テクノロジーを簡単に言うと

クイッシング: QRコードフィッシング攻撃を回避する方法

特集画像: クイッシング (QRコードフィッシング) 攻撃

QRコードは、私たちの人々や製品との相互作用において不可欠な存在となっています。電話でのスキャン一つで、連絡先情報を交換したり、会場にアクセスしたり、オンライン商品のチェックアウトができます。しかし、その広範な使用はサイバー犯罪者を惹きつけており、偽の悪意あるQRコードを簡単に作成することで「クイッシング」と呼ばれる新たなフィッシング脅威を引き起こしています。ここでは、クイッシング攻撃に関するアドバイザリーと、自分を守るための実用的なヒントを提供します。

クイッシングとは何か?

クイッシング、またはQRコードフィッシングは、QRコードの便利さと人気を利用したサイバー脅威です。サイバー犯罪者は偽のQRコードを使用して、人々を偽のウェブサイトに誘導しようとします。その後、ログイン情報やパスワードのような個人情報にアクセスしようとしているか、デバイスにマルウェアをインストールしたり、財務情報を盗もうとしたりすることがあります。

Egressによると、2024年1月1日から8月31日の間に、少なくとも12%のフィッシング攻撃がQRコードを使用しており、2021年のわずか0.8%から急上昇しています。このクイッシングの大幅な増加は、QR技術の普及の増加を証明しています。さらに、ダークウェブ上のフィッシングキット「FishXProxy」などは、アカウント乗っ取り (ATO) 攻撃にQRコードを人気の選択肢として利用しています。

悪意のあるQRコードのスキャンは、ダークウェブを含むセキュリティ脅威を引き起こす可能性があります。

実際、クイッシング攻撃を実行するのは比較的簡単です。誰でもQRコードを生成できます。これらのコードは、フライヤー、ポスター、Tシャツ、リュックサック、そして従来のフィッシングツールであるメールやソーシャルメディアなど、ほぼどこにでも配置できます。ほとんどの人はQRコードを無害なものと見なしており、これらのコードにリンクされた偽のウェブサイトを訪れるときにのみ危険にさらされます。

QRフィッシングはどのように機能するか

QRフィッシングは、スマートフォンとQRコードの広範な使用を利用しています。ノートパソコンでもこれらのコードをスキャンできます。攻撃者は、悪意のあるウェブサイトやマルウェアファイルに誘導する、見かけ上正当なQRコードを作成するだけで済みます。

悪意のある目的を持つQRコードを作成するのは簡単ですが、人々にそれらの画像をスキャンさせることが課題となります。ここでソーシャルエンジニアリングが登場します。攻撃者は、さまざまななりすまし戦術を使用したり、報酬を約束したり、緊急性を作り出そうとします。その結果、さまざまな種類のクイッシング攻撃が進化しています。最も一般的なものには以下が含まれます。

1. QRLジャッキング

これは、最も直接的でありながら検出が難しいクイッシング攻撃の形態です。サイバー犯罪者は、QRコードを生成し、QRコードアクセスを必要とする正当なアプリに非常に似たウェブサイトにリンクしています。これにはWhatsApp、Discord、TikTok、あるいは銀行サイトが含まれることがあります。

QRLジャッキングによって偽のWhatsAppレプリカウェブサイトに誘導される様子。

私たちのほとんどは、実際のウェブサイトをエンコードした白黒のデータモジュールを検査しないため、騙されやすく、ログイン情報を漏らしてしまいます。攻撃者は、最近のサインイン情報をフィッシングサーバーにアップロードし、後でセッションを乗っ取る機会を得ます。幸いにも、二要素認証を有効にすることで、QRLジャッキング攻撃をほぼ実行不可能にします。多くのウェブサイトは、疑わしいログイン試行を監視し、適時警告を行います。

2. プレーンテキストQRフィッシング

プレーンテキストQRコードフィッシングの試みでは、攻撃者がメール、SMS、ソーシャルメディアチャットに有害なQRコードを埋め込みます。最悪の部分は、これらのコードが信頼された連絡先から送信されているように見えることです。攻撃者は、そのアカウントにアクセスを得ている可能性があるためです。

メール内に挿入されたプレーンテキストQRコードフィッシングで偽のAmazonアカウントに誘導される様子。

手口は明確です: 攻撃者は魅力的な報酬を約束するかもしれませんが、多くのユーザーはこのような戦術に警戒を見せています。あるいは、Amazonのようなサイトで疑わしいログイン試行があったと主張するかもしれませんが、実際には攻撃者がQRコードを通じてログイン情報をキャッチしようとしているのです。

3. フォームジャッキング

フォームジャッキングは、金融情報、例えばクレジットカードの詳細を盗むために使用される一般的な手法で、ユーザーを疑いのないウェブサイトに誘導します。ユーザーは直接支払い情報を送信することがありますが、その情報はページ上の悪意のあるスクリプトによって盗まれます。

また、ユーザーはしばしば、報酬を約束された調査のように偽装されたフォームに記入するよう求められ、誕生日や出生地、母親の名前などのセキュリティ質問への回答を収集されることがあります。

大画面に表示された可能性のあるフォームジャッキングの脅威。

このタイプのサイバー脅威は減少傾向にありましたが、ほとんどのユーザーが悪意のあるフォームサイトに対して注意深くなったためです。しかし、最近のQRコードの普及により、これらのサイトに正当性が与えられ、フォームジャッキングの脅威が復活しています。

