読了時間2分
出典:Alamy Stock Photo(Anna Berkut)
北朝鮮の国家支援型の脅威グループとして活動が活発な集団が、スピアフィッシング・キャンペーンに新たな手法を採用した。
木曜日に出されたFBIのフラッシュアラートによると、北朝鮮のKimsukyグループに関連する脅威アクターが、セキュリティ防御を回避する目的で、フィッシングメールに悪意のあるクイックレスポンス(QR)コードを埋め込んでいるという。攻撃者は、米国および外国の政府機関に加え、シンクタンクや学術機関も標的としている。
FBIは、クイッシング攻撃では通常、悪意のあるQR画像がメール添付や埋め込み画像として用いられ、URL検査やサンドボックスといったメールセキュリティ防御を回避できると警告した。被害者がQRコードをスキャンしてリンクをクリックすると、多くの場合、モバイル端末向けに最適化された認証情報の収集ページへ誘導される。
FBIのアラートでは、2025年5月と6月に発生した複数のクイッシング事案が概説されている。そのうちの1件では、Kimsukyのアクターが、朝鮮半島の地政学的動向に関するアンケートを装った悪意あるQRコードを含むメールで、シンクタンクの責任者に対し外国人顧問になりすました。
別の事案では、脅威アクターが戦略アドバイザリー企業に対してスピアフィッシング・キャンペーンを実施し、従業員を偽の会議へ招待した。招待状には会議の登録ページだと称するQRコードが含まれていたが、実際には認証情報を収集するために作られた偽のGoogleアカウントログインページだった。
クイッシング攻撃はMFAに強い脅威
FBIは、クイッシング攻撃が多要素認証を回避するために、ユーザー名とパスワードだけでなくそれ以上の情報を盗むことが多いと警告した。
アラートは次のように述べている。「クイッシングの作戦は、セッショントークンの窃取とリプレイで終わることが多く、攻撃者は多要素認証を回避し、典型的な『MFA失敗』アラートを発生させることなくクラウドIDを乗っ取れる。その後、敵対者は組織内で永続性を確立し、侵害されたメールボックスから二次的なスピアフィッシングを拡散する。」
これらの攻撃は、企業によって管理されていないことが多いモバイル端末の使用を必要とするため、組織のエンドポイント検知・対応(EDR)プラットフォームやネットワーク防御の範囲外となる。したがってFBIは現在、クイッシングを「企業環境における、高い確度でMFAに耐性のあるID侵害ベクター」と見なしている。
Kimsukyの攻撃は、クイッシング攻撃の唯一の例ではない。昨夏、Barracudaの研究者は、「Gabagool」として知られるフィッシング・アズ・ア・サービスのキットが、コードを2つの画像に分割する新しいQRコード手法を取り入れていたことを発見した。
Barracudaによると、メールセキュリティソリューションがQRコードをスキャンすると、無害な2枚の画像として見える。しかしモバイル端末でスキャンすると、分割されたQRコードが潜在的な被害者を、認証情報を盗むよう設計された偽のMicrosoftアカウントログインページへ誘導する。
翻訳元: https://www.darkreading.com/mobile-security/fbi-quishing-attacks-north-korean-apt
