フィッシング攻撃のトレンドはQRコードと生成AI、手口を知って対応を

画像提供：マイナビニュース

Recorded Futureは7月18日(米国時間)、「Security Challenges Rise as QR Code and AI-Generated Phishing Proliferate｜Recorded Future」において、近年のフィッシング攻撃を調査分析したセキュリティレポートを公開した。2023年第3四半期から2024年第1四半期の調査では、QRコードと生成AIを悪用したフィッシング攻撃が急増しているとして注意を呼びかけている。セキュリティレポートは「(PDF) Security Challenges Rise as QR Code and AI-Generated Phishing Proliferate - Recorded Future By Insikt Group」から閲覧できる。

○QRコードと生成AIの悪用が増加

フィッシング攻撃はサイバー犯罪者や持続的標的型攻撃(APT: Advanced Persistent Threat)グループが初期アクセスを獲得するために使用する人気の手法とされる。企業はこの種の攻撃を回避するため、従業員教育、セキュリティソリューションの導入、多要素認証(MFA: Multi-Factor Authentication)の設定など、さまざまな対策を実施するようになった。

しかしながら、攻撃者もこのような対策を回避するため日々進化を続けており、近年は従来のセキュリティソリューションを回避して多要素認証トークンを窃取するようになったとされる。レポートによると、2023年第3四半期から2024年第1四半期において脅威アクターは、経営幹部を標的にして、次のような攻撃を増加させたという。

QRコードを悪用したセキュリティソリューションの回避
Amazon Web Services(AWS)のSimple Notification Service(SNS)の悪用
ビデオ広告配信テンプレート(VAST: Video Ad Serving Template)タグの武器化
大規模言語モデル(LLM: Large Language Model)の悪用

これらのうちQRコードの悪用は2021年と比較して2023年は433%増加。フィッシング攻撃はChatGPTに代表される生成AIの悪用により1,265%増加したとされる。
○対策