フィッシング
QRコード:便利な技術か、それともサイバー脅威か
QRコードを悪用したフィッシング攻撃(クイッシング)の高度なリスクを検知・防止するためのセキュリティ意識と対策
小売り、医療、建設、エンジニアリングなど、様々な業界でQRコード攻撃をはじめとする新たなフィッシングの脅威が深刻なリスクとなっています。こうした最新の攻撃に対し、サイバー犯罪者の標的となる企業は、データ侵害、情報流出、不正アクセスから機密情報を守るため、強固な防御策を講じる必要に迫られています。これらの脆弱性は、さらなる攻撃の足掛かりになる可能性もあります。
増加するQRコード攻撃
フィッシングメールは、依然として企業や組織にとって最大の攻撃経路です。QRコードフィッシング(クイッシング)攻撃は、ユーザを騙して個人情報や金融情報を提供させたり、マルウェアをダウンロードさせたりする最新のサイバー攻撃手法です。特に企業のトップ層や重要な戦略的役職者を狙っています。
クイッシングは従来のセキュリティゲートウェイをすり抜け、メールフィルタリングや本人認証を回避できます。これにより、保護されたメール環境から、比較的セキュリティの低いユーザのモバイルデバイスへと攻撃の場を移し、サイバー犯罪者が支払い情報などの機密情報を不正に入手することを可能にします。例えば、メールに添付されたPDFや画像ファイル(JPEG/PNG)に隠された不正なQRコードは、フィルタリングやフラグ付けなどのメールセキュリティ対策をバイパスし、危険なコンテンツの分析を受けることなく、直接ユーザの受信箱に届いてしまいます。
セキュリティ企業Egress社が発表した「Email Security Risk Report 2024」によると、「フィッシングは依然として最大の攻撃経路であり、企業や組織の94%がメールだけでなくコラボレーションツールにまで拡大した最新の攻撃手法の被害に遭っている」と述べています。また、「サイバーセキュリティリーダーはメールセキュリティについて強い懸念を抱いている」と報告しています。こうした攻撃には、侵害されたサプライチェーンのメールアカウントやアカウント乗っ取り(ATO)も含まれます。さらに、生成AI(GenAI)の登場により、攻撃者がより洗練された標的型フィッシングメールやマルウェアを作成できるようになったことも指摘されています。GenAIの影響で、QRコードフィッシング、認証情報フィッシング、AIを利用したメール脅威、ビジネスメール詐欺(BEC)攻撃などの高度な脅威が進化し続けています。これにより、メールやコラボレーション環境における攻撃対象領域がさらに拡大するリスクが高まっています。
企業や組織はQRコード攻撃のリスクをどのように軽減できるか?
企業や組織は、情報漏えい、風評被害、ITシステムの停止、業務の混乱といった深刻な影響を避けるため、リスクを正確に把握し、セキュリティ態勢を強化することが求められています。
クイッシングを見破るために、IT管理者やSOC(セキュリティオペレーションセンター)チームは、QRコードを使った攻撃をリアルタイムで防御する能力が必要です。
クイッシングの一般的な兆候:
- 不自然な出所:予期せぬ、または信頼性の確認できない発信元からのQRコード(例:無作為に配布されるチラシ、勧誘メール、知らないウェブサイトなど)には特に注意が必要です。
- うますぎる話:報酬、割引、賞品を約束するQRコードは要注意です。こうした魅力的な申し出は、詐欺師がよく使う手口です。
- 複雑なURL:QRコードに埋め込まれたURLを確認しましょう。異常に長かったり、複雑だったり、ランダムな文字列が含まれている場合は、フィッシングサイトに誘導される可能性があります。
- 誤字や奇妙な文字:QRコード内のスペルミスや不自然な文字に注意してください。信頼できる企業は通常、こうした細部にも注意を払います。
従業員には、QRコードを含むメールを受信したり、QRコードから生成されたリンクにアクセスしたりする際に、クイッシングを見抜く能力を高めるためのセキュリティ教育が必要です。
従業員が注意すべき点:
- コンテキストの欠如:QRコードの用途や目的が不明確な場合(例:公共の場に無造作に置かれたQRコードなど)は要注意です。
- 支払い要求のあるWebサイト:QRコードを介してアクセスしたサイトで支払いを求められた場合は避けましょう。代わりに、取引には既知で信頼できるURLを直接入力してアクセスしてください。
- 重ね貼りされたQRコード:既存の看板やラベルの上にQRコードが貼られている場合は注意が必要です。正規の情報を隠蔽しようとする詐欺の可能性があります。
- 過剰な権限要求:必要以上の許可(カメラ、連絡先、位置情報へのアクセスなど)を求めるQRコードには警戒しましょう。
フィッシング攻撃の手段としてQRコードの使用が増加していることは、QRコードをスキャンする際の警戒心とセキュリティ意識の重要性をより一層高めています。
QRコードを悪用したフィッシング攻撃(クイッシング)への先手を打つアプローチ
Trend Vision One™ – Email and Collaboration Securityは、ユーザを狙った脅威を素早く検知し対応する力を提供します。このソリューションは、QRコードを使ったフィッシング攻撃の連鎖を断ち切り、メッセージング環境全体での脅威の発見、リスク評価、対策の実施を効率化します。
AIを駆使した高度な分析機能と事前配信スキャンにより、不正なQRコードから企業や組織を守る強力なセキュリティをチームに提供します。これらの機能は、フィッシング攻撃がユーザの受信トレイに届く前に捕捉し無効化するよう設計されています。
メールに含まれるQRコードのリンクをリアルタイムで抽出し、様々なファイル形式や画像形式(JPEG、PNG、BMP、TIFF、GIF、.webP)に対して徹底的なスキャンと修復を行うことで、セキュリティを確保します。
QRコードを含むメール本文や添付ファイルが検出された場合、IT管理者は中央管理プラットフォームから状況に応じた判断を下し、簡単に対策を講じることができます。
具体的な対応策には以下が含まれます:
- 件名へのタグ付け
- 免責事項の追加
- 通過許可
- 隔離
- SOC(セキュリティオペレーションセンター)チームは、XDRによる高度な分析やASRM(アタックサーフェスリスクマネジメント)による深い洞察などの機能を活用し、攻撃の広がりを調査し、見落としがちな部分を発見し、リスクの高いユーザを特定し、関連する脅威を探ることができます。
- IT管理者は、この情報を活用して対応計画を実行できます。具体的には、リスクの高い従業員のリスクスコアを下げたり、フィッシングメールにタグを付けたり隔離したりする判断を下したり、パスワードの強制リセットや関連するセキュリティチームへの通知を行ったりできます。定期的なセキュリティ監査を行うことで、対応計画の有効性を確認できます。
- IT管理者は、QRコードに関連するリスクについてユーザを教育できます。全従業員や特にリスクの高いユーザグループを対象に、カスタマイズされたセキュリティ意識向上トレーニングを実施できます。トレーニングの進行に伴い、受講状況や修了状況をリアルタイムで把握することも可能です。
これらの施策を実践することで、企業や組織における全体のセキュリティ体制を強化し、QRコードを使ったフィッシング攻撃の被害に遭うリスクを低減し、単一のプラットフォームからセキュリティ意識向上の成果を高めることができます。
参考記事:
QR Codes: Convenience or Cyberthreat?
By: Sara Atie
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)