サイバー攻撃者は、メールサービスが悪意あるQRコードを遮断するために用いるセキュリティ手順を回避する巧妙な手口を考案しました。従来の画像ファイルを使うのではなく、HTMLコードだけで構成されたQRコードを拡散し始めたのです。その結果、これらのメールは無害に見え、背後にあるフィッシング攻撃を認識できないセキュリティシステムをしばしばすり抜けてしまいます。
SANS Technology Instituteの一部であるInternet Storm Centerのアナリストは、この新たなキャンペーンを特定しました。12月22日から26日にかけて、QRコードが従来の画像形式として添付されるのではなく、HTMLテーブルを用いて「描画」された一連のフィッシングメールを捕捉しました。
この手口は驚くほど効果的であることが示されています。現代の防御機構の大半は、画像内のQRパターンを精査するよう調整されていますが、このケースでは解析すべき正式な画像が存在しません。専門家は、この技術によって電子メール内での自動検知と分析を回避しやすくなると指摘しています。
メッセージ自体は際立って簡素で、数行の文章とQRコードのみで構成され、余計な情報は排されていました。受信者は、文書を確認して承認するという名目でコードをスキャンするよう促されました。見た目の体裁はもっともらしく、直ちに疑念を抱かせるものではありませんでした。
技術的には、QRコードの各「ピクセル」は35×35の単位で測られる個別のHTMLテーブルセルとして描画されていました。これらのセルの背景を黒または白に塗り分けることで、見慣れたパターンを表現しています。一般の観察者には概ね通常のコードに見えますが、縦方向がわずかに圧縮されていました。
コードをスキャンすると、被害者は認証情報を窃取するために作られた偽サイトへリダイレクトされました。基本的な発想自体はまったく前例がないわけではありませんが、実際の侵害活動での運用は、悪意あるコンテンツの配信方法について固定的な前提に依存することの危険性を浮き彫りにしています。
研究者らは、技術的な対策だけでは、特に技術的な回避とソーシャルエンジニアリングを組み合わせた攻撃に対して、あらゆる脅威を無力化するには不十分だと強調しています。この終わりのないいたちごっこの中で、攻撃者は常に新たな抜け穴を探し出し、そして実際に見つけ出します。HTMLベースのQRコードは、その最新の分かりやすい例にすぎません。
翻訳元: https://meterpreter.org/the-invisible-code-how-html-qr-codes-are-slipping-past-email-filters/
