QuishingQRコードフィッシング

Quishing 、端末にマルウェアを仕込み、個人情報にアクセスするために不正なQRコードを使用することです。

QRフィッシングQuishing)の危険性を明らかにしましょう:QRフィッシングを特定し、防止する方法を学び、あなたのデジタルの安全とプライバシーを守りましょう。

無料アンチウイルス

quishing何か?

QRフィッシングは「quishing」とも呼ばれ、QRコードの人気を悪用したサイバー犯罪です。この詐欺では、サイバー犯罪者が悪意のあるQRコードを作成し、スキャンすると、詐欺的なウェブサイトに誘導したり、有害なソフトウェアのダウンロードを促したりします。メニューへのアクセスや支払いなど、さまざまな目的でQRコードを利用する人が増えているため、知らず知らずのうちにこのような不正なコードをスキャンし、個人情報を危険にさらしている可能性があります。

この行動は、2022年のスーパーボウルでCoinbaseの革新的なQRコード広告がアプリのダウンロードを大幅に増加させたことで注目された。しかし、特に詐欺師がQRコードを使って被害者を操り、口座からお金を引き出させるという最近のCryptoQR詐欺に照らし合わせると、サイバーセキュリティ・コミュニティに懸念を抱かせることにもなった。

quishing」とは、QRコードとフィッシングを組み合わせた言葉で、悪意のある業者が偽のQRコードを作成し、ユーザーをなりすましサイトに誘導したり、情報を盗んだり、端末にマルウェアをインストールしたりする手口を指す。その目的は、無害なQRコードや必要なQRコードとやりとりしていると個人を欺くことであるが、その真意は個人情報や金融情報へのアクセスや窃盗にある。

QRコードとは?

QRコード(クイック・レスポンス・コード)は、大量のデータを保存でき、スマートフォンやバーコード・スキャナーで素早く読み取ることができる二次元バーコードである。もともとは1994年に日本の自動車メーカーが製造の効率化のために発明したものだが、近年、QRコードの利用が急増している。

特にパンデミック時には、社会的距離を置くルールを守りながら事業継続を維持する方法として普及した。その結果、消費者はQRコードのスキャンに慣れ親しむようになり、2025年までに米国では1億人以上のユーザーがQRコードをスキャンするために携帯電話を使用するようになるという調査結果も出ている。

画面からも紙からも読み取れるQRコードの汎用性は、決済処理、マーケティング、広告など、さまざまな業界への普及につながった。今日、QRコードはビルボードやレストランなどの公共スペースや、テキストメッセージ、ソーシャルメディア、電子メールなどのデジタルコミュニケーションでよく見かける。

静的QRコードと動的QRコード

QRコードはそのデータの柔軟性から、静的コードと動的コードの2種類に大別される。

静的QRコードは固定されており、一度作成すると変更できません。ウェブサイトのURLや連絡先、Wi-Fiのパスワードなど、静的な情報の共有によく使われます。

対照的に、ダイナミックQRコードは、コードの外観を変更することなく、エンコードされた情報を更新または変更できるため、より柔軟性があります。QRコードには、情報が保存されているサーバーにユーザーを誘導する固有のURLが含まれています。この柔軟性は、イベント情報、プロモーション、リアルタイムの在庫追跡など、コンテンツの頻繁な更新が必要な場合に理想的です。しかし、このような柔軟性は、詐欺師がそのソースを変更してユーザーを悪意のあるサイトにリダイレクトすることでダイナミックQRコードを悪用する可能性があるため、セキュリティ上のリスクももたらします。

フィッシングとは何か?

フィッシングは、主に電子メールを介したソーシャルエンジニアリング攻撃によって貴重なデータにアクセスするために、サイバー犯罪者によって広く使用されている手法です。典型的なフィッシングメールにはリンクや添付ファイルが含まれており、ユーザーにクリックやダウンロードを促し、財務情報や会社のログイン情報などの機密情報を盗み出すことを目的としています。

しかし、攻撃者がより効果的なテクニックを求め続ける中、以下のような新たなフィッシングの手口も出現している。 vishing(ボイス・フィッシング)、 smishing(SMSフィッシング)、quishing (QRフィッシング)などがある。これらの手口は、異なるコミュニケーション・チャネルを悪用し、類似した詐欺行為を行うもので、特にquishing コードの人気と利便性を利用し、ユーザーを騙して個人情報を開示させようとするものである。

quishing 仕組みは?

