チェック・ポイント・ソフトウェア・テクノロジーズ(チェック・ポイント)は、HTMLとASCII文字で作成されたQRコードを用いる、新たなQRコードフィッシング(クイッシング)の手法を発見した。
チェック・ポイントのリサーチャーが600通以上の類似メールにより、5月下旬にこの手法を確認した。従来のQRコードとは異なり、画像ではなくHTMLとASCII文字で構成されているが、視覚的な判別は困難だ。
チェック・ポイントでは、この攻撃から組織を守る対策として、以下の3点を推奨している。
- メールに埋め込まれたQRコードを自動解読し、URLを分析するセキュリティ対策の導入
- メール本文内のQRコードを安全なリンクに書き換えるセキュリティ対策の活用
- 高度なAIでフィッシングの兆候を検知するセキュリティ対策の導入
急速に進化するQRコードフィッシングの脅威
QRコードフィッシングの脅威は急速に進化しており、2023年8月頃から急増。当初は標準的な多要素認証(MFA)リクエストを利用したものだったが、その後、条件付きルーティング、カスタムターゲティングへと進化し、現在はQRコード操作へと発展している。
HTMLで作成されたQRコード
今回発見されたフィッシング用QRコードは、ASCII文字で生成されており、光学文字認識(OCR)エンジンの脅威検出を回避する。攻撃者はHTML内に小さなブロックを配置し、メール上ではQRコードのように表示させるが、一般的なOCRでは不正を認識できない。
このASCIIコードベースのQRコードは、セキュリティシステムの検知をすり抜け、無害なメールと誤認される可能性がある。
チェック・ポイントは、この新たな脅威を「QRコード3.0」と呼んでいる。多くのメールセキュリティベンダーが新たなQRコード保護策を導入しているが、ハッカーはOCRの利用を逆手に取り、攻撃手法をユーザー環境に適応させていると指摘している。
