quishing
脅威の調査

QR コードを悪用したフィッシング詐欺「クイッシング」の拡大

電子メールに添付された PDF の QR コードを悪用し、モバイルデバイスから企業の認証情報をスピアフィッシングする攻撃者

** 本記事は、From QR to compromise: The growing “quishing” threat の翻訳です。最新の情報は英語記事をご覧ください。**

セキュリティの専門家は、常に進化する攻撃手法に目を光らせています。Sophos X-Ops チームは最近、ソフォスの従業員数名を標的としたフィッシング攻撃を調査しました。そのうちの 1 名は騙され、情報を提供していました。

攻撃者が使用した手法は「クイッシング」 ( 「QR コード」と「フィッシング」の合成語) と呼ばれるものです。QR コードは、テキストからバイナリデータまでさまざまな情報をカプセル化できる、機械判読可能なエンコード方式ですが、その最も一般的な用途が URL の迅速な共有であることはよく知られています。

セキュリティ業界は普段から、フィッシングを警戒し、クリックする前に URL を注意深く見るように指導しています。しかし、平文の URL とは異なり、QR コードを同じように確認することはできません。

また、ほとんどの人はコンピュータではなく携帯電話のカメラを使用して QR コードを読み取るため、携帯電話のカメラアプリに一瞬表示される URL を確認するのは困難です。なぜなら、アプリが URL を非表示にするまでの数秒間しか表示されない場合や、カメラアプリに表示されるリンクの最終的な宛先を攻撃者が隠蔽/難読化するために多様な URL リダイレクト技術やサービスを使用する場合があるからです。

クイッシング攻撃の仕組み

2024 年 6 月、ソフォス社内の複数の従業員に対して、QR コードを含む PDF 文書が電子メールの添付ファイルとして送信されました。このスピアフィッシングメールは正規のメールに見えるように細工されており、流出した正規の、ソフォスではないメールアカウントを使用して送信されました。

(なお、クイッシングメールが確認されたのはこれが初めてではありません。 2 月と 5 月にも同様のメールがソフォスの従業員に送信されていました。ソフォスのお客様も少なくとも 1 年前から同様のキャンペーンに狙われていました。X-Ops が今回、ソフォスを標的とした攻撃に焦点を当てることにしたのは、攻撃の全容を調査し、共有できるためです。)

メッセージの件名は、オフィス内のネットワーク接続されたスキャナから直接電子メールで送信された文書を模しており、社内で作成されたメールを装っていました。

The original quishing email targeting a Sophos employee contained several inconsistencies and errors, including a mismatch of the attachment filename in the body, missing text in the subject and body, and a sender name that does not match usual corporate format
ソフォスの従業員を標的とした最初のクイッシングメールには、本文中の添付ファイル名の不一致、件名および本文中のテキストの欠落、通常の企業フォーマットと一致しない送信者名など、いくつかの矛盾やエラーが含まれていました。

注目すべき不審点の 1 つは、スキャナから発信されたと称する電子メールの本文に文書のファイル名が記載されていたにもかかわらず、受け取ったどのメッセージも本文中のファイル名が電子メールの添付文書のファイル名と一致していなかったことです。

さらに、メッセージの 1 つの件名は「Remittance Arrived (送金到着)」でしたが、この件名は添付文書の内容を反映したものであるため、オフィスのスキャナによる自動生成の件名ではあり得ません。もう 1 通のメッセージの件名は「Employment benefits proprietary information and/or retirements plan attache=” (雇用手当専有情報および/または退職プラン 添付=)」となっており、末尾が途切れているようです。

In a second email targeting another employee, the attachment name again mismatched the name in the body. How would a scanner create that subject line?
別の従業員を標的にした 2 通目のメールでも、添付ファイル名が本文中の名称と一致していませんでした。スキャナがこのような件名を作成するはずはありません。