Quishing 、QRコードを利用して個人を欺き、有害なウェブサイトを訪問させたり、マルウェアを含むファイルをダウンロードさせたりするフィッシング攻撃の一種である。QRコードは、リンク、文書、決済ポータルなど、さまざまなソースをホストできるため、サイバー犯罪者にとって万能なツールとなっています。これらのコードは、悪意のあるリンク、ウイルス入りの文書、または偽の決済ポータルを含むように操作することができます。QRコードは、画像として表示されるとその背後にあるコンテンツが見えなくなるため、詐欺師が電子メールに埋め込んでセキュリティ対策を回避するための理想的な手段となります。

quishing 攻撃は通常、サイバー犯罪者がQRコードを作成し、被害者の認証情報を取得するための不正なログインページや、スキャンすると自動的にマルウェアをダウンロードするサイトにリダイレクトすることから始まります。このような悪意のあるQRコードは、画像や添付ファイルとして電子メールに挿入したり、人々がスキャンしやすい公共の場所に置いたりします。QRコードがスキャンされると、被害者はログイン情報や銀行情報などの機密情報を入力するよう促されたり、有害なソフトウェアやアプリを知らず知らずのうちにダウンロードしてしまう可能性があります。場合によっては、コードがスキャンされた直後に悪意のあるコンテンツのダウンロードが自動的に行われ、被害者の端末がさらに危険にさらされることもあります。

QRLJackingを理解する:quishingケーススタディ

QRLジャッキングとは、クイック・レスポンス・ログイン(QRL)システムを標的とした巧妙なquishing 一種です。QRLとは、スマートフォンでQRコードを読み取ることで、ウェブサイトやアプリケーション、デジタルサービスにログインできるユーザーフレンドリーな認証方式です。この方法を使えば、複雑なパスワードを覚える必要がなく、ユーザーにとって便利な代替手段を提供することができます。

しかし、この便利さは、サイバー犯罪者が悪用することを学んだ脆弱性をももたらす。QRLJacking攻撃では hackers標的のウェブサイトやアプリでセッションを開始し、正規のQRコードをクローンします。その後、クローン化したコードを自分のサーバーにリダイレクトして操作し、オリジナルを模倣した偽のログインページに埋め込みます。悪意のあるQRコードは、電子メールやその他のチャネルを通じて配布され、ユーザーを騙してスキャンさせ、ログインさせます。

QRLJackingの危険性が明らかになるのは、多要素認証が有効になっていない場合である。被害者が操作されたQRコードをスキャンするとすぐに、攻撃者は被害者のアカウントに即座にアクセスできるようになる。この攻撃の顕著な例はING銀行で発生したもので、同社のアプリではQRコードをスキャンすることで顧客が2台目のデバイスにログインできるようになっていた。サイバー犯罪者はこの機能を悪用し、アプリ内の正規のQRコードを改ざんした。この詐欺の被害に遭った無意識のユーザーは、口座から多額の資金が消えていることに気づいた。

quishing 攻撃を検知する方法は?

QRコードはスキャンされるまでその内容を隠すという性質上、quishing 攻撃を検知することは困難である。従来のフィッシング攻撃とは異なり、quishing QRコードをプレーン・イメージとして、あるいは不審ではない拡張子の添付ファイルとして含むため、マルウェア検知器やメールフィルターを回避することができる。そのため、マルウェア検知器やメールフィルターを回避することができ、迷惑メールフォルダーに振り分けられることもない。

詐欺師にとってのQRコードの魅力は、好奇心を刺激し、恐怖や緊急性といった感情を利用する能力にあります。このような感情の引き金により、疑うことを知らない被害者は、偽の請求書や罰金の支払いなどの詐欺行為を目的とした悪質なQRコードをスキャンしてしまう。QRコードの利便性とスピードは、このような詐欺を容易にするために悪用されています。

