はじめに
米連邦捜査局(FBI)は、北朝鮮の国家支援ハッカー集団Kimsuky(APT43)が、米国の組織を標的とした悪意のあるQRコードを使用したスピアフィッシングキャンペーンを展開していると警告しました。この警告は、北朝鮮関連の政策、研究、分析に関わる非政府組織、シンクタンク、学術機関、戦略諮問会社、政府機関など、広範な米国組織に発せられています。
QRコードフィッシング「クウィッシング」の手口
「クウィッシング」として知られるQRコードを使用したフィッシングは、新しい手口ではありませんが、依然として効果的なセキュリティバイパス手段として機能します。Kimsukyは昨年、標的のデバイスをスキャンし、ユーザーエージェント、オペレーティングシステム、IPアドレス、画面サイズ、ローカル言語などの情報を収集する攻撃者制御のインフラストラクチャを介して被害者をルーティングするQRコードを含む電子メールを送信しました。その後、被害者には、Microsoft 365、Okta、VPNポータル、またはGoogleのログインページを装ったフィッシングページが表示され、アクセス資格情報やトークンの窃取が最終目的となります。
Kimsukyの過去の活動と今回のキャンペーン
Kimsukyは、ジャーナリストを装ったり、既知の脆弱性を悪用したり、サプライチェーン攻撃やClickFix戦術に依存したりするなど、過去にも多様な攻撃手法を用いてきました。今回のキャンペーンでは、Kimsukyに関連する攻撃者は、非存在の会議への招待、偽のアンケート、安全なドライブ、または偽のログインページに見せかけた悪意のあるサイトにリダイレクトするQRコードをメールに含めて送信しました。攻撃者は、外国投資家、大使館職員、シンクタンクメンバー、会議主催者などを装って標的をだましました。例えば、2025年6月には、Kimsukyの攻撃者が戦略諮問会社に対し、存在しない会議への招待状を装ったスピアフィッシングメールを送付しています。
MFAを回避する脅威
FBIは、クウィッシング操作がしばしばセッショントークンの盗難とリプレイで終わり、攻撃者が多要素認証(MFA)をバイパスし、一般的な「MFA失敗」アラートをトリガーすることなくクラウドIDを乗っ取ることを可能にすると指摘しています。この手口は、標的にモバイルデバイスを使用してQRコードをスキャンさせるため、従来の電子メールセキュリティソリューションを回避できるという特性があります。さらに、標準のEndpoint Detection and Response(EDR)やネットワーク監視の対象外となる管理されていないモバイルデバイスから発信されるため、「MFAに耐性のあるID侵入ベクトル」とFBIは表現し、その危険性を強調しています。
FBIからの防御策と推奨事項
FBIは、これらの攻撃から防御するために以下の対策を推奨しています。
- 従業員へのターゲットを絞ったトレーニング:QRコードのソースを確認し、疑わしいQRコードはスキャンしないよう指導すること。
- QRコードのソース検証:不明な、または疑わしいQRコードは決してスキャンしないこと。
- モバイルデバイス管理(MDM)の導入:組織のデバイスに対するセキュリティポリシーを適用すること。
- 多要素認証(MFA)の強制:セキュリティの追加レイヤーとしてMFAを常に有効にすること。
また、このような攻撃の標的となった場合は、直ちに地域のFBIサイバーチームまたはIC3ポータルに報告するよう求めています。