概要
マイクロソフトのユーザーを標的とした、巧妙なQRコードベースの「クウィッシング」キャンペーンが明らかになりました。この攻撃は、一見無害な文書レビュー要求を装い、QRコードを2つの別々の画像に分割し、非標準の色パレットを使用し、PDFコンテンツストリームを介して直接コードを描画するという高度な回避技術を悪用しています。これにより、従来のアンチウイルスやPDFスキャン防御を迂回することに成功しています。この新たなクウィッシングの波は、進化する脅威の状況を浮き彫りにし、デジタル文書とのやり取りにおけるユーザーの警戒心強化の必要性を示しています。
攻撃メカニズム
このキャンペーンは、DocuSignからのものと見せかけたフィッシングメールから始まります。受信者には、文書のレビューと署名を求める通知が届きます。メール本文には、目を引くものの非標準的な色スペクトルでレンダリングされたQRコードが含まれており、文書のデザインに溶け込みながら、従来のQRスキャナーのヒューリスティックを回避します。
分析の結果、このQRコードは単一のラスター画像ではなく、PDFファイル内で2つの画像オブジェクトに分割されていることが判明しました。コードの各半分は独立してレンダリングされ、表示される際には1つのまとまったQRパターンとして見えるように配置されます。この分割技術は、完全な画像QRパターンを検索するシグネチャベースの検出システムを回避します。
さらに、攻撃者はQRコードを標準的な画像として埋め込む代わりに、PDFコンテンツストリームコマンドを使用してQRモジュールをプログラムで描画します。各暗部および明部のモジュールに対して正確な描画指示を出すことで、認識可能なQR画像ファイルを埋め込むことを回避しています。このコンテンツストリームアプローチは、人間やモバイルカメラのスキャナーには正確にコードを表示しますが、画像抽出に依存するスキャナーを完全に迂回します。その結果、多くのPDFセキュリティフィルターを検出されずにすり抜けることができる、非常に強固な配信メカニズムが実現されています。
攻撃ワークフローとペイロード配信
ユーザーが欺瞞的なQRコードをスマートフォンやタブレットでスキャンすると、偽のマイクロソフトログインページにリダイレクトされます。このページは、公式のマイクロソフトポータルを模倣したドメインでホストされており、正規のマイクロソフトブランドの洗練されたインターフェースを備え、ユーザーに「安全な文書アクセス」のために資格情報を入力するよう求めます。
キャプチャされた資格情報はリアルタイムで流出し、脅威アクターは企業のメール、OneDriveドキュメント、その他のマイクロソフトクラウドサービスへの不正アクセスを可能にします。資格情報窃取後、攻撃者は多要素認証(MFA)バイパスシミュレーションを展開し、ユーザーにプッシュ通知プロンプトを送信したり、アカウント設定を微妙に変更して永続性を維持したりする場合があります。さらに、侵害されたアカウントは、組織内の信頼を利用して、さらなるフィッシングメッセージを内部に拡散するために使用されます。場合によっては、流出したデータがダークウェブ市場で収益化されたり、他のキャンペーンでは被害者のネットワーク内にランサムウェアのペイロードやデータスクレイピングマルウェアを展開するために利用されたりします。
緩和策
この新たなクウィッシングの脅威から防御するには、技術的制御、ユーザー意識向上トレーニング、および堅牢なインシデント対応計画の組み合わせが必要です。
- 組織は、コンテンツストリーム分析を含む厳格なPDFスキャンポリシーを施行し、非画像QR描画指示を検出できるようにする必要があります。高度な脅威保護ソリューションは、PDFレンダリングコマンドを精査し、単一のQRコードを形成する複数の画像オブジェクトなどの異常をフラグ立てするように構成する必要があります。
- ユーザー側では、マイクロソフトの顧客は、スキャンする前にQRコードのソースを確認し、予期しない文書要求を代替チャネルを通じて再確認するように訓練されるべきです。QRスキャンされたリンクではなく、公式の文書ポータルを直接使用することを奨励することで、操作されたQRコードへの露出を最小限に抑えることができます。
- すべてのMFAは、SMSやアプリプッシュ通知ではなく、ハードウェアトークンや生体認証方法を使用するように強制されるべきです。これにより、資格情報ベースのアカウント乗っ取りのリスクを軽減できます。
- 並行して、セキュリティチームは、異常なログイン試行や、正規のマイクロソフトエンドポイントに酷似したドメイン登録を監視する必要があります。不正なドメインの迅速なテイクダウン手順と、ホスティングプロバイダーとの協調的な情報開示は、攻撃者の機会の窓を大幅に縮小できます。クウィッシングペイロードで発見された侵害の兆候に関するプロアクティブな脅威ハンティングと情報共有は、組織の回復力をさらに強化するでしょう。
クウィッシング技術が回避方法と欺瞞的なブランディングを組み合わせながら進化し続ける中、警戒を怠らず安全を確保することが不可欠です。ユーザーとセキュリティチームはともに警戒を続け、今日のダイナミックなサイバーセキュリティ環境において、武器化されたQRコード攻撃から重要なマイクロソフト資産を保護するために、多層防御を採用する必要があります。