チェック・ポイント、ASCIIコードをベースとする新たなQRコードフィッシングの手法を発見
PR TIMES / 2024年6月25日 14時15分
OCRエンジンによる検知を回避する、HTMLで作成されたQRコードの登場に警鐘。時代はQRコードフィッシング3.0へ
AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、 NASDAQ:CHKP、以下チェック・ポイント)は、ASCIIコードをベースとしてHTMLによって作成されたQRコードを用いる新たなQRコードフィッシング(通称クイッシング、Quishing)の手法を発見しました。このQRコードは従来の画像によるQRコードと異なり、ASCIIコードをベースとしたHTMLで作成され、OCRによる検知を免れることから、さらなる注意が必要です。
急速に進化するQRコードフィッシングの脅威
QRコードフィッシングの脅威が、急速な進化を続けています。その急増は昨年8月頃に初めて確認されましたが、以降、QRコード攻撃のタイプにも変化が確認されています。
[画像1: https://prcdn.freetls.fastly.net/release_image/21207/305/21207-305-dd53b6ef8cfaf2fd50d78364c3c5db47-634x354.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
この攻撃手法は、当初、標準的なMFA認証リクエストから始まり、その後、条件付きルーティングやカスタムターゲティングへと進化しました。そして現在目の当たりにしているのは、QRコードの操作という新たな進化です。
Harmony Emailに関わるチェック・ポイントのリサーチャーが発見した新たなキャンペーンでは、QRコードが画像ではなく、HTMLとASCII文字で作成されていました。5月下旬には600通を超える同様のメールが確認されています。
電子メールの実例
メールに含まれていたのは、以下のようなQRコード(画像1)で、通常のQRコード(画像2)との違いを見極めるのは非常に困難です。
[画像2: https://prcdn.freetls.fastly.net/release_image/21207/305/21207-305-8405313d5c630ed777699f8d3e165fab-344x300.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
(画像1)フィッシングに含まれていたQRコード
[画像3: https://prcdn.freetls.fastly.net/release_image/21207/305/21207-305-ca182c0b537a58a41d8c93ac119f4f9c-236x306.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
(画像2)通常のQRコード
非常に微妙な違いですが、従来フィッシングに使用されたQRコードは画像であるのに対し、新しく利用されたものはHTMLで作成されており、問題はその点にあります。こうしたQRコードはOCRエンジンの回避を目的として、ASCII文字で生成されています。このHTMLを細かく見ると、以下のようになっています。
[画像4: https://prcdn.freetls.fastly.net/release_image/21207/305/21207-305-ea9d1af94ce301a652af6ff72aeefc2c-848x620.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
脅威アクターの基本的な手法は、HTMLの中に小さなブロックを配置するというものです。メール上ではQRコードのように表示されますが、一般的なOCRはこれを認識できません。ウェブ上には、脅威アクターがこうしたものを自動的に生成し、さらに悪意あるリンクを含むよう設定することを可能にするサイトが存在しています。
以下は別の例です。
[画像5: https://prcdn.freetls.fastly.net/release_image/21207/305/21207-305-a8bcf121fe9988678a5812bfc9769655-992x440.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
多くのQRコードフィッシング攻撃と同様、このフィッシングメールは再認証リクエストに関連しています。しかし、このQRコードはASCII文字をベースとしているため、セキュリティシステムの見落としを誘い、クリーンで無害な電子メールと見なされる可能性があります。
進化する攻撃の手口 - QRコードフィッシング3.0
攻撃の形態は総じて進化するものであり、QRコードフィッシングも例外ではありません。しかし、これほど急速な進化は、極めて類例のない事態です。