PDF ドキュメントにはソフォスのロゴが含まれていましたが、それ以外は非常に簡素でした。QR コードの下に表示されるテキストには、「本文書の有効期限は 24 時間です」と記載されています。また、QR コードが電子契約署名プラットフォームである Docusign にリンクされたものだとも記されています。こうした特徴は、このメッセージが緊急性の高いものだと誤解させます。

The original quishing document sent to a Sophos employee
ソフォスの従業員に送られた最初のクイッシング文書

標的が携帯電話で QR コードをスキャンすると、一見 Microsoft365 のログインダイアログボックスに見える、攻撃者の管理下にあるフィッシングページに誘導されます。URL の末尾には、標的の完全なメールアドレスを含むクエリ文字列が含まれていましたが、不思議なことに、その電子メールアドレスにはランダムな別の大文字 1 文字が先頭に付加されていました。

The QR code linked to a domain protected by Cloudflare and contained the target's email address, prepended with an unexpected capital letter
QR コードは Cloudflare によって保護されたドメインにリンクされており、大文字 1 文字が先頭に付加された標的の電子メールアドレスが含まれていました

このページは、中間者攻撃 (AiTM) と呼ばれる手法を使って、ログイン認証情報と MFA レスポンスの両方を窃取するように設計されています。

The phishing page captured both the login password and an MFA token entered by the target, and looked identical to a standard Microsoft365 login dialogue
このフィッシングページは、標的が入力したログインパスワードと MFA トークンの両方を捕捉するもので、Microsoft365 の標準的なログインダイアログによく似ています。

攻撃に使用された URL は、メールが届いた時点ではソフォスにとって未知のものでした。いずれにせよ、標的の携帯電話には、既知の悪意のある Web サイトへのアクセスをフィルタリングできるような機能はインストールされておらず、さらにこの Web サイトは、その時点では何のレピュテーションも関連付けられていませんでした。

この手法により、ある従業員の認証情報と MFA トークンが侵害されました。攻撃者はその後、入力された情報を使って窃取した MFA トークンをほぼリアルタイムで中継することに成功し、内部アプリケーションへのアクセスを試みました。この方法は、ソフォスが課している MFA 要件を回避する新しい方法です。

ネットワークログインプロセスの他の仕組みを制御する内部機能によって、攻撃者がソフォスの内部情報や資産にアクセスするのは阻止されました。

前述のように、この種の攻撃はソフォスのお客様の間でも一般的になりつつあります。ソフォスには毎日、組織の特定の従業員を標的にした新たなクイッシング PDF のサンプルが届けられています。

A quishing PDF received in the week prior to publishing this story, targeting a Sophos customer, appears to be a link to an employee handbook, and included the customer's business name, branding, and the name and email address of the target.
本記事を公開する前の週に届いた、ソフォスのお客様を標的にしたクイッシング PDF は従業員向けハンドブックを装ったもので、お客様の企業名、ブランド名、標的の名前およびメールアドレスが記載されていました。

サービスとしてのクイッシング

サービスとしてのクイッシング
標的となった人々は、サービスとしてのフィッシング (PhaaS) プラットフォーム「ONNX Store」を使用して送信されるメッセージに酷似した電子メールを受信しました。ONNX Store は Caffeine フィッシングキットをリブランディングしたものだと考えられています。ONNX Store はフィッシングキャンペーンの実行に必要なツールやインフラを提供し、Telegram ボットを介してアクセスできます。

ONNX Store は、Cloudflare のボット対策 CAPTCHA 機能と IP アドレスプロキシ機能を悪用し、研究者が悪意のある Web サイトを特定するのをより困難にし、自動スキャンツールの有効性を低下させ、基盤となるホスティングプロバイダーを難読化します。

また、ONNX Store は暗号化された JavaScript コードを使用しており、Web ページのロード中に暗号化が解除されるため、フィッシングスキャナ対策に対抗するための難読化層を追加できます。

