クイッシングとは

QRフィッシング(Quishing)とは、サイバーセキュリティの脅威の一種で、攻撃者がQRコードを作成し、被害者を悪意のあるコンテンツへの訪問・ダウンロードに誘導するものです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • クイッシングの定義
  • クイッシング攻撃の仕組み
  • クッシング攻撃から身を守る方法を知る

記事のリンクをコピーする

クイッシングとは

QRフィッシング(Quishing)とは、攻撃者がQRコードにより被害者を悪意のあるWebサイトに誘導したり、有害なコンテンツのダウンロードを促したりするサイバーセキュリティの脅威です。この攻撃では、パスワード、財務データ、個人を特定できる情報(PII)などの機密情報を盗み出し、その情報を個人情報の窃盗、金融詐欺、ランサムウェアなどの他の目的に悪用することを目的としています。

この種のフィッシングは、セキュアなメールゲートウェイのような従来の防御策をしばしばすり抜けてしまいます。特に、メール内のQRコードは、多くのセキュアなメールゲートウェイによって無意味な画像として認識され、ユーザーを特定の形式のフィッシング攻撃に遭いやすい状況をもたらしてしまいます。QRコードは、他にもさまざまな方法で意図した被害者に到達し得ます。

QRコードとは

QRコード(クイック・レスポンス・コード)とは、カメラやコードリーダー・アプリケーションで簡単にスキャンできる二次元バーコードです。QRコードの主な機能は、データの保存となっています。QRコードにより、URL、製品詳細、連絡先情報など、大量の情報を保存できます。スキャニング技術を用い、スマートフォンのカメラやコードリーダーでWebサイトのURLに簡単かつスピーディにアクセスできます。

クイッシングの全容

クイッシング攻撃では、攻撃者がQRコードを作成し、悪意のあるWebサイトに誘導します。通常、攻撃者は、フィッシングメール、ソーシャルメディア、印刷されたチラシ、または物理的なオブジェクトにQRコードを埋め込み、ソーシャルエンジニアリングのテクニックにより被害者をおびき寄せます。例えば、賞金を獲得するチャンスがあると謳い、メールで送られてきたQRコードから暗号化された音声メッセージにアクセスするよう誘導するなどの場合があります。

被害者が携帯電話でQRコードをスキャンすると、悪意のあるサイトに誘導されます。アクセス先のサイトでは、ログイン情報、財務情報、個人情報などの個人情報を入力するよう促されます。上記の例では、ユーザーの名前、電子メール、住所、生年月日、またはアカウントのログイン情報などを要求されることが多くなります。

機密情報が取得されると、攻撃者は個人情報の窃盗、金銭詐欺、ランサムウェアの配布など、さまざまな目的で悪用できてしまいます。

エンドユーザーがクイッシングを防ぐには

コードに関連するURLを必ず確認し、QRコード経由でアクセスしたサイトでの個人情報の送信、支払いの実行、コンテンツのダウンロードを控えてください。この習慣を身につけることで、クイッシング攻撃の被害に遭うリスクを減らせます。

Cloudflareによる、クイッシング攻撃からの組織の防御への貢献

ほとんどのメールセキュリティソリューションは、テキスト、URL、添付ファイルを検査するように設計されています。一方、QRコードは基本的には単なる画像です。ピクセル単体では意味がありませんが、デコードされると、QRコードはURLに解決します。メールセキュリティソリューションがQRコードを解釈できず、その背後に隠された悪意のあるURLを発見できない場合、ユーザーはQRコードをスキャンして解読しない限り、QRコードが誘導する先を判別できないままになってしまいます。その時点で、罠が仕掛けられ、ユーザーがマルウェアやクレデンシャル・ハーベスティングにさらされる可能性があります。 Cloudflare Cloud Email Securityのネイティブな画像解析処理による高度な保護機能では、QRコードをリアルタイムで識別し、解決できます。その結果得られたURLは、当社の検出モデルに照らして評価されます。必要であれば、検出モデルが即座に評価できない場合、リアルタイムでクロールされることもあります。Cloudflare Cloud Email Securityがどのようにクイッシング攻撃から顧客を防御するのか学びましょう。