Quishingは、悪意のあるリンクが埋め込まれたQRコードを使用するフィッシングの一種です。
攻撃者は、正規のQRコードに偽装したり、巧妙な手口でQRコードを配置したりして、ユーザーを騙して悪意のあるウェブサイトに誘導します。
そしてそこで、個人情報や認証情報を入力させたり、マルウェアをダウンロードさせたりします。
次々に従来にない手法が出現してきています。
- 分割されたQRコード
これは人が見るとなんということのない普通に見えるQRコードです。
このQRコードはWebサイトに表示されます。
WebサイトはHTMLで記述されています。
HTMLとしてこの分割QRコードのHTMLを読むと、このQRコードは通常とは異なります。
一つのQRコードの画像を複数の部分に分割し、それをHTMLで分割されていない状態になるように配置して表示される仕組みになっています。
このため、この分割QRコードのコンテンツを機械的に解析しようとすると、意味のない画像が複数表示されているだけのコンテンツとして解釈されます。
QRコードの画像の内容をQRコードとして解釈することのできるセキュリティソリューションであったとしても、これに対応することはさらなる対応が必要となりそうです。 - ネストされたQRコード
これは人が見ても違和感を感じるQRコードです。
小さなQRコードがあり、その周囲に遠近感の異なるQRコードが配置されたような形になっています。
この小さなQRコードともう一方のQRコードは、それぞれ別々のURLを示す内容になっています。
片方をなんらかの正規のサイトにしておき、もう一方を悪意あるコンテンツを置いたサイトにするような形式で悪用します。
大抵の場合、QRコードを読み取ろうとする場合にはそのQRコードに見える全体を読み取ろうとするでしょうから、小さいほうが正規のURLで全体のほうが悪意のあるサイトにつながることが多い気がします。
このコンテンツも、機械的な解釈を提供するセキュリティソリューションにとっては対応が厳しい例なのではないでしょうか。
QRコードは一般化しています。
QRコードを見て新しいものと認識する人はもう多くないのではないでしょうか。
QRコードは人間には読み取れないため、特に警戒されることなく、また、メールフィルターやリンクスキャナーといった従来のセキュリティ対策をすり抜けてしまうことも脅威アクターの工夫次第で実現してしまいそうです。
危険はいろいろなところに潜んでいます。
Threat Spotlight: Split and nested QR codes fuel new generation of ‘quishing’ attacks
https://blog.barracuda.com/2025/08/20/threat-spotlight-split-nested-qr-codes-quishing-attacks
| この記事をシェア |
|
|---|
