QRフィッシングとは?QRコード詐欺の発見と防止方法

ブログ

QRフィッシング(クイッシング)は、悪意のあるQRコードがフィッシングサイトやマルウェアへ誘導する脅威が増加しています。その仕組みと安全対策について学びましょう。

byアホナ・ルドラ

最終更新日:
読書時間 6
QRフィッシングとは?QRコード詐欺の発見と防止方法
目次-

クィッシングまたはQRコード フィッシングは、サイバーセキュリティの長い脅威の中で最新のものである。ばかばかしいと思われるかもしれないが、金銭、時間、そして企業の評判の損失を防ぐことができるため、そのことに気づいておくことは有益である。

メニュー、街頭ポスター、アプリ、企業のウェブサイトなど、QRコードはいたるところにある。ユーザーがカメラを使ってQRコードをウェブリンクのようにスキャンしてウェブサイトにアクセスできるため、人気がある。 

ユーザーにとって簡単なものは、サイバー犯罪者にとっても悪用しやすい。このような悪意のある関係者は、QRコードを使ってユーザーを思っているのとは違うウェブサイトに転送し、個人情報をハッカーに公開する。 

この記事では、サイバー犯罪者がQRコードを悪用してフィッシング攻撃を行う手口を説明します。一般的な手口、実際の事例、防止策、サイバーセキュリティのベストプラクティスなどを取り上げます。

主なポイント

  • QRフィッシング(Quishing)は、QRコードを悪用してユーザーを悪意のあるサイトに誘導し、認証情報を盗んだり、マルウェアをインストールさせたりする。
  • 攻撃者は、電子メール、ポスター、ウェブサイト、請求書などに悪意のあるQRコードを偽装し、被害者を騙してスキャンさせる。
  • よくあるキッシング詐欺には、偽のログインページ、アンケート、駐車場や支払いのQRコード詐欺などがある。
  • QRフィッシングは、QRコードに視覚的な識別要素がなく、モバイルのセキュリティが弱いことが多いため、発見が難しい。
  • 攻撃を防ぐには、ユーザーの意識を広め、QRコードスキャンアプリを使い、多要素認証(MFA)を有効にすることが重要だ。
  • 組織は、QRフィッシングの脅威を認識し、軽減するために、サイバーセキュリティ・ソリューションと従業員トレーニングを実施すべきである。

QRフィッシングとは?

QRフィッシング(Quishing)とは、ハッカーがQRコードを使って、ユーザーがコードをスキャンしたときにアクセスすると思っていたサイトではなく、悪意のあるサイトや詐欺サイトにユーザーをリダイレクトさせることです。ユーザーがリダイレクトされるサイトは、悪意のある第三者がユーザーから認証情報や銀行口座情報などの情報を盗んだり、悪意のあるソフトウェアをインストールして他の情報を盗んだりするために使用するサイトです。 

QRコードをコピーして悪意のあるコンテンツを探すのは、従来のURLをスキャンするよりも複雑であるため、クッシング攻撃は従来のフィッシング攻撃よりも検知が難しい。そのため、フィッシング詐欺師よりもクイッシング詐欺師を捕まえる方が難しいのだ。 

QRフィッシング攻撃の仕組み

QRフィッシングの仕組みを正確に知ることで、フィッシングへの対処法を理解し、顧客の安全を守ることができます。まず、Quishingのステップ・バイ・ステップと一般的な攻撃シナリオをご覧ください。

QRフィッシング攻撃のステップ・バイ・ステップの内訳

クィッシングがどのように機能するのか、具体的に検証してみよう。

クィッシングのステップには以下のようなものがある:

  1. 悪意のあるQRコードの作成:ハッカーは、元のQRメーカーの代わりにハッカーに利益を与える不正なウェブサイトへのリンクを含む悪意のあるQRコードを作成する。 
  2. 電子メール、ポスター、ウェブサイト、メッセージに配置する:QR詐欺師はQRコードを配布し、オリジナルのQRコードの上に重ねるため、被害者は詐欺コードをスキャンしていることに気づかない。 
  3. 被害者がスキャンすると、フィッシング・サイトやマルウェアのダウンロードにリダイレクトされる:このような場合、QRコードには本物と見分ける特徴がないため、被害者が偽のQRコードであることを見分けることは不可能である。 

一般的なキッシング攻撃のシナリオ

多くの攻撃シナリオは、QR詐欺師がQRコードを使って被害者に仮想の罠を仕掛けることで発生する。 

最も一般的なキッシング攻撃のシナリオには以下のようなものがある:

  • 偽のログインページ(銀行、電子メール、会社のポータルサイトなど):詐欺師は、銀行や企業のポータルサイトなど、ハッカーが求める機密情報を持つ顧客がいるウェブサイトのオリジナルとほとんど同じように見えるログインページを作ることがよくあります。
  • インセンティブ付きの偽の顧客アンケート 誰でも簡単なアンケートに答えて簡単に儲けたいと思うものだが、詐欺師はこの欲求を利用して情報を盗む。詐欺師はこの欲求を利用し、情報を盗みます。被害者は金儲けの欲求に負け、自分の詳細情報を記入し、ハッカーが合法的な企業の代わりに情報を受け取ります。
  • 偽の駐車場・支払い請求書にQRコード:駐車料金や請求書を受け取ったことがあるだろうか?多くの人が経験したことがあると思うが、こうした偽のQRコードは、罰則や懲役刑を避けるために請求書や駐車違反金を支払わなければならないという人々の切迫感を利用している。このような緊急性は、詐欺師による搾取につながり、詐欺師はお金を盗むために使用する銀行情報を受け取る。
  • ビジネスアプリの偽QRコード:ビジネスもQR詐欺と無縁ではない。悪意のある者は、正規のQRコードに自分たちの偽のQRコードを重ねることができる。 アプリのようなものだ。詐欺師は従業員の情報を入手し、会社のデータにアクセスできる可能性がある。

