小売店、空港、バー、ホテルなどに蔓延する無害な白黒の QR コードは、誰も話題にしない脅威の表面だ。しかし攻撃者は、QR コードを携帯電話を乗っ取り、デジタル ID を盗むための完璧なトロイの木馬と見なしている。

マルウェアを配信したり、アカウントの乗っ取りを試みたり、ID を盗むフィッシングを仕掛けたりする QR コードを作成・配布することで、攻撃者は人々の信頼を利用している。ソーシャルエンジニアリングと一瞬で作成できる QR コードを組み合わせることで、攻撃者は被害者の銀行口座を開設して資金を流出させたり、マルウェアをインストールしたり、企業ネットワーク全体に侵入したりすることができる。

AI ネイティブのクラウドメールセキュリティプラットフォームのリーディングプロバイダ Abnormal Security は、メール内のQR コードを検知する機能を強化し、このサイクルを断ち切りたいと考えている。

Abnormal Security の CISO Mike Britton 氏は、次のように語った。

脅威が革新を続ける中、QR コードによる攻撃は増加の一途をたどっている。従来の電子メールによる攻撃とは異なり、QR コードには最小限のテキストしか含まれておらず、明らかな URL もないため、QR コードの検出は困難だ。このため、従来のセキュリティツールが分析できるシグナルの数が大幅に減少する。

QRコードの人気は、新型コロナウイルスの感染拡大が QR コードの急成長に拍車をかけ、さらに普及と信頼を促進する新たな用途が登場したことで急上昇を続けている。Instagram、Facebook、X（旧 Twitter）、その他多くのソーシャルメディアプラットフォームは、自分のプロフィールを友人と共有するために独自の QR コードを作成するオプションをユーザに提供している。ソーシャルメディアプラットフォームプロバイダーとって、この利便性と信頼の組み合わせは勝利であり、トラフィックの増加と広告収入の増加につながる。

ダークウェブや Telegram にQRコードが出現し、ハッカーたちが QR コードを使って攻撃を仕掛けるための解説動画を提供していることは、QR コードがいかに優勢になっているかを示す確かな兆候だ。ダークウェブで Ransomware as a Service を提供する犯罪組織は、最速のクリックを得るために QR コードのハイジャックについて言及し、攻撃者が電子メールやハイジャックされた Web サイトに QR コードを埋め込むことを示唆している。

攻撃者は、その信頼に素早く乗じる。消費者の4分の3以上（83％）が携帯電話の QR コードを使って請求書の支払いをしたことがあり、アメリカの QR コード利用者の80％が安全だと考えている。さらに64%は、QR コードを使用する方が、毎日行っているタッチレス取引の利便性が高いと回答しており、この習慣は新型コロナ感染拡大時にほぼ始まったものである。Ivanti によると、71％のユーザは正規の QR コードか悪意のある QR コードかを区別できず、17％は訪問するつもりのない不審なサイトにリダイレクトされた経験があるという。

QR コードは発信元がわかっているものだけをスキャンすべき

QR コードの利用は、2022年から今年にかけて43.2％増加すると予測されている。2023年には、約3億3,140万件の QR コードが利用されると予想されている。毎月、平均4万件の新しい QR コードが作成されている。

その利便性と親しみやすさから、QR コードは無害に見えるが、攻撃者はこの急成長する攻撃ベクトルを最大限に活用するため、その手口をよりクリエイティブなものに変えつつある。

QRコードは、信頼できるソースからのものである場合にのみスキャンされるべきだ。ハッカーは簡単に正規のQRコードを悪意のあるコードに置き換えることができる。

QRコードは人間が読めるものではないため、サイバー犯罪者は悪意のあるソフトウェアを埋め込んだ独自の QR コードを生成することで悪用することができる。

検知されずにユーザをフィッシングサイトに誘導することもできる。簡単に言えば、ハッカーは QR コードを使って不正に情報を入手し、アカウントを乗っ取り、IDやデータを盗むことができる。（Ivanti の製品管理担当副社長 Chris Goettl 氏）

QR コードは高度な攻撃の17%で主要な攻撃ベクトルとなっている

Abnormal Security はこのほど、顧客環境を標的とした高度な攻撃の17%において、QR コードが主要な攻撃ベクトルとなっていることを明らかにした。Abnormal Security では、クレデンシャルフィッシング、恐喝、請求書支払い詐欺攻撃を目的とした QR コードを使った攻撃が増加していると見ている。QR コードを使った攻撃は、攻撃者が広範な信頼を利用するために手口を拡大しているため、過去1年間で400%増加している。

