サイバーセキュリティ企業 Netskope の新しいレポートでは、Microsoft Sway と CloudFlare Turnstile を悪用し、QR コードを利用してユーザーを騙し、Microsoft Office の認証情報をフィッシング プラットフォームに提供させる攻撃キャンペーンの詳細が明らかになりました。
これらの攻撃は、テクノロジー、製造、金融をはじめとする複数のセグメントにわたるアジアと北米の被害者を標的にしています。
キッシングとは何ですか?
QRコードは、スマートフォンでURLを入力することなくウェブサイトを閲覧したり、情報にアクセスしたりできる便利な方法です。しかし、QRコードの使用にはリスクが伴います。サイバー犯罪者がQRコードを悪用し、悪質なコンテンツに誘導する可能性があります。
「キッシング」と呼ばれるこのプロセスでは、QRコードをスキャンすることで、被害者を悪意のあるウェブサイトにリダイレクトしたり、有害なコンテンツをダウンロードするよう促したりします。サイトにアクセスすると、サイバー犯罪者は個人情報や金融情報を盗み出そうとします。QRコードの設計上、スキャン後にどこに誘導されるのかはユーザーが予測できません。
フィッシング対策会社StalkPhishの責任者、トーマス・ダモネビル氏は、TechRepublicに対し、クイッシングは「ますます流行している」とし、「非常に使いやすく、コンテンツが本物かどうかを確認するのが難しくなる」と語った。
Microsoft Sway による Quishing 攻撃
2024年7月、Netskope Threat Labsは、Microsoft Sway経由のフィッシングページへのトラフィックが2000倍に増加したことを発見しました。悪意のあるページの大部分はQRコードを使用していました。
Microsoft Swayは、Microsoft Officeの無料オンラインアプリで、ユーザーはプレゼンテーションやその他のウェブベースのコンテンツを簡単に作成できます。無料であるがゆえに、サイバー犯罪者にとって魅力的な標的となっています。
Netskope の研究者 Jan Michael Alcantara 氏が暴露した攻撃キャンペーンでは、被害者は Microsoft Office の資格情報を狙ったフィッシング詐欺につながる Microsoft Sway ページの標的になっています。
Netskopeの調査では、不正なリンクがどのように被害者に送られたかについては言及されていません。しかし、これらのリンクはメール、ソーシャルネットワーク、SMS、インスタントメッセージングソフトウェアを介して拡散される可能性があります。
最終的なペイロードは、同じ研究者による 2024 年 5 月の発表で公開された正規の Microsoft Office ログイン ページに似ています。
CloudFlare Turnstile を使用したよりステルス性の高い攻撃
CloudFlareのTurnstileは、報告されている攻撃キャンペーンで悪用されているCAPTCHAを置き換える無料ツールです。この正規のサービスにより、ウェブサイト所有者は必要なTurnstileコードをコンテンツに簡単に追加でき、ユーザーはCAPTCHAを解読する代わりに、確認コードをクリックするだけで済みます。
攻撃者の観点から見ると、この無料ツールは魅力的です。ユーザーがフィッシングページにリダイレクトされる前に、CloudFlare Turnstileをクリックする必要があるからです。これにより、最終的なフィッシングペイロードがオンラインURLスキャナーから隠されるため、攻撃者にとって検出に対する防御層が追加されます。
中間者攻撃フィッシング手法
従来のフィッシング手法では、通常、エラーページを表示したり、ユーザーを正規のログインページにリダイレクトしたりする前に、認証情報を収集します。この手法により、ユーザーは誤った認証情報を入力したと思い込み、不正行為に気づかない可能性が高くなります。
中間者フィッシングはより目立たない手法です。ユーザーの認証情報が収集され、すぐに正規のサービスにログインするために使われます。この手法は透過的フィッシングとも呼ばれ、不正な認証情報の窃取後、ユーザーはログインに成功するため、攻撃が目立ちにくくなります。
悪意のあるQRコードの検出の難しさ
「QRコードを自分の目で読むことは誰にもできません」とダモンビル氏は述べた。「適切なデバイス、つまりスマートフォンでしかスキャンできません。リンクが長すぎて、全部確認できない場合もあります。…でも、一体誰がリンクを確認するのでしょうか?」
QRコードは画像であるため、テキストのみに基づく検出は効果がありません。また、QRコードの真正性を検証するための標準的な規格も確立されていません。QRコードにはデジタル署名などのセキュリティメカニズムが一般的に実装されていないため、コンテンツの出所や整合性を検証することが困難です。
QR コードのフィッシングを防ぐにはどうすればよいでしょうか?
多くのQRコードリーダーはURLのプレビュー機能を提供しており、ユーザーはスキャン前にURLを確認できます。URLに少しでも疑わしい点があれば、QRコードを使用しないように誘導する必要があります。さらに、以下の点にも注意が必要です。
- ログインや情報提供などのアクションにつながる QR コードには疑いを抱き、慎重に分析する必要があります。
- セキュリティ ソリューションもフィッシング URL を検出できるため、役立つ可能性があります。URL は常にこのようなツールでスキャンする必要があります。
- 正当であると確信できない限り、QR コードを通じて支払いを行わないでください。
Microsoft Sway は、サイバー犯罪者がフィッシング ページをホストするために使用する可能性のある唯一の正規製品ではありません。
「GitHub、Gitbooks、Google Docsなど、正規のサイトやアプリケーションが、キッシングやフィッシングのホスティングに利用されているのを日常的に確認しています」とダモンビル氏は述べた。「市場に出回っているURL短縮サービスや無料ホスティングサイトも、URLを簡単に隠すために広く利用されていることは言うまでもありません。」
これは、ユーザーの意識を高める必要があり、従業員が疑わしい URL と正当な URL を区別できるようにトレーニングする必要があるという考えを改めて強調するものです。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
