Barracuda Networksのセキュリティ研究者は、QRコードフィッシング(クイッシング)に関する2つの新しい手法を発見しました。それは、悪意のあるQRコードを2つの部分に分割する方法と、正規のQRコードに埋め込む方法です。
彼らは8月20日に発表した新しいレポートThreat Spotlight: Split and nested QR codes fuel new generation of ‘Quishing’ attacksの中で、この発見について詳しく説明しています。
QRコード分割手法の解説
Barracudaの研究者は、フィッシング・アズ・ア・サービス(PhaaS)キットであるGabagoolの運営者が、悪意のあるQRコードの検出を回避するための新しい手法を最近使い始めたことを観察しました。
この手法は、QRコードを2つの別々の画像に分割し、フィッシングメール内に埋め込むというものです。従来のメールセキュリティソリューションがメッセージをスキャンした際、1つの完全なQRコードではなく、2つの別々で無害に見える画像として認識されます。
メールの受信者には、メッセージ内のQRコードが完全なものに見え、スキャンするとMicrosoftのログイン認証情報を盗むために設計されたフィッシングページに誘導されます。しかし、HTML上でビジュアルを見ると、実際には2つの異なる画像で構成されています。
「Barracudaの脅威アナリストは最近、Gabagoolの攻撃者が分割QRコードを使った攻撃を発見しました。この攻撃は標準的な偽のMicrosoft『パスワードリセット』詐欺として始まりました。攻撃者が非常にカスタマイズされたメッセージを使用していることから、以前にターゲットに対して会話乗っ取り攻撃を成功させていたことが示唆されます」とレポートには記載されています。
QRコードネスティング手法の解説
研究者たちはまた、別のPhaaSであるTycoonの運営者が、悪意のあるQRコードの検出を回避するために、これまで報告されていない別の手法を使っていることも発見しました。
実際には、悪意のあるQRコードが正規のQRコードの中や周囲に埋め込まれています。
Barracudaが観察したある事例では、外側のQRコードは悪意のあるURLを指し、内側のQRコードはGoogleに誘導されていました。
「この手法は、スキャナーによる脅威の検出を困難にする可能性があります。なぜなら、結果が曖昧になるからです」とBarracudaの研究者は述べています。
クイッシング対策のためのマルチモーダルAI搭載メール保護
Barracudaのレポートは、新たなクイッシング攻撃への対策として、メールセキュリティにおける多層防御アプローチの重要性を強調し、主要な推奨事項で締めくくられています。
セキュリティ意識向上トレーニング、多要素認証(MFA)、高度なスパム・マルウェアフィルタリングなどの基本的な対策に加え、研究者たちは、急速に進化する脅威に対抗するために、マルチモーダルAIによる多層的なメール保護を導入すべきだと主張しています。
このAI駆動型アプローチは、以下の方法で検出力を強化します:
- 添付画像を視覚的にスキャンし、埋め込まれたQRコードを特定する
- QRコードのペイロードをデコードし、リンクされたURLや悪意のあるコンテンツを分析する
- 疑わしいリンクを分離されたサンドボックス環境で安全に実行し、リアルタイムの悪意ある活動を観察する
- 機械学習を活用し、埋め込まれたデータを抽出しなくてもQRコードの構造やピクセルの異常を精査する
翻訳元: https://www.infosecurity-magazine.com/news/hackers-qr-codes-new-quishing/