QRコード詐欺から身を守るには、QRコードをスキャンする前に警戒し、特定の兆候を探すことが重要です:

  • 予期せぬ、または未承諾のQRコード:迷惑メールやメッセージに表示されるQRコード、特にすぐに行動を起こすように促される場合は注意が必要です。
  • 文脈や説明の欠如:正規のQRコードには通常、その目的についての明確な説明が添えられています。文脈や信頼できる情報源を欠くコードには注意が必要です。
  • 不審な送信者:送信者のEメールアドレスや連絡先に、スペルミスや変わったドメイン名など、不正な兆候がないか確認する。
  • 緊急性やプレッシャー:詐欺師はしばしば、迅速な行動を促すために緊急性を演出します。QRコードをすぐにスキャンするよう迫るメッセージには懐疑的になりましょう。
  • 送信元を確認する:可能であれば、公式なルートを通じて送信者と思われる人物に連絡し、QRコードの正当性を確認する。
  • 安全なQRコードスキャナーを使う:QRコードスキャナーアプリの中には、リンクを開く前にそのリンクの安全性をチェックするセキュリティ機能を提供しているものがあります。そのようなアプリを使用して、保護レイヤーを追加することを検討してください。

これらの兆候を認識し、注意を払うことで、quishing 攻撃の被害に遭うリスクを減らし、機密情報の漏洩を防ぐことができます。

これがquishing身を守る方法だ。

quishing 攻撃から身を守るには、一般的なフィッシング防止策とQRコード特有の課題に合わせた対策を組み合わせることが重要です:

  1. QRソースを確認する:QRコードをスキャンする際は、特に知らない情報源からのものや、お得すぎるキャンペーンを約束しているものに注意しましょう。コードが一見公式な情報源、友人、同僚からのものである場合は、その真偽を直接確認するか、公式ウェブサイトを訪問しましょう。
  2. 信頼できるQRコードリーダーを使う:ほとんどのスマートフォンにはQRスキャン機能が内蔵されているが、サードパーティ製のアプリを選ぶ場合は、それが信頼できるものであることを確認すること。QRスキャンアプリの不正なアップデートには注意が必要である。
  3. リンク先のURLをプレビューする:スキャンアプリで可能であれば、QRコードにアクセスする前にリンク先をプレビューしましょう。この予防策は、スキャン時に自動的にマルウェアをダウンロードするQRコードからの保護に役立ちます。
  4. 個人情報の取り扱いは慎重に:QRコードをスキャンした後、リンク先のページで個人情報を入力するよう促された場合は注意が必要です。サイトのロゴと完全なURLを再確認し、可能であれば、QRコードから提供されたリンクを使用する代わりに、元のURLをブラウザに手入力しましょう。
  5. 二要素認証を有効にする:サイバー犯罪者があなたの認証情報を入手した場合でも、このセキュリティの追加レイヤーを追加することで、アカウントへの不正アクセスを防ぐことができます。アカウントへのアクセスを開始しない限り、携帯電話で認証通知を受け取るのは慎重に。
  6. セキュリティ意識向上トレーニングで情報収集を怠らないサイバー犯罪の手口や潜在的な攻撃への対応方法に関する知識を定期的に更新することで、脅威の先手を打つことができます。

これらの推奨事項に従うことで、quishing 攻撃に対する防御を強化し、機密情報が悪用されるのを防ぐことができる。

QRコードとは?

フィッシングとは何か?

ソーシャル・エンジニアリングとは何か?

デジタルフットプリントとは何か?

スピアフィッシングとは何か?

catfishing何か?

フィッシングメールとは何か?

よくあるご質問

QRコードはなぜ危険なのか?

QRコードは、コードにマルウェアを埋め込むなど、サイバー犯罪者によって悪意のある行為に利用される可能性があります。これらの危険なQRコードがスキャンされると、ウイルスワームトロイの木馬スパイウェアアドウェアなど、さまざまな種類のマルウェアが端末に感染し、個人情報の盗難、機密データへの不正アクセス、フィッシング攻撃などにつながる可能性があります。