米国に拠点を置くメールセキュリティ企業Cofenseは、複数の業界を標的とした大規模なQRコードフィッシングキャンペーンに関する新たなレポートを発表しました。このキャンペーンは特に米国の大手エネルギー企業1社を標的としていますが、Cofenseは企業名を明らかにしていません。サイバー犯罪者は、Microsoft Bingなどの正規のサービスを利用して、このキャンペーンの効率を高め、セキュリティを回避しています。幸いなことに、企業がこの非常に異例なフィッシングの脅威を軽減するための対策を講じることができます。
ジャンプ先:
- この QR コード フィッシング キャンペーンはどのように機能しますか?
- このフィッシング攻撃ではどの正当なサービスが悪用されるのでしょうか?
- このフィッシング攻撃のリスクがあるのはどの業界ですか?
- このフィッシング攻撃が異常である理由
- QRコードフィッシングの脅威から身を守る方法
この QR コード フィッシング キャンペーンはどのように機能しますか?
このキャンペーンでは、QRコードをPNG画像として利用し、スキャンするとMicrosoftの認証情報フィッシングページに誘導します。メールの内容は異なりますが、類似した誘導策が用いられており、ユーザーに72時間以内にアカウントのセキュリティを更新するか、2要素認証/多要素認証を有効にする必要があると信じ込ませています(図A)。
図A
このフィッシング攻撃ではどの正当なサービスが悪用されるのでしょうか?
このフィッシング攻撃の効率を高めるために悪用される正当なサービスは、Microsoft Bing、リダイレクトに使用された会社に属するドメイン (krdx.net など) 経由の Salesforce、2 つの正当な Web サイト (digitalsflare.com および bladionline.com)、および InterPlanetary File System です。
ビング
このフィッシング キャンペーンでは、悪意のある QR コードのほとんどに、被害者の電子メールと Base64 でエンコードされたフィッシング リンクを含む Bing リダイレクトが含まれていました (図 B )。
図B
このケースでは、サイバー犯罪者はBing(マーケティング目的でリダイレクト機能が実装された正規のMicrosoftドメイン)を利用して、ユーザーを自らが管理するフィッシングサイトへリダイレクトしました。QRコードの場合と同様に、このリダイレクト手法の利点は、悪意のあるドメインが直接露出しない(悪意のあるドメインはBase64でエンコードされている)ため、セキュリティを回避できることです。
IPFS
サイバー犯罪者は、InterPlanetary File System を使用してフィッシング コンテンツをホストし、CloudFlare のゲートウェイを使用して IPFS システムへのフィッシング リンクを送信しました (図 C )。
図C
このフィッシング攻撃のリスクがあるのはどの業界ですか?
フィッシング キャンペーンは、米国を拠点とする大手エネルギー会社 1 社を主なターゲットとし、その後、製造、保険、テクノロジー、金融サービス、ヘルスケアの各業界が標的となりました (図 D )。
図D
Cofenseのナサニエル・レイモンド氏によると、2023年5月のキャンペーン開始以来、月平均成長率は270%を超えています。また、2023年5月以降、メール内のQRコードは2,400%以上増加しています。
このフィッシング攻撃が異常である理由
QR コードはフィッシング キャンペーンではあまり使用されませんが、サイバー犯罪者は日常生活で QR コードを使用する傾向があり、さまざまな場所に QR コードを残して、好奇心旺盛な人がスキャンして詐欺に遭ったり、マルウェアに感染したりする可能性があります。
サイバー犯罪者にとって、特にフィッシング キャンペーンを開始する際に電子メールで QR コードを使用することには、少なくとも 1 つの利点があります。フィッシング リンクが QR 画像内に隠れているため、セキュリティを回避してユーザーのメールボックスに侵入できる可能性が大幅に高まるのです。
このフィッシング攻撃が失敗する理由
レイモンド氏は、「QR コードは悪意のあるメールをユーザーの受信トレイに送り込むのに有利ですが、ユーザーをフィッシングサイトに誘導するには不十分な可能性があります」と述べています。
QRコードを読み取るには、ほとんどの場合、携帯電話がスキャンデバイスとなります。なぜなら、これらのデバイスには通常、カメラと連携するQRコードスキャナーが内蔵されているからです。さらに、これらの携帯電話のスキャナーは通常、QRコードに含まれるリンクをユーザーに表示し、ユーザーはそれをクリックするかどうかを決定します。
QRコードフィッシングの脅威から身を守る方法
電子メールのセキュリティを強化し、QR コードの脅威から身を守るために、組織は次の手順に従う必要があります。
- 高度な脅威保護ソリューションの導入を検討してください。理想的には、これらのソリューションはQRコードを読み取り、セキュリティソリューションによってリンクを分析できる必要があります。
- モバイルデバイスでは、QRコードの読み取り機能を備えたウイルス対策ソフトなどのセキュリティアプリケーションのみでQRコードを開くように設定してください。その後、QRコードリンクの安全性を確認してください。
- QRコードに関連するリスクについてユーザーに教育を行いましょう。QRコードが使用されていない企業では、従業員は組織からの発信を装ったQRコードを決してスキャンしてはなりません。
- ユーザーが不審なメールをIT部門またはセキュリティ部門に簡単に報告できる手段を提供します。メールクライアントソフトウェアにボタンを設置するのも有効です。
- 会社のメールアカウントに多要素認証を導入してください。フィッシングが成功したとしても、攻撃者はメールアカウントにログインできません。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
