チェック・ポイント、2400%もの急増を示す「QRコード攻撃」の手口を報告
認証情報を狙いQRコードを悪用するフィッシング詐欺「QRコードフィッシング」、別名「クイッシング(Quishing)」に対抗する、チェック・ポイントのQRコードアナライザー
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd. < http://www.checkpoint.com/ > 、NASDAQ:CHKP、以下チェック・ポイント)は、攻撃が増加しているQRコードを悪用したフィッシング詐欺「QRコードフィッシング」、別名「クイッシング(Quishing)」の手口と対抗策について報告しました。
このクイッシングの手口では、QRコード自体は正常ですが、その背後に悪意あるURLが潜んでいます。米国では大手エネルギー企業がこのQRコードフィッシング攻撃のターゲットにされた < https://www.bleepingcomputer.com/news/security/major-us-energy-org-targeted-in-qr-code-phishing-attack/ > との報告があり、他の同様の報告ではこの種の攻撃の増加 < https://www.techtarget.com/searchsecurity/feature/Quishing-on-the-rise-How-to-prevent-QR-code-phishing > が指摘されています。
サイバー犯罪者は、QRコードを悪用した驚くほど巧妙なクイッシング攻撃キャンペーンを展開しています。米国の大手エネルギー企業を狙った攻撃をはじめ、攻撃数は本年5月以来2,400%増加 < https://www.darkreading.com/attacks-breaches/qr-code-phishing-campaign-targets-top-u-s-energy-company > しました。最新の攻撃ではリダイレクトリンクを潜ませ、ユーザーを偽のウェブページに転送して認証情報を窃取します。
チェック・ポイントのHarmony Emailのリサーチャーが実際に確認したところ、8月から9月にかけてQRコードを使ったフィッシング詐欺が587%増加しており、チェック・ポイントのお客様ほぼすべてがQRコードを使った攻撃の標的となっていたことが判明しました。これは、ひと月当たりにして数千回の攻撃に相当します。
こうした攻撃が増加傾向にある理由は明白です。使われるのは見た目に無害な、メニューの読み取りなどに活用される単なるQRコードですが、QRコードは悪意を隠す絶好の手段となります。コードの画像には悪意あるリンクを隠すことができ、元の画像をスキャンし解析しない限り、その表示は通常の画像にすぎません。
また、エンドユーザーはQRコードのスキャンに慣れ親しんでいます。そのためQRコードを含むメールが送られてきても必ずしも懸念を抱きません。Statista(スタティスタ) < https://www.statista.com/statistics/1297768/us-smartphone-users-qr-scanner/ > よると、実際に2022年には米国のスマートフォンユーザー約8,900万人がモバイル端末でQRコードをスキャンしており、この数字は2020年との比較で26%増加しています。モバイル端末のQRコードスキャナーの利用は継続して一定の伸びを示しており、2025年には米国内の利用者が1億人を超えると予測されています。
本プレスリリースでは、Harmony Emailのリサーチャーが解明したQRコードの悪用により認証情報の窃取を試みるハッカーの手口について報告します。
攻撃
この攻撃では、ハッカーはQRコードを送信し、認証情報の窃取を目的としたウェブページへとユーザーを誘導します。
ベクター:メール
タイプ:認証情報収集、クイッシング
テクニック:ソーシャルエンジニアリング
ターゲット:すべてのエンドユーザー
メールの例
QRコードの作成は非常に容易であり、膨大な数の無料サイトから極めて手軽にコード画像を作成できます。QRコードを読み取ると、リンク先へと移動します。ハッカーに限らず、誰であれ、QRコードのリダイレクト先にはどのようなリンクでも設定できます。
この攻撃でハッカーが作成するのは認証情報の収集ページにアクセスするQRコードです。誘い文句はMicrosoftのMFA(マルチファクタ認証)が期限切れのため再認証が必要である、というものです。本文の記載ではMicrosoftのセキュリティから送信されたとしていますが、差出人のアドレスは異なります。
ユーザーがQRコードをスキャンすると、一見Microsoftのウェブページに似たページにリダイレクトされますが、実際にはリダイレクト先は認証情報を収集するためのページです。
テクニック
ハッカーがテキストを隠すために長年用いてきた手段はドキュメントのスキャン画像です。この攻撃は、テキストを画像表示することによって言語解析ツールを回避できることから功を奏してきました。この手法に対抗するにはOCR(光学式文字認識)が必要であり、OCRは画像をテキストに変換し、その内容を理解します。このOCRを回避する方法としてハッカーが見出した手口、それがQRコードでした。
QRコード攻撃への対抗には少々手間がかかります。QRコードを検出する機能にOCRを追加して、コードを背後に隠されたURLへと変換、さらにURL分析ツールを実行する必要があります。
チェック・ポイントではすでに数年前に遡ってQRコード対策を実施しており、素早く導入されました。攻撃環境の変化に瞬時に対応するためには、さまざまなツールで備えることこそが重要です。ハッカーが次に進む方向は必ずしも明らかではありません。しかし、インライン化からURLラッピング、エミュレーションツール、暗号化の解除に至るまで、さまざまなテクニックに対抗するための基本的なツールを、チェック・ポイントは攻撃者を先回りし装備しています。 そのため、QRコード攻撃のようにある攻撃ベクターが勢いを増した時、チェック・ポイントでは手元の豊富な選択肢の中からツールや機能を検討し、即座にソリューションを構築できます。
QRコードに関しては、チェック・ポイントのOCRエンジンに搭載されたQRコードアナライザーを使用します。これによりコードを識別してURLを取得、それに対するテストを他のエンジンでも行います。実際、電子メールのメッセージ本文に存在するQRコードは攻撃を示唆する指標となります。OCRが画像をテキストに変換すると、チェック・ポイントのNLPが疑わしい言語を識別し、フィッシングとしてフラグを立てることが可能になります。
ハッカーは、常に新しい戦術やテクニックを試行しています。古い手法を再活用する場合もあれば、QRコードのような正規の手段を乗っ取ることもあります。ハッカーの用いる手法が何であれ、対抗するためのツール一式を手元に持つことは非常に重要です。
ベストプラクティス:ガイダンスと推奨事項
上述した攻撃から身を守るために、セキュリティ専門家に対して推奨する対策は次の通りです。
クイッシングを含むあらゆる攻撃に備えるための、OCRを活用した電子メールセキュリティの採用
メッセージの意図およびフィッシング言語が使われる可能性のある時期を理解するための、AI、ML、NLP活用型セキュリティの導入
悪意ある攻撃を特定するための複数の手段を備えたセキュリティの導入
本プレスリリースは、米国時間2023年10月26日に発表されたブログ < https://www.avanan.com/blog/the-rise-in-qr-code-attacks > (英語)をもとに作成しています。
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像