脅威アクターは、QRコードを介して配信される「クイッシング(quishing)」フィッシングを引き続き洗練させており、従来の画像ベースのペイロードから、メールのHTML内で直接レンダリングされる「画像なし(imageless)」QRコードへと移行しています。これは、QR画像のデコードに焦点を当てるセキュリティツールを回避することを狙った手口です。
QRコードの悪用は新しいものではありませんが、ユーザー体験が摩擦なく進むため、依然として有効です。すばやくスキャンするとモバイル端末でブラウザセッションが起動し、企業のエンドポイントやメール検査ワークフローの保護境界の外で行われることが少なくありません。
Cloudflareは、QRフィッシングが従来の防御をしばしば回避すると指摘しています。多くの制御はテキスト、リンク、添付ファイルの検査に最適化されている一方、QRコードは画像として届くことが多く、デコードされるまで「意味のない」ものに見えるためです。
最新の展開として、QR画像からURLをスキャンして抽出する防御側の進歩に対し、「画像」要素を完全に取り除く回避手法が用いられています。
攻撃者はPNGやJPEGを埋め込む代わりに、数百(あるいは数千)の小さなセルで構成されたHTMLテーブルを用いてQRコードを構築し、各セルに黒または白の背景色を割り当てます。
Proofpointも同様に強調しているように、QRコードはURLを一目で確認しにくくし、ユーザーの信頼に依存し、従来のリンクベースの検査の信頼性を低下させます。
フィッシング攻撃における画像なしQRコード
受信者から見ると、結果は依然としてQRコードのように見えます。メールクライアントのレンダリングによっては、わずかに歪んだり「押しつぶされた」ように見えることもありますが、スキャナーが解析できる従来の画像オブジェクトがメールに含まれていない可能性があります。
これは重要です。多くのQRに特化した検知は画像解析パイプラインとして実装されているためです。画像を検出し、QRパターンを特定し、デコードし、抽出したURLを評価します。
画像なしでテーブルレンダリングする手法では、これらのパイプラインが取り込める明確なビットマップが存在しない場合があります。
画像からQRコードをデコードする高度な防御であっても、まずQRコードが存在することを確実に識別する必要があります。しかし、「ピクセル」がHTMLのレイアウト要素として配信されると、そのシグナルは弱まる可能性があります。
12月下旬のフィッシングキャンペーンを分析した研究者は、メールが最小限で、数行のソーシャルエンジニアリング文とQRコードのみで構成されていたと報告しています。また、QRコードをスキャンすると、被害者は攻撃者が管理するドメイン上にホストされた認証情報収集(クレデンシャル・ハーベスティング)基盤へ誘導されたとのことです。
ランディングURLは受信者ごとに調整されており、これは一般的なフィッシングのパターンで、レピュテーション(評判)ベースの検知やインシデントの範囲特定を複雑にする可能性があります。
防御側は、QRが画像として表示されるかどうかにかかわらず、QRベースの誘導を第一級のフィッシング指標として扱うことを推奨しています。
QRコードセキュリティの将来
実務上は、埋め込まれたグラフィックを超えて見る制御を強化することを意味します。たとえば、異常なHTML構造(小さな色付きセルが密集したテーブルなど)をフラグ付けし、QRを想起させる不審な文言を送信者の評判と相関させ、モバイルブラウザから開始されるあらゆるログインに強力な認証を適用します。
Proofpointは、配信前ブロックと多層的な検査の重要性を強調しています。これには、エンコードされたURLの抽出やサンドボックスでの検証が含まれ、ユーザーがすでに操作した後の配信後クリーンアップのみに依存すべきではありません。
Cloudflareも、QRコード経由で移動した後に認証情報を入力しないよう助言しています。というのも、「罠」はスキャンが悪意のあるサイトに解決された後に作動することが多いためです。
より広い教訓はおなじみです。フィッシングは社会技術的な問題であり、攻撃者は防御ツールに組み込まれた前提を探り続けます。
画像なしQRコードが示すように、リスクがありそうに見えるものをスキャンするだけでは不十分で、防御側は「リスクのある」コンテンツが制御側の想定しない形で表現され得ることも見越す必要があります。
翻訳元: https://gbhackers.com/malicious-qr-codes/
