北朝鮮の国家支援を受けたハッカー集団「Kimsuki」が、米国の組織を標的にしたスピアフィッシング・キャンペーンに悪質なQRコードを使用している、と米連邦捜査局が速報で警告している。
今回確認された活動は、米国内の非政府組織、シンクタンク、学術機関、戦略顧問会社、政府機関など、北朝鮮関連の政策、研究、分析に携わる組織を標的としている。
フィッシングにおけるQRコードの使用は、「キッシング」とも呼ばれる手法で、目新しいものではありません。サイバー犯罪者が金銭を盗むためにQRコードを使用した際、FBIは警告を発しましたが、依然として効果的なセキュリティ・バイパスとなっています。
Kimsuky(APT43)は、国家が支援する北朝鮮の脅威グループで、ハッカーがジャーナリストを装い、既知の脆弱性を悪用し、サプライチェーン攻撃や クリックフィックスの手口に頼る複数の攻撃に関連している。
FBIは、昨年のキャンペーンにおいて、Kimsukiに関連する行為者が、アンケート、安全なドライブ、または偽のログインページを装った悪意のある場所に被害者をリダイレクトするQRコードを含む電子メールを送信したと警告しています。
同機関は、Kimsukiがキッシングを利用して標的を攻撃者が管理する場所にリダイレクトさせた4つの例を紹介しています。
被害者を騙すために、攻撃者は外国人投資家、大使館職員、シンクタンクのメンバー、会議の主催者のふりをしていた。
「2025年6月、Kimsukyの攻撃者は、ある戦略アドバイザリー会社に、実在しないカンファレンスに受信者を招待するスピアフィッシング・メールを送信した」とFBIは述べている。
フィッシングの手口
キッシング・キャンペーンでは、QRコードをスキャンした被害者は通常、攻撃者が管理するインフラを経由し、デバイスのフィンガープリント、ユーザーエージェントの詳細、オペレーティング・システム、IPアドレス、画面サイズ、ローカル言語などを収集される。
通常、被害者にはMicrosoft 365、Okta、VPNポータル、Googleのログインページを装ったフィッシングページが表示され、最終的な目的はアクセス認証情報やトークンを盗むことです。
キッシングはセッション・トークンの窃盗と再生で終わることが多く、攻撃者は典型的な “MFA failed “アラートを出さずに多要素認証をバイパスし、クラウドIDを乗っ取ることができる。
QRコードをスキャンするためにターゲットにモバイルデバイスを使用させるため、脅威者は従来の電子メールセキュリティソリューションを回避することができ、侵害された受信トレイから悪意のある電子メールを配信することができます。
FBIは、これらの攻撃は標準的なEDR(Endpoint Detection and Response)やネットワーク監視の外にある、管理されていないモバイルデバイスから発生するため、「MFA-resilient identity intrusion vector」と表現している。
これらの攻撃を防御するために、FBI は、標的を絞った従業員トレーニング、QR コードによるソース確認、モバイル・デバイス管理の導入、および多要素認証の実施を推奨している。
また、このような攻撃を受けた場合は、直ちに最寄りの FBI サイバー・スクワッドまたは IC3 ポータルに報告することを推奨しています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
MCPのための7つのセキュリティ・ベスト・プラクティス
MCP(モデル・コンテキスト・プロトコル)がLLMをツールやデータに接続するための標準になるにつれて、セキュリティ・チームはこれらの新しいサービスを安全に保つために迅速に動いています。
この無料のチート・シートには、今日から使える7つのベスト・プラクティスがまとめられています。
Comments