Trend Microのリサーチャーは、企業や組織はQRコードフィッシング(クイッシング)の脅威に注意する必要があると発表しました。
「フィッシングメールは、依然として組織に対する主要な攻撃ベクトルです。QRコードフィッシングは、ユーザーに個人情報や財務情報を提供させたり、マルウェアをダウンロードさせたりする最新のソーシャルエンジニアリングの一つです。この攻撃は経営幹部を標的としています。」
QRコードにはリンクテキストが含まれていないため、メールのセキュリティフィルターを回避して標的に直接到達できます。同じく、人もQRコードをスキャンするまで、その先のリンクを分析することはできません。
同社のリサーチャーは次のように述べています。
「クイッシングは、従来のセキュアメールゲートウェイ(SEG)を回避し、メールフィルタリングツールやID認証を回避できます。これにより、サイバー攻撃者は保護されているメールから安全性の低いモバイルデバイスに移行し、ユーザーの支払情報などの機密情報を詐取し、不正利用する可能性があります。例えば、メールに添付されたPDFや画像(JPEG/PNG)ファイルに隠された悪意のあるQRコードは、フィルタリングやフラグ付けなどのメールセキュリティ保護を回避できます。これにより、クリック可能なコンテンツが分析されることなく、ユーザーの受信トレイに送信されます。」
Trend Microは、QRコードに関する以下のレッドフラグに注意するようユーザーに呼びかけています。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、Trend Microの記事を参照してください。
原典:Stu Sjouwerman著 2024年7月29日発信 https://blog.knowbe4.com/qr-code-phishing-is-still-on-the-rise