フィッシング攻撃調査 – 2023 Q4：メール・セキュリティを回避する QR コード攻撃が急増

QR Code ‘Quishing’ Attacks on Execs Surge, Evading Email Security

2024/02/09 DarkReading — QR コードを悪用するＥメール攻撃が、2023年 Q4 に急増している。そして、攻撃者たちが特に標的としていたのは、企業の重役や管理職などであることが判明した。QR コードを使ったフィッシング・メールは、”キッシング：Quishing” とも呼ばれており、スパム・フィルターを通過する可能性が高い。そのため、Microsoft 365 や DocuSign のユーザーを狙う悪意のメールが、受信トレイまで到達してしまうのだと、クラウド・メール・セキュリティ企業 Abnormal Security が、2月6日に発表したレポートで述べている。

Abnormal Security のレポートによると、2023年 Q4 に経営幹部が受けたキッシング攻撃は、平均的な従業員に対する攻撃の 42倍だったという。さらに、経営幹部以下の中間管理職などへの攻撃は、平均的な従業員の５倍だったという。

同社の CISO である Mike Britton は、「私たちのレポートのデータは、経営幹部などの特権ユーザーが、攻撃者たちの標的にされていることを示している」と指摘している。

彼は、「もし私が攻撃者なら、高額の報酬を得る能力がある人々を狙うだろう。彼らは、最も侵害する価値のある情報に、アクセスする認証情報を持っているからだ。あるいは、そういった人々に成りすまし、彼らの信頼を利用して、ソーシャル・エンジニアリングを仕掛けることもあるだろう。被害者たちは、責任者からの依頼だと思いこみ、行動を起こす可能性が高くなるからだ」と述べている。

QR コードは、30年前から存在していた。しかしパンデミックの間に、レストランなどにおいて、非接触型やオンライン型での注文形態が提供されたことで、QR コードは幅広く普及した。また、ビジネス・シーンにおいては、 多要素認証 MFA (Multifactor Authentication) のサインアップ・プロセスを容易にするためのリンクの提供が、最も重要な QR コードのユースケースとなっている。

サイバー攻撃者も、この波に乗っている。Abnormal Security のレポートによると、2023年 Q4 における QR コード攻撃の 27％ は MFA の偽通知であり、21％ は共有ドキュメントに関する偽通知であったという。

QR コード・フィッシングを仕掛ける攻撃者は、画像にフィッシング・リンクを隠すことで、ユーザーの警戒心を低下させ、一部のメール・セキュリティ製品を迂回する。さらに、悪意の QR コードは、ステッカーなどへの印刷と、レストランなどの物理的なスペースへの展開も可能なため、デジタル・セキュリティを完全に回避できる。

モバイル・セキュリティ企業 Zimperium の Director of Product である Monique Becenti は、「キッシング攻撃は、QR コードに対するユーザーの本質的な信頼を悪用して、パーキング・メーターやポスターのような日用品に QR コードを埋め込む。QR コードを使ったフィッシングの成功率は、従来のフィッシング手法を上回るだろう。なぜなら、QR コードは、URL のタイプミスなどの、ユーザーが気づきやすい疑念のきっかけを回避することが多く、騙されて QR コードをスキャンする可能性が高くなるからだ」と指摘している。

エグゼクティブの認証情報を盗む、もう一つの方法

一般的に見て、エグゼクティブを狙うフィッシング攻撃者は、特権ユーザーの認証情報 (ユーザー名とパスワード) を求めている。最も多用されるＥメール攻撃の形態であるクレデンシャル・フィッシングは、QR コードを利用した攻撃の 84％ を占め、全攻撃の73％を占めている。

Becenti は、「攻撃者の第一の目的は、ユーザーの認証情報の入手だ。認証情報が手に入れば、より大きなダメージを与えることが可能となり、その上、持続性も確立できる。もし私が、あなたの認証情報を入手したら、あなたのアカウントにログインして、誰にメールを送信したかの確認／なりすましメールの送信／メール・フィルターのルール変更などを行うだろう」と述べている。

Becenti は、最後のポイントとして、メール認証情報の一般的な悪用方法を挙げている。その方法とは、攻撃者が、全てのメールを攻撃者のアカウントに転送する、BCC (blind carbon copy) ルールを作成するというものだ。

彼は、「多くのケースにおいて、重役の受信トレイには、秘書などの複数の人間がアクセスできることを、脅威アクターたちは認識している。その結果として、VIP の受信トレイのログイン認証情報を知っている全ての個人は、攻撃者に悪用される可能性のある、潜在的な侵入口となる」と指摘している。

QR コード・フィッシングの阻止：テクノロジーと人間の訓練が不可欠

ヒューマン・リスク管理企業 Hoxhunt によると、2023年10月以降のクイッシングは、フィッシング攻撃全体の 22％を占めていたが、今はかなり沈静化しているという。同社の脅威チーム・リーダーである Jon Gellin は、「昨年の 10月以降においては、QR フィッシングの手法に対して、メール・フィルターが追いつき始めている証拠が確認されている。このような攻撃が、メール・フィルターを回避することが少なくなったことで、結果として人気が低下しているのだ」と説明している。

しかし、たとえ沈静化したとしても、いまでも短縮 URL や画像スパムが、サイバー攻撃で使われ続けているのと同様に、キッシングは攻撃者のツールであり続けるだろう。Gellin は、ユーザーを守る最善の方法は、ユーザーを訓練することだと述べている。約５％のユーザーが、最初の数分以内に、フィッシング攻撃に対して誤った反応を示しているという。つまり、従業員が攻撃を阻止するには、十分な訓練が不可欠であることが示唆される。

Gellin は、「QR フィッシングのトレンドが示しているように、脅威の中には、最も洗練されたフィルターでさえもすり抜けてしまうものがある。その時に、脅威に効果的に対処できるスキルとツールを持てるかどうかは、人間のレイヤーにかかっている」と述べている。

その一方で、 Abnormal Security の Britton は、従業員トレーニングは重要だが、たった一度の失敗が重大な影響が生じる可能性があるため、技術的なコントロールも必要だと指摘している。

彼は、「私が見たフィッシング攻撃の中には、あまりにも本物らしく見えるため、私でさえセカンド・オピニオンが必要なものがある。人事担当者が、毎回それを正しく判別できるわけがない。買掛金の担当者にどうしろというのか？財務アナリストにどう期待すればいいのか？トレーニングは重要だが、失敗することがあることも、念頭に置く必要がある」とコメントしている。

QR コードを悪用するフィッシングである “キッシング：Quishing” が流行っているようなので、お気をつけください。こ記事で解説されている、企業の役員さんたちを狙う攻撃もありますが、個人を狙う攻撃もあります。これまでの関連記事で、最も印象に残っているのは、2023/05/08 の「QR コードで $20,000 を盗まれる：偽のアンケートで Android マルアプリに感染」です。また、2021/07/13 の「フィッシングに遭った夫婦が犯人を追跡：莫大な仮想通貨の在処を見つけたが」も記憶に焼き付いている記事です。よろしければ、カテゴリ Scammer と併せて、ご参照ください。