増加するQRコードを悪用したフィッシング–さらなる手法と対策

今回は「増加するQRコードを悪用したフィッシング–さらなる手法と対策」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 前回は、メールセキュリティを手掛けるVadeが確認した「QRフィッシング」の事例を紹介した。それは、「MicrosoftのMFA(多要素認証)を有効化が必要」という文面とともにQRコードを表示するフィッシングメールであり、スマートフォンなどでQRコードを読み取るとURLリンクが表示され、ユーザーがこれをタップすると「Microsoft 365」の偽のログインページが表示されるものであった。

 メールによるQRフィッシングは、2023年5月に確認され、その後増加傾向にある。また、同年8月には米国の大手エネルギー企業を標的とする大規模なQRフィッシングのキャンペーンが観測されている。ユーザーにQRコードを配布してログインさせるような企業向け業務システムはほとんどないが、MFAの再有効化にはQRコードを使用するケースがあるため、そこを狙った攻撃であると考えられる。

 一方で、QRコードを使用する行為が当たり前のものになってきている。QRコード決済はその最たるものといえるが、それ以外にも街中のお店やポスター、テレビでの告知、チケットも電子化によりQRコードになっている。SNSアプリの友だち申請も同様だ。ビジネスにおいても、QRコードが一時的な入館証として使用されるケースが多い。

 生活やビジネスでQRコードが普及したことで、QRコードにスマートフォンをかざすことに抵抗がなくなっている。このため、どこかに悪意のあるQRコードがあったとしても、気軽にスマートフォンで読み込んでしまう可能性がある。人間がQRコードを見ただけでは、そこにどのような情報があるのか分からないこともポイントである。

 QRコードには、数字の場合で7089文字を登録できる。URLのリンクを埋め込むには十分な容量といえる。例えば、QRコードにアプリをダウンロードするリンクを埋め込むケースは、お店をはじめ多くの局面で目にする。しかし、これは悪意のあるアプリをダウンロードさせるURLリンクを埋め込むことも可能であることを意味する。

 不正なアプリをダウンロードするQRコードが貼られたメールを受信する可能性もある。特に「Android」のスマートフォンは、公式アプリストア(Google Play)以外からもアプリをダウンロード、インストール(サイドローディング)できるため、ユーザーが悪意のあるアプリをダウンロードしてしまうという点ではリスクが高い。アプリはウェブブラウザーに比べて、攻撃者が悪用できる範囲は広くなる。スマートフォンには、アドレス帳や決済情報もあるため、被害も大きくなってしまう。

 ただし、Appleの「iOS」であっても同様のリスクは存在する。攻撃者が「App Store」に害のないアプリを申請して審査を通過させ、その後アップデートという形で不正な機能を追加するケースもあるためだ。Android、iOSにかかわらず、QRコードからアプリをダウンロードする際には、アプリのアクセス許可の内容を確認しておきたい。例えば、「写真加工アプリ」や「動画視聴アプリ」など、便利アプリに本来不要なはずのアドレス帳へのアクセスを求めるようなケースは怪しいといえる。

 また、QRコードで画像を表示することも可能だ。例えば、スマートフォンなどで撮影した写真をQRコード化してシェアするサービスが存在する。これを悪用して、マルウェア感染などの警告画面を表示させることもできる。ウェブブラウジングしている際に突然警告画面を表示し、マルウェアをダウンロードさせたり、サポート詐欺に誘導したりするケースは既に問題になっており、同様のことがQRコードを起点に行われる可能性がある。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NEC、脳活動から着想した時系列データ向けのAI開発–分析を最大20倍高速化
IT関連
2021-05-13 19:42
バッファローが新「nasne」発表 HDDは2TB、8TBまで拡張できる
くらテク
2021-03-18 12:28
グーグルクラウド事業、第1四半期決算で初の黒字化
IT関連
2023-04-27 20:46
日立系技術商社の瑞穂、ランサムウェア対策でイミュータブルストレージを導入
IT関連
2024-01-13 09:42
8万人以上が利用する心のセルフケア・トレーニングアプリ「Awarefy」運営のHakaliが1億円のシード調達
ヘルステック
2021-07-10 12:34
Google Healthトップのデビッド・ファインバーグ氏、電子カルテ企業がCEOとして引き抜き
企業・業界動向
2021-08-21 18:11
Snyk創業者に聞く–DevSecOps、生成AIとソフトウェア開発、SBOM
IT関連
2023-11-10 06:32
[速報]マイクロソフト、クラウドPCにつながる「Windows 365 Boot」プレビュー発表。PCを起動するとクラウドPCにログイン。Build 2023
Microsoft
2023-05-24 16:15
日立製作所、新社長兼CEOに徳永氏が昇格–現職の小島氏は副会長に
IT関連
2024-12-18 09:16
DX推進には5つの必要な役割あり–ガートナー
IT関連
2021-08-18 20:29
マネーフォワード、「デジタルインボイス」でデジタル庁から認定
IT関連
2023-02-21 01:38
シャア専用色の江戸川コナンと赤井秀一カラーのシャア専用ザクがプラモデルに 映画公開記念コラボで 「声優ネタ」と話題に
くらテク
2021-06-16 05:48
IT系上場企業の平均年収を業種別にみてみた 2023年版[前編] ~ ネットベンチャー、ゲーム、メディア系
働き方
2023-07-18 13:56
ディープフェイク動画のiOSアプリ「Avatarify」が電子透かし提供へ
人工知能・AI
2021-04-16 12:53