新たなフィッシング戦略:画像なしQRコード
最近、サイバー攻撃者がフィッシングの手口を巧妙化させ、「クウィッシング」(QRコードを介したフィッシング)において、従来の画像ベースのQRコードから「画像なしQRコード」へとシフトしていることが明らかになりました。この新たな手口は、メールのHTML内で直接QRコードを描画することで、QR画像復号に特化したセキュリティツールを回避するように設計されています。
QRコードの悪用は新しいものではありませんが、その手軽さゆえに依然として効果的です。ユーザーはQRコードをスキャンするだけでモバイルデバイス上でブラウザセッションを開始でき、これはしばしば企業のエンドポイントやメール検査ワークフローの保護された境界外で行われます。
セキュリティツールを回避するメカニズム
Cloudflareの指摘によると、多くのセキュリティ管理はテキスト、リンク、添付ファイルの検査に重点を置いているため、QRコードは「意味のない」画像として到着し、復号されるまで見過ごされがちです。この最新の攻撃では、脅威アクターはPNGやJPEGなどの画像を埋め込む代わりに、数百または数千の小さなセルで構成されるHTMLテーブルを使用してQRコードを構築し、各セルに黒または白の背景色を割り当てます。
Proofpointも、QRコードがURLを視覚的な素早い検査から隠し、ユーザーの信頼に依存し、従来のリンクベースの検査を信頼性の低いものにしていると強調しています。受信者には依然としてQRコードのように見えますが、セキュリティスキャナーが分析する従来の画像オブジェクトは含まれていません。これにより、画像分析パイプラインとして実装されている多くのQRコード検出機能が機能しなくなります。高度な防御策であっても、HTML要素として配信される「ピクセル」は検出信号を弱めます。
実際の攻撃事例と防御策
12月下旬に分析されたフィッシング攻撃では、メールは最小限のソーシャルエンジニアリングテキストとQRコードのみで構成されていました。このQRコードをスキャンした被害者は、攻撃者によってホストされた認証情報詐取インフラに誘導されました。ランディングURLは受信者向けに調整されており、評判ベースの検出やインシデントの範囲特定を複雑にする典型的なフィッシングパターンです。
防御側は、QRベースの誘引を画像かどうかにかかわらず、最重要のフィッシング指標として扱うことを推奨しています。具体的には、以下の対策が挙げられます。
- 異常なHTML構造(小さな色付きセルの高密度テーブルなど)をフラグ付けする制御を強化する。
- 疑わしいQRコード関連の文言と送信者の評判を関連付ける。
- モバイルブラウザから開始されたログインには強力な認証を強制する。
- 配信前のブロック、多層的な検査(エンコードされたURLの抽出とサンドボックス化)を実施し、ユーザーがすでに操作した後に行われる配信後のクリーンアップだけに頼らない。
Cloudflareはまた、ユーザーに対し、QRコードを介して移動した後は、常にアクセス先のサイトを検証し、認証情報を入力するのを避けるようアドバイスしています。フィッシングは社会技術的な問題であり、攻撃者は防御ツールに組み込まれた前提を常に探り続けるでしょう。画像なしQRコードが示すように、「危険な」コンテンツが制御で予期されない方法で表現される可能性があるため、リスクがあるように見えるものだけをスキャンするだけでは不十分です。