北朝鮮のサイバー攻撃者は、認証情報の流出を促進し、企業のセキュリティ境界を回避するためにQRコードの活用を強化している。FBIは正式な警告を発出し、この新たな戦術を、米国の情報機関が朝鮮民主主義人民共和国(DPRK)に関連する組織と位置付ける脅威グループ「Kimsuky」によるものだと指摘した。
この戦術的進化は、「クイッシング(quishing)」として知られるQRベースのフィッシングの変種を伴う。これらの侵入では、有害なハイパーリンクはメッセージ本文に埋め込まれるのではなく、QRコードの中に隠蔽される。犯行者は精巧に作り込まれた文面を拡散し、受信者がスマートフォンでコードを読み取る可能性に賭ける――スマートフォンはしばしば、集中管理された企業セキュリティ監視の対象外に置かれている端末である。
読み取り後、被害者はMicrosoft 365、Okta、または企業VPNゲートウェイなどの一般的なプラットフォームを模倣する偽の認証ポータルへ誘導される。入力された認証情報や有効なセッショントークンは、後の悪用のために密かに傍受され、しばしば多要素認証(MFA)の突破を可能にする。
FBIの記録によれば、これらのキャンペーンは2025年を通じて継続し、主に米国内外のシンクタンク、学術機関、政府機関または準政府機関――とりわけ北朝鮮関連、外交政策、国家安全保障に従事する組織――を標的としていた。メッセージ自体は驚くほど本物らしく、イベント招待、分析資料へのコメント依頼、あるいは業務上の問い合わせを装う。偽装が明らかになるのは、ユーザーが攻撃者の支配下にあるリソースへリダイレクトされた後である。いったんアカウントが侵害されると、攻撃者は乗っ取った従業員の身元から追加のフィッシングを送信し、キャンペーンを拡大させる可能性がある。
クイッシングが特に厄介なのは、従来のメールセキュリティフィルターやURL解析システムを回避する効果が高い点にある。これらの仕組みは概して、画像としてのQRコードの内容を精査できない。個人所有、または管理が不十分なモバイル端末でコードが読み取られると、セキュリティ担当者が侵害を検知するのは事後になることが多い。
FBIは組織に対し、QRコードへの依存を見直し、無差別な利用という慣行を避けるよう強く促している。また、スマートフォンやタブレットを正当なエンドポイントとして扱う必要性を強調し、ユーザーがアクセスする前にQR由来のリンクを精査する仕組みの導入を推奨している。
この手法は、平壌発のより広範なサイバー活動のモザイクの一部と整合する。以前、研究者は別の北朝鮮系集団「KONNI」が「Google Find My Device」機能を悪用し、侵害したAndroid端末を遠隔で工場出荷時設定にリセットしていたことを特定した。この手口により、彼らは諜報活動の痕跡を同時に消し去り、所有者から端末へのアクセスを奪うことができた。KONNIはPDFや文書形式を通じてマルウェアを配布していることも確認されている。Geniansによれば、このグループのインフラはKimsukyを含む他の北朝鮮系集団と大きく重複している。
よくあることだが、最大のリスク要因は複雑な技術的欠陥ではなく、無害に見える日常的なツールへの誤った信頼である。この状況では、ありふれたQRコードでさえ、高度なシステム侵入の主要な導管となり得る。
翻訳元: https://meterpreter.org/the-square-trap-fbi-warns-of-north-korean-quishing-campaigns/
