QR コード・メール・フィッシング:Microsoft の認証情報を盗み出そうとする手口とは?

Scammers are emailing waves of unsolicited QR codes, aiming to steal Microsoft users’ passwords

2021/10/26 CyberScoop — 電子メールを悪用する詐欺師たちは、レストランなどで見かけるようになったクイック・レスポンス・コードの注目度に乗じて、QR コードを利用してユーザーの Microsoft 認証情報などを盗もうとしている。

火曜日に、メール・セキュリティ企業の Abnormal が明らかにした、この最新のキャンペーンでは、侵害されたメールアカウントを悪用することで、標準的なセキュリティ検出を回避し、2021年9月15日〜10月13日の間に、約200のメール・アカウントを攻撃していた。

今回の手口は、QR コードを利用したフィッシングの最新事例であり、QRishing や quishing に関する警告が出されていた。今年の夏には、Better Business Bureau が、この種の詐欺行為について警告し、3月には Army Criminal Investigation Command の Major Cybercrime Unit が潜在的な問題について警告していた。

火曜日に発表された初期バージョンでは、ボイスメールの .WAV ファイルらしきものに、悪意のリンクが埋め込まれていた。このリンクがセキュリティ・スクリーニング・サービスにより検出されると、攻撃者は QR コードに切り替えて、被害者を認証情報収集ページにリダイレクトしていた。今回の調査では、このキャンペーンを行った攻撃者は特定されていない。

QR コードの下には、「暗号化されたボイスメールを聞くことができる」というメッセージが表示されており、これをスキャンするように指示されていた。その後に、Microsoft を装う偽のランディング・ページが表示され、被害者はメッセージを再生するための電子メールとパスワードの入力を求められた。

COVID-19 時代においては、レストランなどでハンズフリーで注文する手段として、また、特定の会場に入るためにワクチン接種有無を確認する手段としての、QR コードの普及があったことを考えると、電子メールで未承諾の QR コードを受け取った場合に、どのように対処すべきかという点を、今回の調査結果は考えさせてくれる。

Abnormal の Threat Intelligence Analyst である Rachelle Chouinard は、このキャンペーンが少々マヌケだと指摘している。このキャンペーンでは、被害者がパソコンでメールを開き、携帯電話のカメラを使って QR コードをスキャンすると、Microsoft を装う偽のログインページが表示され、ユーザーの認証情報が採取される。Chouinard は、「脅威アクターは、被害者が再びパソコンでメールを開くことを期待しているのだろうか? それとも、メールをプリンターに送るのだろうか? 別の電話を使うのだろうか?被害者はどの時点で詐欺を疑い始めるのだろうか?」と述べている。

また、このキャンペーンでは、メールとクレデンシャルの採取ページは英語で記されているが、reCAPTCHA はドイツ語であり、被害者が策略に気づく可能性があるという点でも失敗している。

2019年には、バージニア州に本社を置くメールセキュリティ企業の Cofense が、フランスの一部のユーザーをターゲットにした、QR コードを用いたフィッシング・キャンペーンを発見している。このケースでは、攻撃者は QR コードを使って、共有文書を読むための偽の SharePoint ランディング・ページに被害者を誘導していた。この偽ページでは、ユーザーは AOL や Microsoft などの認証情報を使ってログインし、ドキュメントを読むことができた。また、このキャンペーンでは、携帯電話でページにアクセスした被害者に対して、リクエストが正当なものであると思わせるために、カスタム・モバイル・ページを使用していた。

QR コードそのものが、フィッシングのツールになってきたという話です。人間の目には、示すものが読み取れない QR コードだけに、とても厄介な状況になっていました。とにかく疑うという、心のゼロトラスト・スイッチを、ON にしなければなりませんね。

%d bloggers like this: