- 2023-12-19
近年急増するサイバー攻撃の中でも、特に注意が必要なものがフィッシング詐欺です。
フィッシング詐欺は、個人への被害だけでなく、民間企業や行政機関への被害など、
場所を選ばず、影響範囲が大きいことが特徴と言えます。
従来のフィッシング詐欺は、電子メール本文中に記載されたURLリンクや、添付ファイル内に記述されたURLリンクなどから詐欺サイトへ誘導し、個人情報を窃取したり、マルウェアをダウンロードさせる、などの手口が多いです。
スマホのSMSを悪用した「スミッシング」や、ソーシャルメディアプラットフォームに不正なURLリンクを含む投稿を行い被害を拡散させる手法なども馴染み深いのではないでしょうか。
これらは古典的なフィッシング詐欺手法と言えますが、
いま、QRコードを悪用した新しいタイプのフィッシング詐欺である「クイッシング」が登場しています。
「クイッシング( Quishing )」とは、文字通りQRコードとフィッシング詐欺を掛け合わせた造語です。
まずは、「クイッシング」の手口をいくつかご紹介いたします。
電子メールを悪用した「クイッシング」
「お支払い方法に問題があり、特典をご利用頂けない状況です。Webページが乗っ取られないようにするためにQRコードをスキャンしてください」
一見よくある通販サイトを騙ったフィッシング詐欺メールですが、従来のフィッシング詐欺との違いは、メール本文中にQRコードが表示される点です。これによりメールサーバの危険URLチェック機能を回避できます。さらに、メール閲覧者にスマホカメラのQRコードスキャナーで読み取らせることで、不審なURLリンクが目に触れにくくなり、フィッシングを怪しまれずに済みます。
そして、URLリンクにアクセスする媒体をスマホに切り替えさせることで、PC環境に備わっているWEBフィルターを回避し、フィッシング成功率を上げることができるのです。
上記の手口は、ETC利用照会サービスの支払い不備の警告を装うなど、様々なバリエーションを持っています。そのどれもがサービス停止を匂わせるなど、危機感をあおってくるような文章で巧みに詐欺サイトへ誘導します。
偽のマイクロソフトSharepointサイトへ誘導して、マイクロソフト資格情報を窃取するなど、組織への被害も発生しています。
ソーシャルエンジニアリングによる「クイッシング」
ソーシャルエンジニアリングとは、人間心理の隙を突いたサイバー犯罪です。
電話で関係者を装いパスワードを聞き出す、肩越しにパスワードなどキー入力を盗み見るなどを指しますが、ソーシャルエンジニアリングを利用した「クイッシング」が登場しています。
例として、
2021年、アメリカの複数の都市で、コインパーキングの精算機に対して、QRコードが何者かによって貼り付けられ、偽の支払いサイトに誘導するという事案が発生しています。
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/031500168/
似た例として、オランダでは「駐車場のゲートの支払い機が使えない」などと
偽の係員が嘘をついて、QRコードを提示して詐欺サイトへ誘導するなどが発生していますし、
中国では、自転車シェアリングで、利用者が料金を支払い自転車のロックを
解除するためのQRコードが偽のQRコードに上貼りされるなどの被害が出ています。
日本国内でも、自動販売機やトイレなどに寄付を求めるサイトに誘導する
QRコードが無断で貼られるなどのケースが出ています。
https://www3.nhk.or.jp/news/html/20230317/k10014010341000.html
国内の最新ニュースによれば、
大学案内に掲載されたQRコードや、会員向けダイレクトメールに記載されたQRコードにおいて、
不正なリンク先に転送されるなどの被害が出ているが、犯罪手口の詳細についてはまだ不明のようです。
https://www.sankei.com/article/20231129-UNCBQSNPJZGP7DE3YT2YMRGM6E/
「クイッシング」被害は詐欺サイトへ誘導され個人情報を窃取されるだけではありません。攻撃者は様々な罠を仕掛けます。
PCやスマホにマルウェアをダウンロードさせて、端末内の情報を窃取したり、遠隔操作を行います。また、不正なアプリをダウンロードさせて、SNSアカウントを乗っ取ったり、盗聴、盗撮を行うこともあります。
なぜQRコードが狙われるのか?
QRコードがフィッシング詐欺に悪用される理由は大きく4つあります。
・ポストコロナでの生活様式変容に伴い、非接触型決済が普及し、多くの人々にQRコード活用が浸透したこと
・パソコンやオフィス環境と比べて、一般的にスマホなどモバイル端末のセキュリティ対策が疎かになっていることが多いこと
・画像形式であるQRコードは、テキスト認識型の危険URLチェック機能を回避できるため、フィッシング成功率が上がること
・テキストベースのフィッシングURLと比較して、違和感を感じにくいこと
とある調査によれば世界のQRコードスキャンは2021年から2022年にかけて433%増加している、という統計結果が出ています。
https://www.qrcode-tiger.com/qr-code-statistics-2022-q1
サイバー攻撃者は時代に合わせてもっとも効果的な攻撃手法を編み出し、形を変えて攻撃を仕掛けてくるのです。
「クイッシング」への対応策は?
対応策はいくつか考えられます。
・街中に貼られたQRコードを安易に信用しない
・見慣れない発信元からのQRコードはスキャンしない
・信頼できる発信元であってもすぐにはスキャンせず、別の手段で発信元にQRコードのアクセス先を確認する
・スマホのQRコードスキャナに表示されるURLのスペルが間違っていないか確認する
・短縮URLを併用したQRコードもあるため、一見安全そうに見えるURLであっても注意する
・WEBサイト上での個人情報の入力時は、インターネット検索やブックマーク機能からアクセスする
・利用するWEBサービスに対して、多要素認証を有効にする
どれも明日から実践できそうな基礎的な対応策です。
今後「クイッシング」はどうなっていくのか?
根本的な対策として、画像認識OCRを搭載したQRコード対応メールフィルタ、AIによる危険メールの識別などが期待されていますが、
一般的な普及には至っていないのが実情でしょう。
「クイッシング」被害はまだしばらく続きそうです。一人ひとりができる対策を徹底することを心がけていきたいですね。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
サイアカについて