QRフィッシングが危険な理由

QRフィッシングは多くの人を引っかけているようですが、本当に危険なのでしょうか?短い答えはイエスだ。 

クイッシングは発見が難しいため、被害者は年間数百万ドルの損害を被る可能性がある。人々はQRコードを信頼し、モバイル機器のセキュリティは弱く、ハッカーは、この世代のハッカーから保護するための設計プロファイルを持たない従来の電子メール・セキュリティ・フィルタを通過することは容易である。 

世界のサイバー犯罪の被害額は 兆ドルに達しに達しており、sQuishingのような新たなサイバー犯罪の導入により、今後も増加する可能性が高い。現在、サイバー犯罪は企業や顧客に莫大な損害を与えており、これを防止するための対策を講じる価値がある。

QRフィッシング攻撃の実例

クィッシング攻撃について学ぶのも一つの方法だが、それが企業に与えた影響について耳にしたとき、初めてそのことが実感されるだろう。 企業と地域社会にどのような影響を及ぼしているのか、実例を挙げて説明する。その最初の例は、17,000ドルを失った不幸な個人である。

QR詐欺で1万3000ポンドを失う

2023年11月、イギリスのニューカッスルに住む71歳の女性がQRコード詐欺の被害に遭った。 $17,000.悪意ある者は、駐車場の標識にある公式のQRコードの上に偽のQRコードを重ねて詐欺を行う。

当初、彼女が詐欺サイトに銀行情報を入力したところ、銀行が取引を停止したため、この女性のお金は安全だと思われた。残念なことに、詐欺師は別の手口を使っていた。銀行員のふりをして、彼女に9,500ドルのローンを組むよううまく勧めたのだ。その後、悪意のある者は素早く行動し、彼女の銀行情報を変更し、新しいカードを手に入れ、オンライン口座を開設した。 

自治体が出した結果は、トランスペナイン・エクスプレスのすべての駐車場からQRコードをすべて削除するというものだった。

このような事故は、上記の例に見られるように、数千ドルもの貯蓄を取り戻すのは至難の業であるため、発生後何年にもわたって個人に影響を与える可能性がある。 

QRフィッシングから身を守るには

QRフィッシング詐欺は卑劣で発見が難しい。良いニュースもある。まだ防ぐことは可能です。 

これらのベストプラクティスと技術的なセキュリティ対策に従って、QRフィッシング攻撃からあなたとあなたの組織を守りましょう:

ユーザー意識とベストプラクティス

まず、QRコードの出所を常に確認する必要がある。専用のアプリを使うこともできるが、QR詐欺師は卑劣なので、QR認証アプリが本物であることを確認してからインストールして使おう。詐欺師はデータにアクセスするために偽アプリを作ることもあるからだ。 

次に、リンクを開く前にQRコードをスキャンするアプリを使う。このベストプラクティスは、どこに向かっているのかわからないときにリンクを開くのを防ぐ。 

最後に、情報源に疑問がある場合は、QRコードをスキャンせず、スキャンする前にそれを確認すること。 

技術的なセキュリティ対策

組織、特に企業であれば、以下のような個人よりも失うものが多い。 従業員データ、数百万ドル、会社の評判への回復不能なダメージなどです。

QRフィッシング攻撃を避けるために、ログインに多要素認証(MFA)を導入する。この方法は、ログインするたびにユーザーの携帯電話にコードを送信するもので、QRコード詐欺師を別のセキュリティ層で防ぐことができる。

第二のアプローチは、QRフィッシング詐欺を検出する機能を備えたサイバーセキュリティ・ソリューションを使用することである。この機能により、この脅威から身を守ることができる。 

最後に、従業員がQRフィッシング詐欺のようなソーシャル・エンジニアリングの脅威を学び、効率的に検知・回避できるようにするためのトレーニングを実施する。 

巻末資料

QRフィッシングは、個人に金銭的な損害を与え、データに損害を与え、組織の評判を傷つける可能性があるため、危険である。 

QRコードはより複雑で、正当性をスキャンするのが難しいため、従来のフィッシング詐欺と比べてQRフィッシング詐欺を発見するのは困難です。幸いなことに、QR事前スキャンアプリ、多要素認証、ソーシャル・エンジニアリングの脅威に関する従業員トレーニングなど、特定の対策を講じることで、こうした攻撃を減らすことができます。

これらの対策と実践に従えば、ほとんどのQRフィッシングの脅威を回避し、従業員とあなた自身を損失から守ることができる。

CTA

最新記事 by Ahona Rudra(全て見る)
最終更新日:
Microsoft Office 365やOutl...マイクロソフト・アウトルック・パワードマーク顧客向けSPF、DKIM、DMARCの設定方法.ioCustomer.ioのSPF、DKIM、DMARCの設定方法