- 北朝鮮のグループ「Kimsuky」が、認証情報を盗むためにQRコードフィッシングを使用
- 攻撃はセッショントークンの窃取によりMFAを回避し、EDRの保護外にある管理されていないモバイル端末を悪用
- FBIは多層防御を要請:従業員教育、QRコード報告プロトコル、モバイル端末管理
北朝鮮は、米国政府機関、シンクタンク、学術機関を標的に、高度に洗練されたQRコードフィッシング、いわゆる「クイッシング(quishing)」攻撃を仕掛け、Microsoft 365、Okta、またはVPNの認証情報を狙っている。
これは、連邦捜査局(FBI)が最近新たなフラッシュレポートを公開し、進行中のキャンペーンについて国内外のパートナーに警告したことによる。
報告書によれば、「Kimsuky」として知られる脅威アクターが、QRコードを含む画像を添付した説得力のあるおとりメールを送信しているという。画像はスキャンや悪性判定がより難しいため、メールは保護を回避しやすく、人々の受信箱に届いてしまう。
セッショントークンとログイン認証情報の窃取
FBIはまた、企業のコンピューターは一般的に十分保護されている一方で、QRコードは携帯電話でスキャンされることが最も多く、通常のエンドポイント検知・対応(EDR)やネットワーク検査の境界外にある管理されていない端末であるため、攻撃が成功しやすいとも述べた。
被害者がコードをスキャンすると、複数のリダイレクターを経由させられ、ユーザーエージェント、オペレーティングシステム、IPアドレス、ロケール、画面サイズなど、さまざまな情報や識別属性が収集される。これらのデータは、その後、Microsoft 365、Okta、またはVPNポータルになりすました、カスタム構築の認証情報収集ページへ被害者を誘導するために使用される。
被害者が手口に気づかずログインしようとすると、認証情報は攻撃者の手に渡る。さらに、これらの攻撃はしばしばセッショントークンの窃取とリプレイで終わり、脅威アクターが多要素認証(MFA)を回避し、通常の「MFA失敗」アラートを発生させることなくクラウドアカウントを乗っ取れるようになる。
「攻撃者はその後、組織内で永続化を確立し、侵害されたメールボックスから二次的なスピアフィッシングを拡散する」とFBIはさらに述べた。「侵害経路が、通常のエンドポイント検知・対応(EDR)およびネットワーク検査の境界外にある管理されていないモバイル端末から始まるため、クイッシングは現在、企業環境において高い確度でMFAに耐性のあるID侵害ベクターと見なされている。」
Kimsukyの高度なクイッシング攻撃に対抗するため、FBIは「多層的」なセキュリティ戦略を推奨しており、従業員教育、疑わしいQRコードを報告するための明確なプロトコルの整備、QRコードに紐づくURLを分析できるモバイル端末管理(MDM)の導入などが含まれる。