QRコードフィッシングは当初、標準的なMFA認証コードから始まりました。これは非常に単純なもので、MFAの再設定や、あるいは「退職金制度401kへの年間給与天引き額」といった財務データの確認などの理由で、ユーザーにコードをスキャンするよう求めるものでした。
第二の形態であるQRコードフィッシング2.0は、条件付きルーティング攻撃でした。この攻撃に用いられるリンクは、ユーザーがそのリンクと関わりを持っている場所を確認し、それに応じて調整を行います。ユーザーがMacを使用している場合にはそれに合わせたリンクが表示され、Android端末を使用している場合は別のリンクが表示されるという形です。カスタムQRコードキャンペーンでは、ハッカーが動的に企業ロゴと正確なユーザー名を表示させていることが確認されました。
そして現在直面しているのは、データ操作キャンペーンとして出現したQRコード3.0です。これは従来のQRコードとは異なり、テキストベースで描写されたQRコードであり、OCRシステムによる確認と検出を極めて困難なものとしています。
QRコード3.0はまた、脅威アクターがいかに現在の情勢に対応しているかの表れでもあります。これまでに、実質的にあらゆるメールセキュリティベンダーが、新たなQRコードプロテクションの導入を大々的に発表しました(Check Point Harmony & CorrabolationHECは2019年から導入)。その多くが何らかの形でOCRを使用しており、ハッカーはそれを踏まえてキャンペーンを適応させています。
このサイバーセキュリティにおける追いつ追われつには終わりがありません。ハッカーが悪用可能な何かを見つけ、サイバーセキュリティの防衛側はその解決策を見つけます。それが延々と続いていくのです。こうした繰り返しはあらゆる攻撃形態において起こることであり、QRコード攻撃でも変わりはありません。
ベストプラクティス:ガイダンスと推奨事項
これらの攻撃から身を守るために、セキュリティの専門家に推奨される対策は以下の通りです。
- メールに埋め込まれたQRコードを自動的に解読し、悪意あるコンテンツの存在に関してURLを分析するセキュリティの導入
- メール本文に埋め込まれたQRコードを書き換え、安全なリンクに置き換えられるセキュリティの活用
- 高度なAIを活用してフィッシングの兆候を示す複数の指標を調べるセキュリティの導入
本プレスリリースは、米国時間2024年6月12日に発表されたブログ(英語)をもとに作成しています。
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( https://www.checkpoint.com/ )は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( https://www.checkpoint.com/jp/ )は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
チェック・ポイント・ソフトウェア、AI駆動のWAFaaSを発表 クラウドアプリケーションのセキュリティを簡素化するフルマネージドソリューション
PR TIMES / 2024年6月24日 12時45分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
チェック・ポイント、セキュリティ対策のオートメーションを提供するInfinity PlayblocksによってDDoS Protectionの機能を拡張
PR TIMES / 2024年6月13日 14時15分
-
チェック・ポイント、生成AIの活用に関する独自調査結果を公開
PR TIMES / 2024年6月7日 17時15分
-
チェック・ポイント、AWSとの戦略的協業契約を締結 クラウドセキュリティの機能拡大を通じ企業への支援を強化
PR TIMES / 2024年6月4日 15時45分
ランキング
-
1「クレカタッチ」は交通系ICカードを駆逐するのか 熊本で「全国相互利用」離脱、一方で逆の動きも
東洋経済オンライン / 2024年6月29日 7時30分
-
2バナナは「太くてまっすぐ」が大当たり…フルーツ研究家が教える「バナナの正しい保存方法」
プレジデントオンライン / 2024年6月28日 9時15分
-
3「東京チカラめし」が東京で再始動 今度はどう売っていくのか
ITmedia ビジネスオンライン / 2024年6月28日 6時5分
-
4LINE、分離26年3月に完了 情報流出、システムの計画前倒し
共同通信 / 2024年6月28日 17時29分
-
5【速報】「いまになって何を言い始めているんだ」「小林製薬だけに任せておくわけにはいかない」と厚労相が怒りをあらわに “紅麹サプリ”問題で「摂取後に死亡疑い」76事例が調査中と小林製薬が明らかに 27日まで報告せず
ABCニュース / 2024年6月28日 16時14分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)