米国の大手エネルギー企業がQRコードフィッシング攻撃の標的に

主に米国の著名なエネルギー会社をターゲットとしたフィッシングキャンペーンが観察され、QR コードを使用して悪意のある電子メールを受信トレイに送り込み、セキュリティを回避しました。

このキャンペーンに関与したとされる 1,000 件の電子メールのうち、およそ 3 分の 1 (29%) は米国の大手エネルギー会社を標的としたもので、残りの試みは製造業 (15%)、保険業 (9%)、テクノロジー企業 (7%)、および金融サービス (6%)。

このキャンペーンを発見した Cofense 氏によると、QR コードがこの規模で使用されるのはこれが初めてであり、より多くのフィッシング攻撃者が攻撃ベクトルとしての有効性をテストしている可能性があることを示しています。

コフェンスはこのキャンペーンの対象となったエネルギー会社の名前は明らかにしなかったが、同社を米国に本拠を置く「大手」企業として分類した。

Table of contents

フィッシングにおける QR コード

電子メールには、受信者がアカウントを確認するためにスキャンするよう求められる QR コードを含む PNG または PDF 添付ファイルが添付されています。電子メールには、ターゲットがこのステップを 2 ～ 3 日以内に完了する必要があることも記載されており、緊急性を高めています。

攻撃者は、画像に埋め込まれた QR コードを使用して、メッセージをスキャンして既知の悪意のあるリンクを見つける電子メールセキュリティツールをバイパスし、フィッシングメッセージがターゲットの受信トレイに到達できるようにします。

セキュリティを回避するために、このキャンペーンの QR コードは、Bing、Salesforce、Cloudflare の Web3 サービスのリダイレクトも使用して、ターゲットを Microsoft 365 フィッシングページにリダイレクトします。

QR コード内のリダイレクト URL の非表示、正規サービスの悪用、フィッシングリンクの Base64 エンコードの使用はすべて、検出を回避し、電子メール保護フィルターを通過するのに役立ちます。

QR コードは、小規模ではあるものの、フランスやドイツなど、過去にもフィッシングキャンペーンに使用されてきました。

詐欺師はまた、QR コードを利用して人々をだましてスキャンさせ、お金を盗もうとする悪意のある Web サイトにリダイレクトします。

QR コードは保護を回避する効果があるにもかかわらず、依然として被害者が侵害を受けるために行動を起こす必要があり、これは十分な訓練を受けた担当者に有利に働く決定的な緩和要因となります。

また、最新のスマートフォンのほとんどの QR コードスキャナは、保護手順として、ブラウザを起動する前に宛先 URL を確認するようユーザーに要求します。

Cofense 氏は、トレーニングとは別に、組織がフィッシング対策の一環として画像認識ツールを使用することも提案していますが、これらのツールがすべての QR コードの脅威を検出できるとは限りません。