QRコードを使用するフィッシングが急増しています。これは、QRコードを含んだフィッシングメールから攻撃サイトへの誘導が成功していることを意味しています。
フロリダ州タンパに拠点を置くセキュリティベンダーのReliaQuest社は、QRコードを利用したフィッシング攻撃は、2023年9月に脅威的な増加を示したと最新のブログで発表しています。ReliaQuest社は、この最新ブログでQRコードを利用するフィッシング(Quishing:クイッシング)の仕組みと現状を伝えています。
ReliaQuest社は、2023年9月のクイッシング攻撃数は単月だけで、1月から8月までの累計の51%も増加が見られたことを明らかにしています。クイッシングメールの半数以上(56%)が二要素認証のリセットを要求しており、5分の1弱(18%)には、偽装された銀行ページが含まれていました。
クイッシング攻撃を実行しているサイバー犯罪者は、メールセキュリティからは無害なメールに見えるようにするため、PDFにQRコードを埋め込んだり、画像ファイルとして添付したりするなど、様々な手段を使っています。過去12ヶ月でこのような添付の手法は12%の攻撃で見られています。また、QRコードのリンク先のURLに対するセキュリティスキャンによる検出を回避するために、正規のWebサイトのドメインや類似ドメインを使用する手法が、18%の攻撃で見られています。
クイッシング攻撃は、わざわざスマートフォンを取り出して、カメラ機能でQRコードを読み取らせ、目的のリンク先にアクセスをさせるという、その手順の多さから、このような攻撃に引っかかる人は少ないのではないか?と思われるかもしれません。しかし、現実には、この手口は前述のように急増しており、犯罪者にとって好みの手口になりつつあります。
スマートフォンでQRコードをスキャンして、手続きを完了させるように要求する商取引など、ありえないと言うことを、企業は従業員に周知し認識してもらう必要があります。Knowbe4が「New School」と呼ぶ新しい形態のセキュリティ意識向上トレーニングを従業員が受講すれば、このような犯罪や攻撃に気づきやすくなり、引っかかりにくくなります。KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著 2023年11月17日発信 https://blog.knowbe4.com/qr-code-phishing-attacks-surging
