンするためのリンクや悪意のある添付ファイルが埋め込まれていないからです。メールのフィルタリングは、QR コードを宛先までたどって悪意のあるコンテンツをスキャンするようには設計されていません。また、実際の脅威は、企業のセキュリティソフトウェアで保護されていない可能性のある別のデバイスに移行します。
AI や画像認識技術の活用は、こうした攻撃を検知する方法のひとつです。通常、偽の QR コードだけが悪意のあるメールのサインではありません。AI ベースの検出では、送信者、コンテンツ、画像サイズ、配置などの他のシグナルも考慮して、悪意のある意図を判断します。Barracuda Impersonation Protectionは、QR コード詐欺を特定し、ブロックするために、こうしたテクニックを使用します。
ユーザーを教育し、これらの攻撃を予測できるようにしましょう。QR コード攻撃がまだセキュリティアウェアネストレーニングの一部になっていない場合は、将来的にカバーされるようにしてください。ユーザーは、電子メールやその他の方法で配信されたQRコードをスキャンする際に注意を払う必要があります。
原文はこちら
Quishing:QRコードメール攻撃について知っておくべきこと
2023年10月5日 Olesia Klevchuk
https://blog.barracuda.com/2023/10/05/quishing-what-you-need-to-know-about-QR-code-email-attacks
