QRコードを悪用したフィッシング攻撃とは

近年、さまざまなサービスでQRコードの利用が増えることに伴い、フィッシング攻撃のエントリーポイントとしてQRコードを悪用する攻撃も増加している。攻撃者は、さまざまな手口でユーザーに悪意のあるQRコードをスキャンさせ、個人情報やデバイスのアカウント情報、クレジットカードの情報などを盗み出そうとする。

例えば、メールにQRコードが添付されている場合、本文にURLが記載されている場合と違って、通常のメールセキュリティソリューションではブロックすることが難しい。さらに、ほとんどのユーザーはQRコードの読み込みにスマートフォンを使用するため、モバイルブラウザのアドレス欄からリダイレクト先を見落とす可能性が高い(参考記事:QRコードを含むメールに注意、フィッシングメールに悪用される可能性あり | TECH+(テックプラス))。

不正なQRコードは街中にもあふれている。例えば、詳細情報への誘導にQRコードを使う広告はよくあるが、このQRコードが悪意のある攻撃者によって不正なものに書き換えられていたとしても、気づかずにアクセスしてしまう人も多いだろう(参考記事:QRコードに潜むリスクと、サイバー攻撃から身を守るための7つの方法 | TECH+(テックプラス))。

2種類のQRコードフィッシング攻撃シナリオ

組織においてこのようなQRコード攻撃による被害を防止するには、個人のセキュリティ意識を向上させるトレーニングが不可欠だ。Microsoft Defender for Office 365は、さまざまな攻撃シナリオに応じたトレーニングモジュールを提供しており、従業員のセキュリティ意識の向上に役立てることができる。

今回新たに追加されたQRコードフィッシングのためのトレーニングモジュールでは、印刷されたQRコードと、電子メールなどに添付されるQRコードという、2種類のシナリオが用意されている。もし従業員が職場でこれらのQRコードを目撃し、自分のデバイスでスキャンすると、トレーニング用の偽の悪意のあるサイトに誘導される。

  • オフィス内で目にする印刷されたQRコード 出典:Microsoft Defender for Office 365 Blog

    オフィス内で目にする印刷されたQRコード 出典:Microsoft Defender for Office 365 Blog

  • 電子メールなどに添付されるディジタルQR コード 出典:Microsoft Defender for Office 365 Blog

    電子メールなどに添付されるディジタルQR コード 出典:Microsoft Defender for Office 365 Blog

Microsoft Defender for Office 365の攻撃シミュレーション トレーニングは、Microsoft 365 E5プランまたはMicrosoft Defender for Office 365 P2プランを契約している場合に利用することができる。