さらに厄介な傾向も現れている。攻撃者は、悪意のある QR コードを配信するメールを作成し、一見合法的なウェブサイト（Google や Microsoft など）にリンクさせ、ユーザにログイン、パスワード、特権アクセス認証情報の入力を促す。

また、銀行、宅配サービス、政府機関など、信頼できるエンティティになりすまし、ソーシャルエンジニアリングのテクニックを使って被害者を QR コードのスキャンに誘い込むフィッシングメールが大幅に増加していることも指摘されている。被害者が QR コードをスキャンすると、悪意のあるウェブサイトにリダイレクトされ、認証情報を盗んだり、端末をマルウェアに感染させたりする。攻撃者の狙いは、銀行や金融機関、企業内の機密ネットワークにアクセスするための ID や特権アクセス情報をできるだけ多く取得することだ。

QR コード攻撃からの保護には、多層的な戦略が必要

CISO らは VentureBeat に対し、QR コードは脅威であることが証明されているため、QR コードから保護するためには多層的なアプローチが必要だと述べている。統合エンドポイント管理（UEM）と、典型的な電子メールパターンを識別して正常な動作のベースラインを確立できる AI ベースのプラットフォームを組み合わせることで、Abnormal Security は QR コードベースの侵入攻撃の猛攻撃を防ぐために複数の障壁を構築している。

Abnormal Security の新機能は、対応するリンクを解析し、悪意のあるコードを企業に送り込むために最も頻繁に使用される攻撃経路をターゲットにすることができる。AI プラットフォームは、解析から抽出されたシグナルを、より広範なメール環境にわたるAbnormal Security の行動解析と組み合わせることで、悪意のある活動を検知・ブロックする企業の力を強化する。

Abnormal Security のアプローチは、AI ドリブンのプラットフォームが各ユーザの典型的なメールパターンについて適応可能なモデルを構築し、正常な行動のベースラインを確立する点で注目に値する。これにより、見慣れない送信者アドレスや通常とは異なるフォーマットなど、QR コードを含むメールの異常を検出することができる。Abnormal Security はまた、QR コードを分析し、フォーマット、埋め込まれた URL リンク、ホスティングドメインからシグナルを抽出する。

統合エンドポイント管理は机上の空論

CISO らは VentureBeat に対し、UEM は QR コードのリスクや攻撃戦略を封じ込める上で、同程度の技術を持つ企業との利害の一致を意味すると語っている。IBM、Ivanti、VMWare は、QR コード攻撃がレーダーに映っていることを認める CISO が最も言及した UEM プロバイダであり、エンドポイント管理を使ってリスクに対抗している。

Ivanti は、UEMと パスワードレス多要素認証（Zero Sign-On）およびモバイル脅威防御（MTD）を組み合わせたアプローチで注目されている。VentureBeat の取材によると、Ivanti の顧客は、デバイスレベルのセキュリティ検証、ユーザコンテキストの確立、ネットワークの検証、脅威の検出と修復を行い、許可されたユーザ、デバイス、アプリ、サービスだけがビジネスリソースにアクセスできるようにすることができる。

QR コード攻撃を未然に防ぐことが目標

ある保険・金融サービス企業の CISO は最近、VentureBeat の取材に対し、インフラに対するQRコードのリスクは至る所に存在するため、UEM 戦略が不可欠だと語った。スキャンは、従業員の出張時、顧客やサプライヤのオフィスでの会議出席時、通勤時に発生するという。野放し状態での攻撃は、UEM が QR コード攻撃をシャットダウンする上で非常に重要だ。

Abnormal Security の新機能は、QR コード攻撃に対する CISO の防御をさらに強化する。電子メール攻撃戦略をシャットダウンすることで、1つの脅威サーフェイスを保護することができ、UEM はあらゆるデバイス上のQRコードに対するレイヤードプロテクションを提供するのに役立ちる。デジタル ID がダークウェブでベストセラーとなっている現在、CISO は QR コードが封じ込めなければならない現実の脅威であることを知っている。

【via VentureBeat】 @VentureBeat

【原文】