Security Affairsは9月5日(現地時間)、「Quishing, an insidious threat to electric car owners」において、偽のQRコードを用いて誘導するクイッシング(Quishing)について、注意を喚起した。クイッシングはフィッシングに分類されるサイバー攻撃の手法で、正規のQRコードの上に偽のQRコードを被せて被害者をフィッシングサイトに誘導する。
クイッシング攻撃の概要
QRコードはオンライン、現実世界いずれの環境においても広く普及しており、触れる機会は多い。オンライン上のQRコードを改ざんするにはWebサイトなどに侵入する必要があり難易度は高いが、現実世界のQRコードは上からシールを貼るだけで改ざんできてしまう。
このQRコードを改ざんする攻撃手法がクイッシングと呼ばれ、現実世界のQRコード利用において脅威となっている。特に認証を必要とするサービスにQRコードが悪用されると、認証情報を窃取される可能性が高くなる。
影響と対策
セキュリティ専門家のEddy Willems氏は「Betrüger zocken E-Autofahrer an Ladesäulen ab, Motor Presse Stuttgart, Story - lifePR」において、次のように述べ、現実世界のQRコードも改ざん防止対策が必要だと訴えている。
公共のEV充電スタンドにまだ慣れていない電気自動車の新人ドライバーは特に危険にさらされています。世界中ではないにしても、EU内では間違いなく問題になっています。EV充電スタンドの運営者にステッカーを避けるようアドバイスしている。コードはディスプレイに表示すべきだ。
小型の液晶ディスプレイなどにQRコードを表示するシステムでは、QRコードに変更が発生しても表示を切り替えるだけで済むようになる。そのため、上からシールを貼り付ける理由がなくなり攻撃は困難になるとみられている。この対策を導入するには相応のコストが見込まれるが、新規サービスの開始時には積極的に導入することが望まれている。
QRコードの利用者は、フィッシング対策のベストプラクティスを実践することが望まれている。認証情報を入力する際は必ずURLを確認し、正規のWebサイト以外に認証情報を入力しないようにすることが推奨される。