QRコードフィッシング攻撃が増加しています。デバイスを切り替えてアクセスさせるQRコードフィッシング攻撃に対する企業や組織の検出や防御が不十分であることが、最新のデータにより指摘されています。
この攻撃は、悪意のある攻撃、またはその初期段階の検出をセキュリティテクノロジーに頼りきっているというセキュリティ上の課題を示しています。
メールセキュリティシステムはメール内のコンテンツ、リンク先、添付ファイルから、サイバー侵害を引き起こす危険なものを検出します。しかし、メールセキュリティシステムでは、悪意のあるQRコードを含むメールが送信された場合、QRコードによる攻撃を検出することはできません。それは、QRコードフィッシング攻撃の2つの特徴に対応していないからです。第一に、現在、メールセキュリティシステムには、QRコードのリンク先を確認する機能がありません。第二に、QRコードは攻撃の途中でPCからスマートフォンにデバイスが切り替わりますが、そういったデバイスの変更を追跡することはできません。
米国のITコンサルティング会社であるOsterman Researchの新しい報告書「Fortifying the Organization Against Image-Based and QR Code Attacks(画像ベースおよびQRコード攻撃に対する組織の強化)」では、企業や組織にはメール本文の画像化やQRコードを使った攻撃に対応する能力がないと報告しています。
この報告書によると、70%の企業や組織がQRコード攻撃を検出して阻止できると考えていますが、過去1年間にすべての画像ベースおよびQRコードフィッシング攻撃を従業員の受信ボックスに届く前に検知、阻止できたのはわずか5.5%でした。
つまり、4分の3の企業や組織は対策ができていると考えているのに対し、実際には94.5%が対策できていないということになり、既存のセキュリティシステムを過信していることがわかります。
この報告書では、こうした状況に対処するため、80%の企業や組織が、従業員が安易にQRコードにアクセスしないように、トレーニングをしていると報告されています。しかし、セキュリティ意識向上トレーニングも内容はさまざまで、トレーニングで得られる効果も異なります。
四半期ごとに30分を費やして「教育」を実施するというのも1つの方法ですが、フィッシング訓練などを組み込んだ、新しいスタイルの先進的なセキュリティ意識向上トレーニングを継続的に実施すれば、従業員がさまざまな脅威に警戒できるようになり、攻撃メールの潜在的なリスクをより低減させることができます。
QRコードフィッシング攻撃は、被害者がQRコードにアクセスできる環境である限り成立します。従業員にQRコードにアクセスしないように教育すれば、この攻撃を防ぎ安全を維持できるはずです。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
原典:Stu Sjouwerman著 2024年3月14日発信 https://blog.knowbe4.com/despite-prepared-for-image-based-attacks-most-organizations-have-been-compromised
