「QRコード攻撃」があなたを襲う メールも紙も信用できない

QRコードを使ったサイバー攻撃が激増している。メールとQRコードを組み合わせた攻撃だ。どのような意図があるのだろうか、どうすれば防ぐことができるのだろうか。

[畑陽一郎，キーマンズネット]

　QRコード（2次元バーコード）を利用したフィッシング攻撃が急増している。Checkpoint Software Technologies傘下のAvananの報告によれば、2023年8月から同9月にかけてQRコードを利用した攻撃が587％増加した。どのように防げばよいのだろうか。

どのような危険性があるのか

　QRコードフィッシング攻撃（Quishing）の特徴は、QRコード自体には問題がないにもかかわらず、QRコードの背後にあるリンクに悪意があることだ。

　Avananの指摘は一時的なものではない。セキュリティ企業Cofenseによれば、2023年5月から8月にかけての攻撃の増加率は2400％に及ぶ。同社によれば、大手エネルギー企業を標的としたQRコードフィッシング攻撃では、Microsoftからのセキュリティ通知を装ったメールが使われており、受信した1000通のメールのうち29％に悪意あるQRコードが含まれていた。この攻撃で狙われやすい業界は製造業（15％）、保険（9％）、IT（7％）、金融サービス（6％）なのだという。

　Checkpoint Software Technologiesが提供する「Check Point Harmony Email & Collaboration」の研究者によれば、同製品のほぼ全ての顧客がQRコードフィッシング攻撃を受けたことがあるという。

なぜ攻撃にQRコードを使うのか

　なぜこの攻撃が増えているのか。それはユーザーが情報を得るときにQRコードを使っており、抵抗感がないからだ。メールにQRコードが添付されていても不自然に感じない。

　QRコードは悪意を隠すために最適な手段とも言えるだろう。QRコードのパターン画像は悪意のあるリンクを隠すことができ、コードがスキャンされて解析されるまでは無害な普通の画像だからだ。

どのように攻撃が進むのか

　以下ではCheck Point Harmony Email & Collaborationに関わる研究者が解き明かしたQRコードを利用して認証情報を取得する攻撃者の手口を紹介する。

　まず犯罪者はQRコードを作成する。無償で作成できるWebサイトが多数あるため、この段階には難しいところはない。QRコードの飛び先（URL）も攻撃者が自由に用意できる。

　図1に示した例では、認証情報を不正に集めるクレデンシャルハーベスティングページに飛ぶQRコードを使っている。「Microsoftの多要素認証（MFA）の期限が切れていて、再認証が必要」という誘い文句がついていた。

図1　MicrosoftのセキュリティチームをかたったQRコード付きのメール（提供：Avanan）

　メールの本文にはMicrosoftのセキュリティ部門からと書かれているが、送信者のアドレスは異なっていた。

　メールを開いたユーザーがQRコードをスキャンすると、MicrosoftのWebページに見えるが、実際には単なるクレデンシャルハーベスティングのWebページにリダイレクトされる。ここでユーザーが認証情報を入力すると、犯罪者に奪われてしまう。

QRコード攻撃の要点とは

　攻撃用の文章をそのままメールなどで送ると、言語解析ツールを内蔵した防御ツールに検出されてしまう。そのため、文章を画像化して送る攻撃者が増えた。

　これに対抗するため、防御側はOCR（光学式文字認識）ツールを検出用に組み込む方向へ進んだ。

　QRコードは第三世代の攻撃手段だと言えるだろう。攻撃に対抗するためにはQRコードを検出する機能と、QRコードの背後に隠れているURLを取得する機能、さらにURL分析ツールが必要だ。

　Avananは何年も前からQRコードからの保護策を実装しているという。事前に攻撃パターンを予測してすぐに実装するという流れを作り出すためだ。もちろん攻撃者が次にどのような方向に向かうかを予測するのは容易ではない。そのため、インラインからURLのラッピング、エミュレーションツール、オープニングの暗号化など、対抗するための基礎的なツールを用意しているという。

　QRコードフィッシング攻撃に対しては、AvananはOCRエンジンのQRコードアナライザーを使用した。コードを識別して取得したURLはAvananの別の識別エンジンに受け渡すことができるという。まずはメールのメッセージ本文にQRコードが存在することが、攻撃の指標となる。OCRが画像をテキストに変換すると、Avananの自然言語処理（NLP）が疑わしいワードを識別し、フィッシングとしてフラグを立てる。

　攻撃者は常に新しい戦術やテクニックを試す。古い手法を復活させることもある。QRコードのような合法的な手段を乗っ取ることもある。それが何であれ、対応するためのさまざまなツールキットを持つことが非常に重要だという。単純な誘導テキストからQRコードまで「進化」した攻撃は今後もより巧妙になっていくだろう。

どのような対策が有効なのか

　QRコードフィッシング攻撃から身を守るために、セキュリティ専門家とユーザーにはそれぞれ次のような対策が可能だ。専門官は次の3項目を検討すべきだ。

• Quishingを含む全ての攻撃に対してOCRを活用したメールセキュリティソリューションを導入する
• AI（人工知能）やML（機械学習）、NLPを使用してメッセージの意図を理解し、フィッシング用の文言が使用される可能性がある場合に対応する
• 悪意のある攻撃を特定する方法を複数用意する

　ユーザーができることは単純だ。メールにQRコードが付いていた場合には触らないようにするのがよいだろう。アクセスした場合、アクセス先が正しいWebサイトだという保証はない。Webページが正式のものなのか、不正なものなのか判断できない場合も多いだろう。

いなげやの事例と共通する点とは

　なお、日本国内では2023年10月にスーパーマーケットチェーンのいなげやが配布したネットスーパーの入会案内のチラシで似たような事例があった。チラシに掲載された正規のQRコードにアクセスすると、不正サイトに飛ばされるというものだ。この攻撃はメールを使っていないため、Avananが検出したQRコードフィッシング攻撃とは異なる。だが、QRコードにユーザーがアクセスして不正サイトに誘導されるという点では同じだ。

　どちらの攻撃にも有効な対策がある。QRコードを読み込んでWebサイトに飛ぶのではなく、URLを直接入力するか、ブックマークに保存していたURLを使うという対策だ。ユーザーの利便性が損なわれるため、セキュリティとの両立が難しいことが課題だ。