チェック・ポイント・ソフトウェア・テクノロジーズは、2023年11月21日、QRコードを悪用したフィッシング攻撃「QRコードフィッシング(別名クイッシング:Quishing)」の調査結果について公開した。
チェック・ポイントよると、米国では大手エネルギー企業がQRコードフィッシングのターゲットにされ、2023年5月以降、同攻撃は2400%増加しているという。
QRコードフィッシングは、正常なQRコードの背後に悪意あるURLを潜ませる攻撃。QRコードの画像には、悪意あるリンクを隠すことができ、元の画像をスキャン・解析しない限り、目視では気が付くことができない。最新の攻撃ではリダイレクトリンクを潜ませ、ユーザーを偽のウェブページに転送し、認証情報を窃取する。
チェック・ポイントは同攻撃の例として、マイクロソフトのMFA(マルチファクタ認証)期限切れを詐称したメールが届き、再認証しようとQRコードをスキャンすると、マイクロソフトに似せた認証情報を窃取するためのウェブサイトに飛ばされるという手法を挙げた。
メール経由のQRコードフィッシング攻撃例
