「QRコード読み取り」におけるクイッシングとは

2023.11.17

「QRコード読み取り」におけるクイッシングの手口について説明します。クイッシング（Quishing）は、QRコードを利用したフィッシング攻撃の一種であり、攻撃者はQRコードを使ってユーザーを誘導し、通常はマルウェアをダウンロードさせたり、敏感な情報を提供させたりします。
以下にいくつかの実際のクイッシング攻撃の例を挙げます。

大規模なクイッシングキャンペーン

あるクイッシングキャンペーンは大規模で長期間にわたり行われており、攻撃のリズムやメッセージの誘引とドメインの変化を基に、非常に動的なキャンペーンであることが示されています。

偽の政府補助金の申請

攻撃者は文書を送り、それには中国語のテキストとQRコードが含まれていました。メッセージは中国の財務省から来たように見せかけ、受信者に新しい政府補助金を受け取る資格があることを伝えました。支払いを受け取るためには、ユーザーはモバイルデバイスを使用してQRコードをスキャンし、その後アプリケーションフォームにリダイレクトされ、個人および財務情報を提出するよう指示されました。

偽の配達サービスからのメール

ユーザーは配達サービスから来たように見せかけられたメールを受け取り、QRコードを通じて支払いを求められました。

駐車料金の支払いを詐称

Better Business Bureau（BBB）によると、攻撃者は駐車メーターに偽のQRコードを貼り付け、ドライバーが駐車料金を支払おうとするときに金融資格情報を共有するように欺くような詐欺が増えています。
BBBは、消費者がメール、テキストメッセージ、看板、ダイレクトメール、または政府の従業員や公共事業の従業員を装った犯罪者からさえもQRコードの詐欺に遭遇する可能性があると警告しています。

クイッシング攻撃は個人消費者だけでなく、企業とその従業員も対象としています。
特に、HPとAbnormal Securityの研究者が明らかにしたような、電子メールベースのQRフィッシングキャンペーンは、資格情報の盗難やマルウェアの配布を目的としてビジネスアカウントをターゲットにする可能性があります。

これらの攻撃を防ぐ最善の方法は、教育を受けたユーザーベースを持つことです。
企業は、未確認のソースからQRコードをスキャンしない、信頼できるソースからQRコードを受け取った場合は別の方法（テキストメッセージ、音声通話など）でメッセージが正当であることを確認する、などのベストプラクティスを含むセキュリティ意識向上トレーニングを提供する必要があります。

前の投稿

一覧

次の投稿