フィッシング×QRコードが融合した“クイッシング”は何が危ないのか？：セキュリティニュースアラート

Sophosは新たなフィッシング攻撃手法「クイッシング」について警告を発した。フィッシングとQRコードを組み合わせた新たな攻撃手法とされ、同社の従業員が被害に遭ったことが報告されている。

[後藤大地，有限会社オングス]

　Sophosは2024年10月16日（現地時間）、新たなフィッシング攻撃手法「クイッシング」について警告した。クイッシングはフィッシングとQRコードを組み合わせて標的から認証情報を窃取する攻撃手法とされている。

　Sophosの調査によると、2024年6月に同社の従業員がターゲットとなり、数名がクイッシング攻撃の被害を受けたことが確認されている。正規の電子メールのように見せかけたスピアフィッシングメールが送信されており、添付ファイルのPDF内にQRコードが埋め込まれていたことが判明している。このQRコードをスキャンすると偽の「Microsoft 365」ログインページに誘導され、認証情報が盗まれる仕組みとなっていた。

QRコードを使ったフィッシングは何が危ないのか？

　QRコードを利用するクイッシングには従来のフィッシング防御策を回避できるという大きな特徴がある。QRコードは主にスマートフォンでスキャンされるため、デスクトップやモバイルPCで使われる従来のエンドポイントセキュリティソフトウェアやファイアウォールでは悪意のあるURLの検出およびブロックが困難とされている。

　Sophosの従業員が受け取ったPDFには緊急性を装った文言が記載されており、ユーザーに早急な行動を促していたことが報告されている。また、このクイッシング攻撃では「ONNX Store」が使われた可能性が示唆されている。ONNX Storeはフィッシング・アズ・ア・サービス（PhaaS）プラットフォームとされ、フィッシングキャンペーンを実行するためのツールとインフラストラクチャを提供し、Telegramのbotを介して攻撃を管理できるという特徴を持っている。

　Sophosは今後クイッシング攻撃が増加する可能性が高いと指摘しており、企業や個人に対してQRコードを悪用したフィッシングのリスクを認識し、対策を強化するよう呼びかけている。従業員の定期的なサイバーセキュリティトレーニングや高度な電子メールフィルタリング設定、QRコードリンクを事前にチェックするセキュアQRコードスキャナーの活用など多層的なセキュリティ対策を講じることが推奨されている。