Cofenseはこのほど、「Major Energy Company Targeted in Large QR Code Campaign」において、米国の大手エネルギー会社を標的とする大規模なQRコードキャンペーンを確認したと報じた。Cofenseは2023年5月(米国時間)よりQRコードを利用した大規模なフィッシングキャンペーンを観測しており、これを検証したところ米国の大手エネルギー会社が主な標的だったとの見方を示している。

  • Major Energy Company Targeted in Large QR Code Campaign

    Major Energy Company Targeted in Large QR Code Campaign

Cofenseが確認したこの大規模なフィッシングキャンペーンは、フィッシングサイトへ誘導するQRコードを記載したフィッシングメールを大量に送付するものだったという。QRコードで変換されたURLの大部分はBingのURLで、Bingのリダイレクト機能を使ってフィッシングサイトへ誘導する仕組みになっていたと見られる。なお、Bingのほかにkrxd[.]com(Salesforceアプリ関連)、cf-ipfs[.]com(CloudflareのWeb3サービス)などのドメインも利用されていたとされる。

Cofenseによると、QRコードは脅威アクターからあまり人気がないという。これはフィッシングメールの送付先が企業システム内の従業員のパソコンであるのに対し、これを読み取る装置が各従業員のモバイルデバイスである可能性が高く、各従業員のモバイルデバイスは企業システムから切り離された環境にあり、また最近のモバイルデバイスはQRコードの解析結果をユーザーに通知してアクセスするか確認するためとされる。

今回のキャンペーンでは、ユーザーの確認によってアクセスを回避されないように、Bingのような有名で安全であるかのようなURLを使用したと考えられている。Cofenseは今回のキャンペーンがこのようなQRコードを使った攻撃の有効性を検証する目的もあったのではないかと指摘している。

脅威アクターから人気がないとされるQRコードだが、利点もある。それは、QRコードは画像であるためメールにフィッシングサイトへのURLを直接埋め込むよりも、企業のセキュリティシステムを突破して配送される可能性が高いことだ。この点についても検証の対象とされた可能性がある。

一般的に企業がユーザーに対してメールを配信する際、わざわざURLをQRコードに変換して送ることはあまりない。このような攻撃から企業および従業員を保護するために、従業員が企業内で受信するメールにおいてはQRコードに触れないよう教育することが望まれている。