4. その他のQRフィッシングの試み

予期せず遭遇する可能性のある他のQRフィッシングの試みもいくつかあります。これらの手法に対して常に警戒し、意識しておくことが重要です。

  • マルウェアQRフィッシング: これらのQRコードは、マルウェアを含むウェブサイトに誘導したり、悪意のあるトロイの木馬やルートキットのダウンロードを開始させたりします。目的は、システムのリソースに無断でアクセスすることです。ファイアウォールやメールとウェブの保護、フィッシング防御機能を持つウイルス対策ソフトウェアを使用することで、これらの脅威から守ることができます。
  • クリプトQRフィッシング: これらのツールは、ダークウェブ上で広く入手可能です。無防備なユーザーを訪問して無害に見えるウェブサイトに誘導し、その後、検出されない悪意のあるスクリプトを注入します。これにより、ユーザーの同意なしに暗号通貨を採掘するためにターゲットシステムを利用します。その結果、ユーザーはPCのパフォーマンスが遅くなり、頻繁に再起動されるなどの問題が発生することがあります。
  • マクロベースのQRフィッシング: 今日では比較的一般的ではありませんが、Excel、Word、PDFドキュメントにマクロを埋め込む昔の手法がQRコードのひねりを加えられています。しかし、そのようなファイルは、最新のウイルス対策ソフトウェアや更新されたスマートフォンを持つデバイスで自動的にブロックされるべきです。

なぜクイッシング攻撃の被害者になるのはこんなに簡単か

QRコードフィッシングの試みの被害者になるのは比較的よくあることです。詐欺師がこの欺瞞的なツールを成功裏に使用する理由と、これらの脅威に対する警戒を高める必要がある理由をいくつか紹介します。

  • QRコードへの暗黙の信頼: QRコードのスキャンは比較的新しくトレンディな技術であり、多くのユーザーは潜在的な脅威への認識が不足しているため、内在的に信頼しています。QRコードがフィッシングの試みのほぼ12%を占めていることを忘れないでください。QRコードを盲目的に信頼するのは過去のことです。
  • ブランドのなりすましが容易: Telegram、WhatsApp、TikTok、Amazonなどの人気ブランドを偽装するのは簡単です。ほとんどのユーザーはURLが正当であるか確認しません。例えば、「AmazonAws.com」のようなサイトは信頼できるように聞こえるかもしれませんが、実際にはAmazonやAzureとは何の関係もない悪意のあるウェブサイトです。これにより、詐欺師は特定の状況で優位に立ちます。
  • 見えないリンク: ほとんどのユーザーは短縮URLや見知らぬリンクを訪問することに注意を払いがちです。しかし、QRコードでは、これらのリンクは見かけ上正当に見える画像の背後に隠されています。これにより、本来訪問すべきではないリンクに対する不当な信頼感が与えられます。

クイッシング攻撃を回避する方法

QRコードは、ビルボード、封印された封筒、衣類、アクセサリー、ウェブやソーシャルメディアに至るまで広がっています。これらのコードの中で悪意のあるリンクを含むものはごく一部ですが、被害者になることが避けられないように感じることがあります。しかし、そうなる必要はありません。以下の予防策を講じることで、クイッシング攻撃から安全を保つことができます。

  • 信頼できるソースのみを利用: レストラン、ショッピングモール、コンサート会場などで目立つ場所に表示されたQRコードは、正当なものの可能性が高いです。これらのQRコードは広く公共用に用意されていることが明らかです。対照的に、メール、ソーシャルメディア、そしてランダムなウェブリンクから受け取ったQRコードは、より多くの確認が必要です。
  • 不明なQRコードを避ける: フライヤー、パッケージ、その他の場所で非常に簡単に遭遇することがある、あなたの仕事にあまり価値を加えないランダムなQRコードをスキャンしないようにしましょう。
  • クリックする前にQRコードをプレビューする: ほとんどのQRスキャンアプリは、クリックする前にQRコードをプレビューすることができます。リンクが疑わしい場合は、その衝動に流されないようにしましょう。
  • 二要素認証を有効にする: 二要素認証を使用することは、人気のあるアプリやウェブサイトに対するクイッシングの試みに対して強力な防壁になります。
  • 常に意識しておく: QRコードフィッシング詐欺が重要なセキュリティ脅威として浮かび上がる中で、最新のサイバーセキュリティニュースを把握しておくことで、新しい脅威のバリエーションについての貴重な洞察を得ることができます。

このガイドでは、クイッシングとは何か、そしてクイッシング攻撃から自分を守る方法を学びました。この攻撃はフィッシング攻撃の一形態に過ぎません。他にも、多くの攻撃パターンが存在します。たとえば、ブラックフライデーの買い物客をターゲットにした攻撃などです。また、Amazonプライムデーの詐欺にも注意が必要です。

画像提供: DALL-E 3. すべての写真とスクリーンショットはSayak Boralによります。

内容

  1. クイッシングとは何か?
  2. QRフィッシングはどのように機能するか
  3. 1. **QRLジャッキング**
  4. 2. プレーンテキストQRフィッシング
  5. 3. フォームジャッキング
  6. 4. その他のQRフィッシングの試み
  7. なぜクイッシング攻撃の被害者になるのはこんなに簡単か
  8. クイッシング攻撃を回避する方法
Ello-dashboardprofile

Ello: プライベートソーシャルネットワークの探求

Bitdefenderがインストールされない:使用できる3つの簡単な解決策

Bitdefenderの修正についてもっと知る

GoogleがInboxを終了し、6ヶ月の猶予を与える

アスペクト比-16x9

ビデオのアスペクト比を理解する

タグでファイルを整理するファイルマネージャー:トップ5

Wake on LANが動作しない修正

Wake On LANがWindowsで動作しない [解決済み]

easycap-mac-mspacman-console

EasyCAPを使用してMacでVHSとコンソールをキャプチャする

GoogleはWindows 11アップグレードの適格性を判断する新しいChrome機能をテスト中