増大するクイッシングの脅威

QR コードを使用したフィッシングを行う攻撃者は、コンピュータ上で実行されるエンドポイントセキュリティソフトウェアのネットワーク保護機能を回避したいはずです。潜在的な標的がコンピュータでフィッシングメッセージを受け取る可能性もありますが、より可能性が高いのは保護が脆弱な携帯電話でフィッシングページにアクセスすることです。

QR コードは通常、補助的なモバイル機器でスキャンされるため、エンドポイント保護ソフトウェアをインストールしたデスクトップ/ノート PCでの URL ブロッキングや、既知の悪意のある Web アドレスをブロックするファイアウォール経由の接続といった、従来の防御策を回避できます。

ソフォスは、クイッシング攻撃の他のサンプルを発見すべく、スパムサンプルの調査にかなりの時間を費やしました。その結果、この特定の手法を用いた攻撃が量的にも、また PDF 文書の見た目の巧妙さにおいても進歩していることを確認しました。

6 月に確認された初期のクイッシング攻撃の添付ファイルは比較的単純な文書で、上部にロゴがあり、QR コード、および QR ブロックにエンコードされた URL へのアクセスを促すための短いテキストが記載されているだけでした。

しかし、夏を通じてサンプルはより洗練され、PDF 内に表示されるコンテンツのグラフィックデザインと外観がより強調されるようになりました。クイッシング文書は初期のものよりも洗練され、ヘッダーとフッターのテキストがカスタマイズされ、標的となった個人の名前 (少なくとも、電子メールアカウントのユーザー名) や所属組織の名前が PDF の中に記載されるようになりました。

One of the more professional-looking quishing documents
より洗練されたクイッシング文書の 1 つ

より洗練されたクイッシング文書の 1 つ
QR コードは非常に柔軟性が高く、QR コードブロックの中央にグラフィックを埋め込める仕様になっています。

最近のクイッシング文書に含まれる QR コードの中には、QR コードブロック内のグラフィック要素として Docusign のブランディングを悪用し、同社の知名度を不正利用してユーザーにソーシャルエンジニアリングを仕掛けるものがあります。

実際には、Docusign が文書に署名する顧客やクライアントにメールで QR コードのリンクを送信することはありません。DocuSign のフィッシング対策ホワイトペーパー (PDF) によると、同社のブランディングは頻繁に悪用されているため、通知メールにセキュリティ対策を施しているとのことです。

A quishing PDF that had the target's email username embedded into the document, as well as the name of the company where they worked and their full email address in the footer text, and a Docusign logo in the center of the QR code
クイッシング PDF の一例。ドキュメントの中に標的の電子メールユーザー名が埋め込まれ、フッターテキストには勤務先の会社名とメールアドレスが記載され、QR コードの中央には Docusign のロゴが表示されています。

知っておくべきなのは、QR コード内にこのロゴがあったとしても、それが指し示すリンクに正当性を示すものでもなく、信頼性を与えるものでもないということです。このロゴは、QR コードの中央にグラフィックを表示できるという、QR コードの仕様が持つデザイン上の特徴に過ぎません。

QR コードが指し示すリンクのフォーマットも進化しています。URL の多くは、悪意のある目的に使用される従来のドメインを指しているように見えますが、攻撃者はさらに、接続先の URL を難読化するさまざまなリダイレクト手法を活用しています。

A Sophos employee received this quishing PDF in September 2024. It references their email address and says "This is a mandatory service communication" at the top, and uses odd grammar elsewhere
2024 年 9 月にソフォスの従業員が受信したクイッシング PDF。この PDF には受信した従業員のメールアドレスが記載されており、上部には「これは必須のサービスコミュニケーションです」と書かれている他、至るところに不自然な表現が使われています。

たとえば、最近 1 か月の間に別のソフォス従業員に送られたあるクイッシングメールは、巧妙にフォーマットされた Google のリンクにリンクしており、クリックするとフィッシングサイトにリダイレクトされるようになっていました。この例では、URL のルックアップを実行すると、QR コードから直接リンクされたサイト (google.com) は安全なサイトとして分類されます。また、他のさまざまな正規サイトで使用されているショートリンクサービスを指すリンクも確認されています。

