イギリスのセキュリティ企業「Sophos」は、サイバー攻撃者が従業員の認証情報を詐取するためにQRコードフィッシング(キッシング)キャンペーンを展開していると警告しています。
従業員がこのQRコードをスキャンすると、Microsoft 365のログインフォームを偽装したフィッシングページに誘導される仕組みになっています。このページは、ログイン認証情報と多要素認証コードを詐取するように設計されています。
Sophosの従業員の1人がこの攻撃の被害に遭い、サイバーセキュリティ企業でさえもソーシャルエンジニアリングの脅威を完全には防げないことが浮き彫りになりました。QRコードに埋め込まれたフィッシングリンクはセキュリティフィルターによる検出を回避しやすく、人の目でもURLの異常に気づきにくくなっています。
Sophosは次のように説明しています。「セキュリティ業界では、フィッシングへの耐性を高めるため、従業員にURLをクリックする前に注意深く確認するよう指導しています。しかし、プレーンテキストのURLとは異なり、QRコードではURLを十分に確認することが困難です。多くのユーザーがスマートフォンのカメラでQRコードを読み取りますが、カメラアプリにはURLが一瞬表示されるのみで、すぐに画面から消えてしまうため、URLを精査することが難しくなっています。また、攻撃者はリダイレクト技術や難読化の手法を用いて、最終的なリンク先を隠す場合もあります。」
Sophosは、ここ数ヶ月間でクイッシング攻撃が増加していることを確認しており、攻撃手口もますます巧妙になっています。
Sophosのリサーチャーはクイッシング攻撃について次のように述べています。「クイッシング攻撃はより巧妙化し、PDF内に表示されるコンテンツのデザインにも注意が払われるようになっています。最新のクイッシングPDFはヘッダーやフッターの内容も標的に合わせてカスタマイズされており、従業員名やメールアカウントのユーザー名、企業名などの情報が含まれるなど、精巧な見た目に仕上げられています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、Sophosの記事を参照してください。
原典:Stu Sjouwerman著 2024年10月30日発信 https://blog.knowbe4.com/qr-code-phishing-is-growing-more-sophisticated