サイバー脅威は常に進化しています。詐欺師やハッカーはあらゆるコミュニケーションの方法を抜け目なく悪用しています。メールやSMSメッセージ、通話、QRコードに至るまで、サイバー攻撃者はユーザーのプライバシーとセキュリティを侵害する新たな方法を見つけようとしています。
新たに登場した脅威の一つが、QRコードを利用するフィッシングです。これは、QRコードとフィッシングを組み合わせたもので、ユーザーを騙して機密情報を窃取するように設計されています。
QRコードを使用したハッキングの仕組み
QRコードは、白と黒のパターンで構成されており、読み取ることでWebサイトのURL、テキストメッセージ、アプリのリスト、地図の住所などさまざまな情報が表示されます。しかし、QRコードは厳格性に欠けており、攻撃に悪用される恐れがあります。正規のWebサイトにアクセスさせることもできますが、同様に、詐欺のWebサイトにも簡単にアクセスさせることができます。
悪意のあるQRコードは誰でも容易に作成できます。QRコードの作成ツールは容易に入手できますし、URLを読み取るだけで簡単に作成できます。悪意のあるQRコードの拡散方法は多様であるため、より多くのユーザーを騙すことが可能になります。
これらの詐欺の最終的な狙いは、ユーザーのアカウントやデバイスのセキュリティを侵害することに変わりはありません。一見すると不審な点がないQRコードでも、それを通じて、悪意のあるツールをダウンロードさせたり、ログイン認証情報を詐取されたりします。個人だけでなく企業もその攻撃の対象です。
大手エネルギー会社も被害に
今年に入り、米国の大手エネルギー会社がQRコードを使用した詐欺の被害に遭うなど、QRコードを使った攻撃が増加傾向にあります。
幸いなことんい、セキュリティ訓練を実施は、QRコードによるハッキング被害の防止にも有効です。訓練によって、メールやインスタントメッセージに注意するようになっていれば、同じように、QRコードについても、送信元が不確かな場合に注意することができるでしょう。
改めて、不審なメールや疑わしいWebサイトに掲載されているQRコードには常に注意してください。まず、このままだとアカウントが削除せれてしまうので、今すぐQRコードを読み取って手続きをするように促されるなどの切迫感を煽るメッセージには要注意です。さらにQRコードを読み取った時のURLに不審なところはないかアクセス前に確認しましょう。
QRコードを使用したハッキングへの対応
ソフトウェアを常に最新の状態で維持することは、簡単にできて効果的な防御策になります。最近のモバイルWebブラウザには、不正なリンクを識別するテクノロジが組み込まれています。確実に保護されるようになるわけではありませんが、ブラウザやモバイルOSのアップデートを常にチェックし最新の状態にすれば、安全でないWebサイトに関する警告を受け取れる可能性が高まります。
脅威は進化を続けていますが、常に最新の情報を入手し、警戒を怠らないことが、QRコードによるフィッシング攻撃の増加に対する最善の防御策となります。新しいスタイルの先進的なセキュリティアウェアネス(意識向上)トレーニング(KnowBe4では“New School”と呼ぶ)を従業員に行うことで、受信ボックスに不審なQRコードが配信されたときの対処法を確実に身に着けることができます。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
詳細については、Wiredの記事を参照してください。
原典:Stu Sjouwerman著 2023年12月4日発信https://blog.knowbe4.com/guarding-against-rise-qr-code-phishing