The QR code pointed to a Google URL that was too long to see in its entirety from within the camera app on the phone, and would redirect the user to the phishing website if opened
この QR コードは、携帯電話のカメラアプリから全体を見るには長すぎる Google の URL を指しており、開くとフィッシングサイトにリダイレクトされるようになっていました。

最近、ソフォスの従業員に送られたクイッシングメールには皮肉なことに、フィッシング対策のトレーニングやサービスを主な事業とする会社から送られたように見える PDF が添付されていました。

ソフォスを狙ったクイッシングメールに添付されていた PDF には、フィッシング対策トレーニング会社 KnowBe4 の子会社 Egress の法的通知を模倣したフッター情報が記載されていました。しかし、QR コードが指し示すドメインは、KnowBe4 とは無関係のブラジルのコンサルティング会社のものでした。同社のコンサルタントの Web サイトが侵害され、フィッシングページのホスティングに使用されていたようです。

A quishing document that uses legal language that implies it originated from a company that does anti-phishing training, and was "Powered by Sophos(c)"
法律用語を使用したクイッシング文書。フィッシング対策トレーニングを行う会社からの発信であり、「Powered by Sophos(c)」であることをほのめかしています。

メッセージには、自動生成メッセージに見せかけたテキストも含まれていましたが、非常に奇妙なスペルミスや文法ミスを含んでいました。以前のメッセージと同様、本文には添付ファイルのファイル名が記載されていましたが、メールに添付されていたものとは一致しませんでした。

The later quishing email states "any questions should be directed to your Wayne Center contact," presumably meaning, to Batman
後日受信したメールには「ご不明な点は Wayne Center の担当者まで」と記載されていますが、バットマンのことをほのめかしているようです。

観測された MITRE ATT&CK 戦術

ATT&CK 戦術 ATT&CK 手法
初期アクセス フィッシング:スピアフィッシング添付ファイル [T1566.001]
実行 ユーザーによる実行:悪意のあるリンク [T1204.001]
認証情報へのアクセス Web セッション Cookie の窃取 [T1539]
中間者攻撃 [T1557]</a
入力のキャプチャ:Web ポータルのキャプチャ [T1056.003]
防御回避 なりすまし [T1656]
難読化されたファイルまたは情報 [T1027]
コマンドアンドコントロール データのエンコード: 標準的なエンコード [T1132.001]
プロキシ: ドメインフローティング [T1090.004]

