北朝鮮の国家支援ハッカー集団Kimsukyが、米国の組織を標的とするスピアフィッシング・キャンペーンで悪意のある QRコードを使用していると、連邦捜査局(FBI)がフラッシュアラートで警告している。
確認された活動は、北朝鮮関連の政策、研究、分析に関与する組織を標的としており、非政府組織、シンクタンク、学術機関、戦略アドバイザリー企業、米国の政府機関などが含まれる。
フィッシングにQRコードを用いる手口は、「quishing」 としても知られており、新しいものではない。FBIは、サイバー犯罪者がこれを使って金銭を盗んだ際に警告していた が、依然として有効なセキュリティ回避手段である。
Kimsuky(APT43)は、国家支援の北朝鮮系脅威グループ であり、ハッカーがジャーナリストになりすました事例、既知の脆弱性を悪用した事例、サプライチェーン攻撃に依存した事例、そしてClickFix戦術など、複数の攻撃に関連付けられている。
FBIは、昨年のキャンペーンにおいて、Kimsukyに関連するアクターがQRコードを含むメールを送信し、被害者をアンケート、セキュアドライブ、または偽のログインページに偽装した悪意のある場所へリダイレクトさせたと警告している。
同局は、Kimsukyがquishingを用いて標的を攻撃者が管理する場所へ誘導した4つの例を提示した。
被害者をだますため、攻撃者は外国人投資家、大使館職員、シンクタンクのメンバー、会議の主催者を装った。
「2025年6月、Kimsukyのアクターは、存在しない会議への招待を装ったスピアフィッシングメールを戦略アドバイザリー企業に送信した」と、FBIは述べている。
quishing 手法
quishingキャンペーンでは、QRコードをスキャンした被害者は通常、攻撃者が管理するインフラを経由させられ、デバイスのフィンガープリント取得、ユーザーエージェント情報、オペレーティングシステム、IPアドレス、画面サイズ、ローカル言語の収集が行われる。
通常、被害者にはMicrosoft 365、Okta、VPNポータル、またはGoogleのログインページになりすましたフィッシングページが提示され、最終的な目的はアクセス認証情報 またはトークンを盗むことにある。
「quishing作戦は、セッショントークンの窃取とリプレイで終わることが多く、攻撃者は多要素認証を回避し、典型的な『MFA失敗』 アラートを発生させることなくクラウドIDを乗っ取れる」と、同局は指摘している。
標的にモバイル端末でQRコードをスキャンさせるため、脅威アクターは従来のメールセキュリティソリューションを回避でき、侵害された受信箱から悪意のあるメールを配信することも可能になる。
FBIは、これらの攻撃を「MFAに強いID侵入ベクター」 と説明している。これは、標準的なエンドポイント検知・対応(EDR)やネットワーク監視の外にある、管理されていないモバイル端末から発生するためだ。
これらの攻撃に対抗するため、FBIは、対象を絞った従業員トレーニング、QRコードの出所確認、モバイルデバイス管理の導入、多要素認証の徹底を推奨している。
同局は、この種の攻撃の標的となった場合、最寄りのFBIサイバー班またはIC3ポータルに直ちに報告すべきだとしている。
