身近になったQRコードを悪用するフィッシング詐欺の「QRフィッシング」が増加している。従来は、例えば、無線LANサービスのQRコードの上に不正なQRコードを貼り付け、危険な無線LANにアクセスさせるような攻撃として認知されてきた。しかし最近になって、QRコードを悪用するフィッシングメールが確認されており、今後はこのような攻撃が増加する可能性もある。
QRコードを用いたフィッシングメール
フィッシング攻撃の危険性は、かつてないほど高まっており、2023年11月発表のフィッシング対策協議会のレポートによると、同年10月の報告件数は過去最高を記録した。以前は、日本語が不自然なことなどにより気付きやすかったが、翻訳サービスや「ChatGPT」といった生成AI技術により高度化が進んでいる。こうした中、近年増加傾向にあるのが、QRコードを悪用したフィッシングメールだ。
同年2月発表のフィッシング対策協議会のレポートでも、フィッシングサイトのURLをQRコードにしてメールに埋め込んだフィッシングメールの報告が増加し、1000件以上の報告があった。メールセキュリティを手掛けるVadeの調査では、同年9月の7日間というわずかな期間に、2万600件のQRコードを使用したフィッシングメールを確認している。
今回は、Vadeが確認したQRコードを使用したフィッシングメールの実例を基に、その特徴を解説する。
最初のケースは、米国に拠点を置くマネージドサービスプロバイダー(MSP)の従業員が受信したメールだ。このメールには、「Microsoft」と「Microsoft Authenticator」のロゴとともに、「組織アカウントで多要素認証(MFA)が無効になりました。アカウントを安全に保つために、デバイスの指示に従って認証を再度有効にしてください」と書かれていた。
メールにはQRコードが表示されており、その中心にはMicrosoftのロゴがあり、上部にはユーザーにスマートフォンでQRコードをスキャンするよう促す注意書きも表示されていた。スマートフォンのカメラをQRコードにかざすと、URLが表示される。受信者がリンクをタップすると、セキュリティスキャンを装う違法なセキュリティのウェブページに誘導された。
このページでは、まずスキャンを実施する画面が表示される。しばらくすると、ページが更新され、安全検査に合格したことを示す緑色のチェックマークや「Success」という文字が表示される。さらにページが遷移し、今度は「Microsoft 365」のログインページが開かれる。これがフィッシングサイトであり、メールから誘導された人が本物と信じてしまい、IDとパスワードを入力してしまうと、その情報を攻撃者に盗まれてしまう。
盗まれたログイン情報は、攻撃者の間で売買されたり、攻撃に悪用されたりする。これは従来のフィッシング攻撃と変わりはない。QRコードを用いたフィッシング攻撃(QRフィッシングと呼ばれる)が、新しい攻撃手法として2023年5月頃に確認され、増加傾向にある。例えば、同年8月には、主に米国の大手エネルギー企業を標的とする大規模なQRフィッシングのキャンペーンを観測したと米セキュリティ企業が発表している。QRフィッシングは、今後さらに増加する可能性もある。