IT 管理者への推奨事項とガイダンス

同様の QR コードを使用したフィッシング攻撃に組織で対処する場合に役立つ提案をいくつかご紹介します。

  • 人事、給与、または福利厚生に焦点を当てた件名:ソフォスを狙ったクイッシングメールのほとんどは、ソーシャルエンジニアリングの戦略として従業員の事務的手続きを利用しています。メッセージの件名には、「2024 年の財務計画」、「福利厚生の申し込み期間」、「配当金の支払い」、「納税通知」、「契約合意」のようなフレーズが含まれていました。しかし、どのメッセージもソフォスのメールアドレスからのものではありませんでした。類似した件名のメッセージには特に注意し、これらの件名に関連するすべての正規メッセージが、サードパーティのメッセージングツールではなく、組織内部のメールアドレスから送信されていることを確認してください。
  • モバイル用 Intercept XIntercept X for Mobile (Android/iOS)では、アプリの左上にある 3 本線メニューから Secure QR Code Scanner が利用できます。Secure QR Code Scanner は、QR コードのリンクを既知の脅威データベースと照合してユーザーを保護し、ソフォスの URL レピュテーションサービスが悪意のある Web サイトと認識した場合に警告を表示します。しかし、このスキャナにはリダイレクトチェーンを通じてリンクを追跡しないという制限があります。
The Intercept X for Mobile Secure QR Code Scanner detects bad juju
Intercept X for Mobile Secure QR Code Scanner は悪意のある Web サイトを検出します。
  • 危険なサインインアラートの監視Microsoft の Entra ID Protection、または同様のエンタープライズレベルの ID 管理ツールを活用して、ID ベースのリスクを検出して対応してください。これらの機能は、フィッシングなどの悪意のある活動を示す可能性のある、通常とは異なるサインイン活動を特定するのに役立ちます。
  • 条件付きアクセスの実装Microsoft Entra ID の条件付きアクセス (Conditional Access) を利用することで、組織はユーザーの場所、デバイスの状態、リスクレベルなどの条件に基づいて特定のアクセスコントロールを実施でき、許可されたユーザーのみがリソースにアクセスできるようにセキュリティを強化できます。漏洩する可能性のある MFA トークンのバックアップとして、同様の多層防御の導入を可能な限り考慮すべきです。
  • 効果的なアクセスログを有効にする:Microsoft がこちらで説明しているすべてのロギングを有効化することを推奨しますが、特に監査、サインイン、ID 保護、およびグラフアクティビティログを有効化することを推奨します。
  • 高度なメールフィルタリングの導入:ソフォスは、メールに直接埋め込まれた QR コードを検出する Central Email QR フィッシング保護のフェーズ 1 をすでにリリースしています。しかし、今回のインシデントでは QR コードがメールの添付 PDF ファイルに埋め込まれていたため、検出が困難でした。2025 年の第 1 四半期中にリリース予定の Central Email QR コード保護フェーズ 2 には、添付ファイルの QR コードスキャン機能が搭載されています。
  • オンデマンドのクローバック:メールプロバイダーとして Microsoft365 を使用している Sophos Central Email のお客様は、オンデマンドクローバックと呼ばれる機能を使用して、すでに悪意があると識別されたメッセージと類似するスパムやフィッシングメールを組織内の他の受信トレイから検出 (および削除) できます。
Some of the rules that apply to the on-demand clawback feature
オンデマンドクローバック機能に適用されるルールの一部
  • 従業員による警戒と報告:フィッシングインシデントに対処するには、従業員の警戒心を高め、迅速に報告することが必要です。フィッシング攻撃を認識するための定期的なトレーニングセッションを実施し、不審なメールがあれば直ちにインシデント対応チームに報告するよう従業員に促すことをお勧めします。
  • 疑わしいアクティブユーザーセッションの取り消し:侵害の兆候を示す可能性のあるユーザーセッションをいつ、どのように失効させるかについて、明確なプレイブックを用意します。O365 アプリについては、Microsoft によるこちらのガイダンスが参考になります。
A flow diagram shows how the Conditional Access policy prevents a device with compromised credentials from reaching corporate assets if the device does not meet compliance requirements in advance. The Conditional Access policy prevented data loss when an employee's username, password, and MFA token were stolen in a phish
デバイスが事前にコンプライアンス条件を満たしていない場合に、条件付きアクセスポリシーを利用することで認証情報が漏洩したデバイスが、企業の資産にアクセスするのを阻止する方法を示したフローチャート。条件付きアクセスポリシーを導入することで、従業員のユーザー名、パスワード、MFA トークンがフィッシングで窃取された場合でもデータ流出を防ぐことができます。

良好な人間関係の構築

ソフォスの従業員のように十分な訓練を受けた従業員がいて、環境が最善の状態にあったとしても、さまざまな形態のフィッシング攻撃が依然として行われ、ますます危険な脅威となっています。しかし幸いにも、適切なレベルの多層保護を導入することで、フィッシング攻撃が成功した場合のような深刻な被害を軽減できるようになりました。

しかし、上記の技術的な予防策と同様に重要なのは、人です。従業員が不審なアクティビティの報告に関して権限を付与され、奨励され、感謝されるような、そして情報セキュリティ担当者が迅速に調査できるような組織文化や職場環境を形成することが、フィッシングが単なる試みに終わるか、成功するかの違いを生みだします。

詳細情報

Sophos X-Ops は、今回の攻撃手法についての調査文書やその他の IoCSophosLabs Github にて共有しています。