QR Codes Used in 22% of Phishing Attacks
2023/10/19 InfoSecurity — Hoxhunt Challenge が明らかにしたのは、フィッシング攻撃に対する従業員の感受性の驚くべき傾向であり、人的リスクの低減におけるエンゲージメントの重要な役割を強調するものだ。10月19日に発表されたのは、9つの業界と 125カ国にまたがる、38の組織で実施された調査の結果であり、2023年10月の最初の週に発生したフィッシング攻撃の 22% において、悪意のペイロード配信のために QR コードが悪用されたと指摘している。
この調査では、従業員の反応を、成功/失敗/クリック・スキャン の3つのグループに分類している。模擬攻撃が行われたが、その特定と報告に成功した受信者は僅か 36% に留まり、大半の組織がフィッシングの脅威に対して脆弱であることが判明した。
従業員の 10人に2人だけがベンチマークに参加した、小売業界の失敗率が、最も高かった。その一方で、法務およびビジネス・サービスは、疑わしい QR コードの特定と報告において、他の業界を上回っていたという。
Tanium の Chief Security Advisor あである Timothy Morris は、「QR コードは、私たちの日常生活のいたるところで利用されるようになっている。誰もがショートカットが大好きであり、QR コードは非常に有益で便利である。しかし、ユーザーが徹底して疑うべきものは、電子メールで届く QR コードである」と述べている。
Hoxhunt Challenge の調査と同様に、従業員の職種に応じて警戒心も異なるようであり、悪意の QR コードに騙されるコミュニケーション担当者は、平均の 1.6倍だった。対照的に、法的責任を負う従業員は、最も警戒心が高かった。
また、自分の仕事に情熱を感じている従業員の見逃し率は 40% であり、自分の職務や組織に対して積極的にコミットしていない従業員の見逃し率は 90% であったの。さらに、育成プログラムを受けた新入社員や、事前トレーニングを受けた従業員は、フィッシングメールの識別において、より高い警戒心を示していた。
Hoxhunt Challenge から得られた重要な教訓は、サイバー・セキュリティにおける継続的なトレーニングの重要性であり、新入社員プログラムと定期的なリフレッシュ・コースなどの、トレーニングの必要性が強調された。このようなトレーニングを怠ると、サイバー・セキュリティの脅威に対して脆弱になり、組織のデータが危険にさらされることになる。
Zimperium の Security Architect である Georgia Weidman は、「QRコード自体には、本質的にセキュリティが組み込まれていない。したがって、QR コードの脅威をモデル化する際には、そのように扱うべきだ。あなたの組織が、認証に QR コードを使用する場合には、攻撃者が使用している攻撃の種類を認識し、それに対する緩和策を実施することが重要になる」と警告している。
10月18日 (水) に SlashNext が発表したブログ記事でも、QR コードは取り上げられており、Quishing (QR code phishing) や QRLJacking に関連するリスクの高まりが報告されている。攻撃ベクターとしての QR コードがもたらす、サイバー・セキュリティ上の新たな課題が浮き彫りされている。
この記事で、Quishing という言葉を覚えましたね。この QR コード・フィッシングについて、印象に残っている記事は 2023/05/08 の「QR コードで $20,000 を盗まれる:偽のアンケートで Android マルアプリに感染」でした。タピオカ・ショップで、QR コードをスキャンしてアンケートに答えたら、大金を盗まれてしまったという話です。そのようなインシデントが、ものすごい勢いで増えているのでしょう。ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.