Abnormal Securityが公開した新しいデータによると、QRコードを利用した攻撃が広がっています。QRコードは、フィッシング詐欺における常套手段の1つになりつつあります。
昨年、QRコードを使用したフィッシング攻撃が急増しました。また、セキュリティベンダーのAbnormal Securityが公開した「2024年上半期のメール脅威レポート」の新しいデータから、これらの攻撃を実行する方法について詳細な知見を得ることができます。
本レポートでは以下のデータが示されています。
- QRコード攻撃の3%はクレデンシャルフィッシング
- 攻撃の27%が多要素認証(MFA)の通知をなりすましている
- 攻撃が21%で、共有ドキュメントの偽の通知をターゲットに送信している
また、従業員数500人未満の小規模企業は、従業員数50,000人以上の大企業に比べ、QRコードによるフィッシング攻撃を受ける可能性が19倍高くなっています。また、経営幹部がQRコード攻撃の標的になる確率は一般的な従業員の42倍となっています。
「わざわざスマーフォンを取り出してパソコンからQRコードをスキャンするユーザーなんていないでしょう?」とか、「モバイルデバイスでメールを読んでいるときにメール本文中のQRコードをスキャンなんてできないよね?」と思うかもしれません。
しかし、サイバー攻撃者はこのような状況を考慮して攻撃を仕掛けています。例えば、下の画像では、攻撃者は多要素認証をする際の問題を利用しています。
この例は、この攻撃方法に効果がないでは?という反論に対応するものです。また、QRコードをスキャンするようなデバイスを使用しているユーザー向けに、次の例の左下にある「画像をスキャンできない場合」ボタンを表示していることにも注目してください。
このように、サイバー攻撃者はユーザーにクリックさせたり、カメラを使用させたりします。メールを開くときには、常に警戒しなければなりません。セキュリティ意識向上トレーニングを通じて、すべての従業員に警戒が必要であることを伝えていく必要があります。QRコードをメールで受け取るリスクを理解して、QRコードを操作するのではなく、検証するか無視するようにできるようにしなければなりません。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著 2024年2月21日発信 https://blog.knowbe4.com/qr-code-attacks-target-the-c-suite-42-times-more-than-standard-employees
