昨今はレストランなどでも座席にあるQRコードをスマホで呼び込んでメニューにアクセスして料理を注文するといったスタイルが導入されていますが、イギリスのサイバーセキュリティ企業、ソフォスによるとQRコードから偽装サイトに誘導されるクイッシングなる脅威が発生しているようです。
メール添付のPDFにQRコード
ソフォスによると、ソフォスの特定の従業員に宛ててQRコードが含まれたPDF文書が添付されたメールが複数送られてきたということです。このメールの件名からは社内で送信されたメールのように見え、件名は「着金しました」や「雇用給付の専用情報および/または退職金プランの添付資料=」で添付のPDFにはソフォスのロゴとORコードが記されており、QRコードの下には「この文書は24時間で期限切れになります」と書かれていたということです。
スマホでQRコードをスキャンするとMicrosoft365のログインダイアログボックスに偽装したページに誘導され、攻撃者はソフォス従業員の認証情報とMFAトークンを侵害することに成功したということです。攻撃者は窃取した従業員の情報を悪用してソフォス社内のアプリケーションにアクセスしようとしたが、ネットワークへの内部制御によって攻撃者がソフォスの内部情報や資産にアクセスすることを防止したということです。
送られてきたメールは、ONNXStoreというフィッシング・アズ・ア・サービス〈Phaas〉のプラットフォームを使用して送信されるメッセージと酷似しているということですので、今後、QRコードを悪用したフィッシングメール、クイッシングの手法が増える可能性もあります。
瞬間的にURLが表示されることを悪用
従来のフィッシングメールではメールに添付されているURLを注意深く確認すればフィッシングだと気づくことができるわけですが、QRコードだとテキストのURLとは異なり、ほとんどの人はスマホのカメラをQRコードにかざしてリンクを読み取りURLは瞬間的にしか表示されないためリンク先が偽装サイトだということに気づきにくい。また、QRコードは通常、モバイルデバイスでスキャンされるためエンドポイント保護ソフトウェアがインストールされているデスクトップコンピューターやラップトップコンピューターでのURLブロックや既知の悪意あるWebアドレスをブロックする従来の防御が回避できるとソフォスは指摘しています。
ソフォスの従業員を狙ったクイッシングは、フィッシングサイトに誘導するためにメールに添付したPDFにURLではなくQRコードを貼って偽装したものですが、今後、正規のQRコードをスキャンしたはずなのに偽のサイトに誘導されるといったさらに巧妙な攻撃が行われる恐れはないのでしょうか? 公共のWifiでは中継スポットを侵害することでアクセスした端末に侵入するサイバー攻撃も行われているだけにQRコードを悪用した攻撃が今後、どのように展開していくのか注意していきたいと思います。
■出典