チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
OCRエンジンによる検知を回避する、HTMLで作成されたQRコードの登場に警鐘。時代はQRコードフィッシング3.0へ
AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、 NASDAQ:CHKP、以下チェック・ポイント)は、ASCIIコードをベースとしてHTMLによって作成されたQRコードを用いる新たなQRコードフィッシング(通称クイッシング、Quishing)の手法を発見しました。このQRコードは従来の画像によるQRコードと異なり、ASCIIコードをベースとしたHTMLで作成され、OCRによる検知を免れることから、さらなる注意が必要です。
急速に進化するQRコードフィッシングの脅威
QRコードフィッシングの脅威が、急速な進化を続けています。その急増は昨年8月頃に初めて確認されましたが、以降、QRコード攻撃のタイプにも変化が確認されています。
この攻撃手法は、当初、標準的なMFA認証リクエストから始まり、その後、条件付きルーティングやカスタムターゲティングへと進化しました。そして現在目の当たりにしているのは、QRコードの操作という新たな進化です。
Harmony Emailに関わるチェック・ポイントのリサーチャーが発見した新たなキャンペーンでは、QRコードが画像ではなく、HTMLとASCII文字で作成されていました。5月下旬には600通を超える同様のメールが確認されています。
電子メールの実例
メールに含まれていたのは、以下のようなQRコード(画像1)で、通常のQRコード(画像2)との違いを見極めるのは非常に困難です。
(画像1)フィッシングに含まれていたQRコード
(画像2)通常のQRコード
非常に微妙な違いですが、従来フィッシングに使用されたQRコードは画像であるのに対し、新しく利用されたものはHTMLで作成されており、問題はその点にあります。こうしたQRコードはOCRエンジンの回避を目的として、ASCII文字で生成されています。このHTMLを細かく見ると、以下のようになっています。
脅威アクターの基本的な手法は、HTMLの中に小さなブロックを配置するというものです。メール上ではQRコードのように表示されますが、一般的なOCRはこれを認識できません。ウェブ上には、脅威アクターがこうしたものを自動的に生成し、さらに悪意あるリンクを含むよう設定することを可能にするサイトが存在しています。
以下は別の例です。
多くのQRコードフィッシング攻撃と同様、このフィッシングメールは再認証リクエストに関連しています。しかし、このQRコードはASCII文字をベースとしているため、セキュリティシステムの見落としを誘い、クリーンで無害な電子メールと見なされる可能性があります。
進化する攻撃の手口 - QRコードフィッシング3.0
攻撃の形態は総じて進化するものであり、QRコードフィッシングも例外ではありません。しかし、これほど急速な進化は、極めて類例のない事態です。
QRコードフィッシングは当初、標準的なMFA認証コードから始まりました。これは非常に単純なもので、MFAの再設定や、あるいは「退職金制度401kへの年間給与天引き額」といった財務データの確認などの理由で、ユーザーにコードをスキャンするよう求めるものでした。
第二の形態であるQRコードフィッシング2.0は、条件付きルーティング攻撃でした。この攻撃に用いられるリンクは、ユーザーがそのリンクと関わりを持っている場所を確認し、それに応じて調整を行います。ユーザーがMacを使用している場合にはそれに合わせたリンクが表示され、Android端末を使用している場合は別のリンクが表示されるという形です。カスタムQRコードキャンペーンでは、ハッカーが動的に企業ロゴと正確なユーザー名を表示させていることが確認されました。
そして現在直面しているのは、データ操作キャンペーンとして出現したQRコード3.0です。これは従来のQRコードとは異なり、テキストベースで描写されたQRコードであり、OCRシステムによる確認と検出を極めて困難なものとしています。
QRコード3.0はまた、脅威アクターがいかに現在の情勢に対応しているかの表れでもあります。これまでに、実質的にあらゆるメールセキュリティベンダーが、新たなQRコードプロテクションの導入を大々的に発表しました(Check Point Harmony & CorrabolationHECは2019年から導入)。その多くが何らかの形でOCRを使用しており、ハッカーはそれを踏まえてキャンペーンを適応させています。
このサイバーセキュリティにおける追いつ追われつには終わりがありません。ハッカーが悪用可能な何かを見つけ、サイバーセキュリティの防衛側はその解決策を見つけます。それが延々と続いていくのです。こうした繰り返しはあらゆる攻撃形態において起こることであり、QRコード攻撃でも変わりはありません。
ベストプラクティス:ガイダンスと推奨事項
これらの攻撃から身を守るために、セキュリティの専門家に推奨される対策は以下の通りです。
- メールに埋め込まれたQRコードを自動的に解読し、悪意あるコンテンツの存在に関してURLを分析するセキュリティの導入
- メール本文に埋め込まれたQRコードを書き換え、安全なリンクに置き換えられるセキュリティの活用
- 高度なAIを活用してフィッシングの兆候を示す複数の指標を調べるセキュリティの導入
本プレスリリースは、米国時間2024年6月12日に発表されたブログ(英語)をもとに作成しています。
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( https://www.checkpoint.com/ )は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( https://www.checkpoint.com/jp/ )は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp
