北朝鮮政府のハッカーがQRコードを認証情報を盗む兵器へと変えつつあるとFBIが警告した。平壌のスパイは、企業のセキュリティをかいくぐり、クラウドのログイン情報を手に入れるための新たな手口を見つけているという。
FBIは、今週公開された勧告の中で、北朝鮮と関係のある「Kimsuky」グループが、巧妙に作り込まれたスピアフィッシングメールで送付されるQRコードの中に悪意あるURLを埋め込んでいると述べた。この手法は業界で「quishing(クイッシング)」と呼ばれるようになっている。
標的が仕掛けられたコードをスキャンすると(多くの場合、セキュリティチームがほとんど可視化できないスマートフォン上で)、Microsoft 365、Okta、またはVPNポータルを装った攻撃者運営のページへリダイレクトされ、そこで認証情報やセッショントークンが密かに盗まれ、後に多要素認証を回避するために再利用される。
FBIによれば、2025年を通じて確認されたこれらのキャンペーンは、シンクタンク、学術機関、そして北朝鮮政策、外交、国家安全保障に関わる米国および海外の政府機関を標的にしてきた。
メール自体は特に不穏には見えない――偽のイベント招待だったり、政策ペーパーへのコメント依頼だったりする。しかしQRコードをスキャンすると、攻撃者が管理するポータルに誘導される。そこから盗まれたログイン情報がネットワーク内にとどまるために使われ、場合によっては被害者自身のアカウントからさらにフィッシングメールが送られることもある。
クイッシングが特に危険なのは、防御側が頼りにしているセキュリティツールを回避できるためだ。URLの書き換え、サンドボックス解析、メールフィルタリングといったツールは、画像としてのQRコードを検査できない。さらに被害者が管理外デバイスでそれをスキャンしてしまうと、手遅れになるまでセキュリティチームが気づけない可能性がある。
連邦当局は組織に対し、従業員が正体不明のQRコードをスキャンすることをやめさせ、スマートフォンをエンドポイントとして扱わないふりをやめ、ユーザーがスキャンする前にQRリンクを検査できる制御を追加するよう促している。
QRベースの認証情報窃取の出現は、平壌のサイバー要員によるより広範なサイバー作戦のパターンに合致する。昨年、研究者はKONNIとして知られる別の長年のDPRK関連グループが、Googleの「Find My Device」機能を悪用して侵害されたAndroid端末を遠隔で工場出荷時設定にリセットし、諜報活動の証拠を消し去るとともに、ユーザーを端末から締め出していることを特定した。
KONNIは、北朝鮮政策ペーパーや政府の書式を装ったカスタムバックドアを展開していることも確認されており、Kimsukyを含む他のDPRK系グループとインフラが重複していると、セキュリティ企業Geniansは述べている。
いつものことだが、最も弱いリンクはゼロデイ脆弱性ではなく、人々が考えもせずに信頼してしまう日常的なものだ。四角いバーコードだけで十分だというわけだ。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/09/pyongyangs_cyberspies_are_turning_qr/
