Cyble Research and Intelligence Labs(CRIL)による新たな調査によると、中国では、偽の公式文書に含まれるQRコードを用いて被害者をだます、QRコードベースのフィッシング(クイッシング)キャンペーンの標的となっている人々がいる。
このキャンペーンの一環として、中国の人的資源・社会保障省の公式文書を装ったMicrosoft Wordファイルが使用されている。CRILのセキュリティ研究者は、これらのファイルがスパムメールの添付ファイルとして配布されていると考えている。
このキャンペーンで使用される文書は、労働補助金の申請に関する通知を装い、登録済みの銀行カードに対して1000元(138ドル)を超える補助金を提供すると主張している。補助金を受け取るための認証として、携帯電話でQRコードをスキャンするようユーザーに促している。
金融情報の窃取
ユーザーがWord文書内のQRコードをスキャンすると、ドメイン生成アルゴリズム(DGA)によって生成されたサブドメイン「tiozl[.]cn」を含むURLへ誘導される。このURLは、人的資源・社会保障省になりすましたフィッシングサイトをホストしている。
ランディングページでは、労働補助金を提示するダイアログボックスをフィッシングサイト上に表示し、ユーザーを誘い込む。
ユーザーが補助金の受け取り手続きを進めると、氏名や国民IDなどの個人情報の入力を求める別のページへリダイレクトされる。
Cybleの研究者は、このクイッシングキャンペーンの目的は、クレジットカード情報やパスワードなどの金融情報を収集し、不正な取引を行うことだと評価している。
当該ドメインをホストしているIPアドレスは、さらに5つの追加ドメインとも関連付けられており、これらが同一のフィッシングキャンペーンに結び付いていることを示唆している。
増加するQRコードフィッシング
Cybleは、QRコードフィッシングが過去数年で大幅に増加していると指摘した。
例えば、同脅威インテリジェンス企業は、Hoxhunt Challengeを引用し、2023年後半にQRコードフィッシングが22%増加したことが明らかになったとしている。
Cybleによれば、この傾向を説明する理由はいくつかあり、例えば次のとおりである:
- 近年のQRコードの広範な普及(特にCOVID-19パンデミック以降)
- スマートフォンへのQRコードスキャナー機能の統合
- モバイル決済システムの普及
- QRコードの不透明性。従来のハイパーリンクと異なり、リダイレクト先のURLがユーザーに表示されない
QRコードフィッシングへの対策推奨
Cybleは、QRコードフィッシングの脅威を軽減するための推奨事項の一覧を提示した。内容は次のとおり:
- 信頼できる情報源からのQRコードのみをスキャンする。特に金銭的インセンティブや緊急対応をうたう、心当たりのないメール、メッセージ、文書に含まれるコードはスキャンしない
- QRコードをスキャンした後、進む前にURLを注意深く確認する。公式ドメインや安全な接続(https://)など、正当性の兆候を確認する
- 信頼できるアンチウイルスおよびアンチフィッシングソフトをデバイスにインストールする。これらのツールは悪意のあるウェブサイトやダウンロードの検出・ブロックに役立つ
- 可能な限り、オンラインアカウントで二要素認証(2FA)を使用する
- OS、ブラウザ、アプリケーションを最新のセキュリティパッチで常に更新する。既知の脆弱性から保護するのに役立つ
- 開く前にURLを既知の悪性サイトのデータベースと照合するなどのセキュリティ機能を備えたQRコードスキャナーアプリを使用する
- 銀行口座やクレジットカードの明細を定期的に確認し、不正取引がないかチェックする。疑わしい活動があれば直ちに銀行へ報告する
翻訳元: https://www.infosecurity-magazine.com/news/quishing-chinese-citizens-qr-code/
